一、總則

　　(一)為加強計算機系統(tǒng)用戶口令(密碼)的安全管理，提高計算機系統(tǒng)用戶口令(密碼)安全管理規(guī)范化、制度化水平，完善信息安全管理體系，特制定本制度。

　　(二)醫(yī)院所使用的醫(yī)院管理及業(yè)務(wù)相關(guān)計算機系統(tǒng)用戶口令(密碼)的安全管理適用本制度，其中應(yīng)用系統(tǒng)包括但不限于：HIS系統(tǒng)、LIS系統(tǒng)、電子病歷系統(tǒng)、院感管理系統(tǒng)、OA系統(tǒng)等。

　　(三)本規(guī)定所稱計算機系統(tǒng)用戶口令(密碼)是指在登錄計算機系統(tǒng)過程中，用于驗證用戶身份的字符串，以下簡稱計算機系統(tǒng)用戶口令。計算機系統(tǒng)用戶口令主要為靜態(tài)口令、動態(tài)口令等。靜態(tài)口令一般是指在一段時間內(nèi)有效，需要用戶記憶保管的口令。動態(tài)口令一般是指根據(jù)動態(tài)機制生成的、一次性有效的口令。

　　(四)計算機系統(tǒng)用戶口令的安全管理遵照統(tǒng)一規(guī)范、重在意識、技術(shù)控制與管理措施相結(jié)合的原則。

　　(五)計算機系統(tǒng)用戶口令持有人應(yīng)保證口令的保密性，不應(yīng)將口令記錄在未妥善保管的筆記本以及其他紙質(zhì)介質(zhì)中，嚴禁將口令放置在辦公桌面或貼在計算機機箱、終端屏幕上，同時嚴禁將計算機系統(tǒng)用戶口令借給他人使用，任何情況下不得泄漏計算機系統(tǒng)用戶口令，一旦發(fā)現(xiàn)或懷疑計算機系統(tǒng)用戶口令泄漏，應(yīng)立即更換。

　　(六)計算機系統(tǒng)用戶口令必須加密存儲計算機系統(tǒng)中，嚴禁在網(wǎng)絡(luò)上明文傳輸計算機系統(tǒng)用戶口令，在用戶輸入口令時，嚴禁在屏幕上顯示口令明文，嚴禁計算機信息系統(tǒng)輸出口令明文。

　　(七)計算機系統(tǒng)用戶口令持有人應(yīng)保證口令具有較高安全性。選擇使用口令安全強度較高的口令，不應(yīng)使用簡單的代碼和標記，禁止使用重復數(shù)字、生日、電話號碼、字典單詞等容易破譯的計算機系統(tǒng)用戶口令。

　　(八)任何人不得利用盜取、猜測、窺視、破解等非法手段獲取他人計算機系統(tǒng)用戶口令，盜用他人訪問權(quán)限，威脅信息系統(tǒng)安全。

　　(九)具有登錄信息系統(tǒng)權(quán)限的用戶必須設(shè)置用戶口令或采用其它驗證用戶身份的方式，嚴禁不驗證用戶身份直接登錄信息系統(tǒng)。

　　二、崗位及其職責

　　(一)信息科設(shè)立全院用戶口令，統(tǒng)一管理重要服務(wù)器主機系統(tǒng)、核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備等超級用戶以及重要系統(tǒng)中具有關(guān)鍵訪問權(quán)限用戶的口令。

　　(二)計算機用戶口令持有人負責所持計算機用戶口令在使用過程中的保密，負責設(shè)置、保存、更換計算機用戶口令，負責口令自身的安全強度。

　　(三)系統(tǒng)管理(維護)人員、網(wǎng)絡(luò)和安全設(shè)備管理(維護)人員負責啟用計算機系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備的口令安全管理相關(guān)功能；負責刪除計算機系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備多余用戶和口令。

　　三、服務(wù)器主機系統(tǒng)、網(wǎng)絡(luò)和安全設(shè)備用戶口令安全要求

　　(一)系統(tǒng)用戶口令主要包括服務(wù)器主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等系統(tǒng)用戶口令。服務(wù)器主機系統(tǒng)用戶是指能夠登錄服務(wù)器主機系統(tǒng)的用戶。

　　(二)服務(wù)器主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的超級用戶口令以及重要系統(tǒng)中具有關(guān)鍵訪問權(quán)限用戶的口令應(yīng)由專人設(shè)置與管理。

　　四、應(yīng)用系統(tǒng)用戶口令安全要求

　　(一)應(yīng)用系統(tǒng)用戶口令是指只用于訪問應(yīng)用系統(tǒng)的用戶口令，口令對應(yīng)的用戶為應(yīng)用系統(tǒng)用戶，在操作系統(tǒng)中并不存在相應(yīng)用戶。

　　(二)應(yīng)用系統(tǒng)在開發(fā)過程中必須同步實現(xiàn)滿足計算機系統(tǒng)用戶口令基本要求的機制和功能，通過技術(shù)手段實現(xiàn)安全管理要求。對于現(xiàn)運行的、沒有達到口令基本要求的計算機系統(tǒng)的改造或升級，可結(jié)合具體情況穩(wěn)步開展。同時，必須采用相應(yīng)的管理措施，加強計算機系統(tǒng)用戶口令的安全管理，保障應(yīng)用系統(tǒng)的安全。

　　(三)應(yīng)用系統(tǒng)用戶必須設(shè)置口令或使用其它身份認證方式，嚴禁不驗證用戶身份訪問應(yīng)用系統(tǒng)(對于信息網(wǎng)站中只瀏覽網(wǎng)頁的用戶，可不設(shè)置口令)。

　　(四)應(yīng)用系統(tǒng)用戶的口令應(yīng)定期更換，口令最長有效期可根據(jù)應(yīng)用系統(tǒng)的重要程度和用戶的權(quán)限設(shè)定。

　　五、應(yīng)用口令申請

　　各業(yè)務(wù)及管理科室在應(yīng)用系統(tǒng)過程中，需要添加及刪除用戶、變更用戶權(quán)限、重置用戶口令等操作，需要本人書面申請，上級主管科室(醫(yī)務(wù)處、護理部、藥學部等)負責人簽字批準后，信息科備案執(zhí)行。