疾病预防控制信息系统用户与权限管理规范.doc

XX省疾病预防控制信息系统用户与权限管理规范（试行）1. 总则1.1 目的为加强中国疾病预防控制信息系统规范化管理，保障国家核心业务信息系统的正常安全运行，增强疾病预防控制公共卫生信息获取的时效性、准确性和完整性，提高疾病预防控制信息系统的管理和服务能力，根据《中国疾病预防控制信息系统用户与权限管理规范（试行）》，结合本省实际，特制定本规范1.2 依据《中华人民共和国传染病防治法》《突发公共卫生事件与传染病疫情监测信息报告管理办法》《国家救灾防病与公共卫生事件信息报告管理规范》《国家突发公共卫生事件相关信息报告管理工作规范（试行）》《各级疾病预防控制中心基本职责》《艾滋病疫情信息报告管理规范》《结核病预防控制工作规范》《计算机信息系统安全保护条例》《卫生系统电子认证服务管理办法（试行）》1.3 适用范围本规范适用于管理使用《中国疾病预防控制信息系统》的各级各类疾病预防控制机构、医疗卫生机构及其它机构1.4 责任单位及责任人1.4.1 责任单位管理使用《中国疾病预防控制信息系统》的省、市、区（县）级各类疾病预防控制机构、医疗卫生机构及其它机构，包括该机构的信息管理部门及相关业务管理部门1.4.2 责任人（1）省、市、县级疾控机构负责信息系统管理的专业技术人员为系统用户管理的责任人。

2）省、市、县级责任单位信息系统相关业务部门指定业务专业人员为该业务应用系统管理责任人2. 用户管理2.1 用户类型2.1.1 系统管理员指省、市、县级疾病预防控制中心授权使用《中国疾病预防控制信息系统》，履行用户管理与服务职能的唯一责任人2.1.2 业务管理员指省、市、县级疾病预防控制机构由各业务归口管理部门或单位指定负责管理该业务系统权限分配的唯一责任人2.1.3 本级用户指省、市、县疾病预防控制机构、医疗卫生机构及其它机构各业务归口管理部门或单位，由本级业务管理员分配的具有不同权限和业务操作功能的同级用户2.1.4 直报用户指由县区级疾病预防控制中心系统管理员审核，各系统业务管理员授权的通过使用《中国疾病预防控制信息系统》录入报告各类信息的用户2.2 用户职责2.2.1 职责分类（1）系统管理员职责负责本级用户管理以及对下一级系统管理员管理包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导县区级系统管理员还需负责直报用户的用户管理2）业务管理员职责负责本级用户授权及下一级本业务系统业务管理员管理各级业务管理员负责将角色授予相应的本级用户和下一级业务管理员，为本业务系统用户提供操作培训和技术指导，使其有权限实施相应业务信息管理活动。

市、县级业务管理员不负责创建新角色，但可根据应用需要，逐级向省级业务管理员提出新增角色的需求，省级业务管理员根据业务需要负责制定角色创建规则和创建角色县区级业务管理员还需负责直报用户的权限管理2.2.2 分级管理（1）子系统管理《中国疾病预防控制信息系统》中省、市、县各级各业务子系统必须分别设置业务管理员对于一人管理多个子系统的情况，可以将该用户设置为兼管的多个子系统的业务管理员2）逐级系统管理省级系统管理员可以对本级用户和地市级系统管理员进行管理；地市级系统管理员可以对本级用户和县区级系统管理员进行管理；（县、区）级系统管理员可以对本级用户及医疗卫生机构直报用户进行管理省级业务管理员可以管理本级用户及地市级业务管理员的授权；地市级业务管理员可以管理本级用户及县区级业务管理员的授权；（县、区）级业务系统管理员可以管理本级用户及医疗卫生机构直报用户的授权2.2.3 实名管理系统内所有用户信息均必须采用真实信息，即实名制登记系统中的用户账号具有唯一性，系统管理员只能为同一人分配唯一账号，避免一人多账号状况出现2.2.4 隐私管理系统管理遵守保密性原则除非获得司法授权或法律部门另有规定，不能将收集的个人信息向任何第三方泄露或公开。

2.3 管理程序管理程序包括用户申请、用户审核、系统分配、变更管理、用户注销、用户有效期等几个过程具体流程为：2.3.1 用户申请（1）疾控机构、医疗卫生机构用户各级各类疾病预防控制机构、医疗卫生机构及其它机构如需使用《中国疾病预防控制信息系统》网络报告，使用人要填写《中国疾病预防控制信息系统用户申请表》（见附录），经本单位分管领导签字批准后，交予所在辖区县（区）级疾病预防控制中心系统管理员各级疾病控制机构的业务管理部门，如需使用《中国疾病预防控制信息系统》进行业务管理，可由使用部门使用人填写《中国疾病预防控制信息系统用户申请表》（见附录），经本部门分管领导签字批准后，向本单位负责系统管理的相关部门提出申请各级卫生行政部门及各级疾病预防控制中心外的疾病预防控制机构如需使用《中国疾病预防控制信息系统》进行信息查询或业务管理，可由使用单位使用人填写《中国疾病预防控制信息系统用户申请表》（见附录），经本单位领导签字批准后，向同级卫生行政部门的相关业务管理部门提出申请，并交予同级疾控中心系统管理员2）其他机构用户其他机构用户如需访问《中国疾病预防控制信息系统》，必须由使用单位使用人填写《中国疾病预防控制信息系统用户申请表》（见附录），经本单位领导签字批准后，向同级卫生行政部门的相关业务管理部门提出申请，并交予同级疾控中心系统管理员。

