XXXXXXXX 有限公司文件编号:网络信息安全管理程序版本:V1.0 生效日期:内部文件严禁外传 3/5历史修订记录XXXXXXXX 有限公司文件编号:网络信息安全管理程序版本:V1.0 生效日期:内部文件严禁外传 2/5IIHI:个人可识别健康信息。4职责与权限4.1 信息安全负责人i.负责批准《系统/软件账号申请单》;ii. 负责安全事件的确认和处理。4.2 客服部i.负责医数聚系统的管理。4.3 人力资源部i.负责硬件和移动设备的管理;ii. 负责钉钉、钉邮和微信的管理。4.4 质量管理部i.负责监督网络信息安全管理的执行。4.5 各部门i.负责按照网络信息安全管理要求执行。5 程序5.1 个人 ePHI 不论存储媒介,包括但不限于:姓名、年龄、性别、病例、医疗数据;均需要采取措施,防止泄露。5.1.1 员工获得 IIHI 的程度应基于员工的工作性质及其相关的职责,员工可以访问他们完成工作所需的所有 IIHI,但不能获得更多的访问权限。5.1.2 任何员工都不可获得比其清除水平更高的 IIHI 水平。5.2 硬件和移动设备的管理控制5.2.1 硬件和移动设备包括但不限于:计算机、笔记本电脑、移动硬盘、U 盘、光碟。5.2.2 硬件和移动设备的领用5.2.2.1 员工办公用到的硬件和移动设备采取实名登记制,由人力资源部通过《硬件和移动设备领用登记表》做好登录管理,并每年梳理一次,以保证信息的正确性。5.2.2.2 当员工领用新的硬件或移动设备后,应第一时间设置使用密码,密码设置不可过于简单,避免使用姓名、生日、简单数字等,使用密码只可自己知悉,不可告知其他同事,更不可记录下存放在显眼易获取位置,当员工察觉密码存在泄漏、丢失、被获取的可能时,一小时内上报信息安全责任人知悉,由信息安全责任人按照《安全事件管理程序》执行。为了防止密码被获知,人力资源部需监督员工每半年更换一次使用密码。5.2.2.3 员工离岗超过五分钟需对工位的硬件和移动设备进行保密操作,如拔出移动硬盘存放在XXXXXXXX 有限公司文件编号:网络信息安全管理程序版本:V1.0 生效日期:内部文件严禁外传 3/5带锁抽屉,启动计算机的屏保功能等。保密操作如可以由设备自动执行,人力资源部应监督员工提前设置好。5.2.2.4 因员工离职、调岗等原因需要退回或变更硬件或移动设备时,退回或变更的硬件和移动设备,在使用前,由人力资源部对其进行使用痕迹的清除工作,并填写记录《硬件和移动设备使用痕迹清除记录表》,质量管理部监督执行情况。5.2.3 硬件和移动设备损坏需要...