2.3.2 用户审核系统管理员根据《中国疾病预防控制信息系统用户申请表》（见附录）审核相关用户信息，用户信息必须真实有效2.3.3 用户创建系统管理员根据审核通过后的《中国疾病预防控制信息系统用户申请表》信息添加用户，并对《中国疾病预防控制信息系统用户申请表》进行存档管理2.3.4 系统分配系统管理员根据《中国疾病预防控制信息系统用户申请表》（见附录）为用户分配用户申请使用的业务系统只有分配过的业务系统才能通过业务管理员对该用户进行授权并填写《中国疾病预防控制信息系统用户申请回执》（见附录）反馈给用户2.3.5 变更管理各级系统管理员及业务管理员必须相对固定，如相关人员因工作调动或其它原因无法继续从事管理员工作时，应与有关人员现场核对其帐户信息、密码以及当时系统中的各类用户信息及文档，核查无误后方可进行工作交接系统管理员变更：系统管理员变更，应及时向上级系统管理员报告新任系统管理员应及时变更帐户信息及密码业务管理员变更：业务管理员变更应及时向本级系统管理员及上级业务管理员报告，上级业务管理员和系统管理员及时变更业务管理员信息用户变更：用户因工作变动，导致使用权限发生变化时，应填写系统权限变更申请表，由相关业务管理员对其权限进行变更。

2.3.6 用户停用用户不再使用《中国疾病预防控制信息系统》时，系统管理员对该用户账号停用对于取消的机构，每年年底对地区和机构编码审核更新后由系统管理员停用该机构用户每年年底对用户进行审核、清理，由系统管理员核查并统一强制停用不合要求的用户，并填写相应注销一览表2.3.7 用户启用对于已经停用的用户账号，如该用户需要重新使用系统，要将该用户原有停用账号重新启用，不要重新建立新账号2.3.8 用户有效期用户有效期设置不得超过2年超过有效期的用户如果需要继续使用，应由用户单位提出书面申请，由系统管理员延长其使用期限，延长的期限最长不超过2年每年年底对用户进行审核、清理，对于不符合条件的用户及时停用，符合条件的用户系统管理员延长有效期并备案临时账号则根据其具体情况有效期延长到合适时间并备案3. 权限管理3.1 角色类型按照业务管理范围和创建者的级别，本规范将《用户认证与权限管理系统》中的角色划分为以下6个类型：(1) 国家级共享：国家级业务管理员创建并供本级使用；(2) 省级共享：供本级和上级使用；(3) 市级共享：供本级和上级使用；(4) 区县级共享：供区县级和上级使用；(5) 直报级共享：仅供直报用户使用；(6) 本级共享：只能创建者本级创建和使用。

3.2 角色命名规范省业务管理员在创建系统角色时要遵守角色命名规范角色命名采用多字段组合方式，格式如下：使用范围-使用对象-创建单位名称-业务系统-角色名称其中：使用范围：如省级、地市级、县区级等；使用对象：如业务管理员、业务人员、分析人员、决策人员等；创建单位名称：如XX省疾病预防控制中心；业务系统：如大疫情、突发、结核、免疫等角色名称：如浏览、审核、填报、统计分析等3.3 角色创建与整理省级业务管理员负责角色的创建、维护和管理，市、县级业务管理员应当配合省级业务管理员组织角色的调试和信息的反馈市、县级疾病预防控制机构如发现已建角色不能满足当前工作需求，应尽量采用现有角色组合的方式解决，如现有角色及其组合确不能满足需求，方可向省级业务管理员请求新建角色每年组织省辖市对已建角色进行一次全面梳理，包括角色的新增、删除、修改、分配用户的审查以及权限内容的核查等其他时间段，市、县级疾病预防控制机构如需使用新角色，应当以省辖市为单位，向相应业务系统的省级业务管理员提出书面请求，并加盖单位印章相应业务系统的省级业务管理员收到书面请求后，经审查如现有角色及其组合确不能满足需求，方可新建角色3.4 角色描述省级业务管理员在创建系统角色时，应在角色描述栏详细阐述该角色所对应的病种及权限范围等内容。

3.5 授权管理系统管理员的权限由上级系统管理员赋予业务管理员在通过本级系统管理员建立、审核后，向对应的上级业务管理员申请授权，由上级业务管理员通过分配角色赋予相应的权限对于经过系统管理员创建、审核的本级用户或直报用户，用户可以根据《中国疾病预防控制信息系统用户申请回执》（见附录）及各业务系统权限申请表（见附录）分别向各子系统业务管理员申请使用权限，各子系统业务管理员通过分配角色赋予该用户相应权限业务管理员对用户的授权应当遵循以下原则：（1） 在满足该用户工作需要的同时，尽可能赋予该用户最小的权限，以保障数据的高效、准确、安全2） 在满足工作需要的基础上，尽量利用现有角色进行授权，减少角色之间的交叉、重复4. 安全管理4.1 网络环境安全用户必须使用虚拟专用网络VPN（Virtual Priviate Network）或者符合卫生部规定的安全网络环境用户应专机使用《中国疾病预防控制信息系统》， 避免使用公共场所的计算机用户应在运行本系统的计算机上安装杀毒软件、防火墙，定期杀毒；禁止在运行本系统的计算机上安装、运行含有病毒、恶意代码、木马的程序，不得运行黑客程序及进行黑客操作4.2 用户安全管理4.2.1 密码管理系统管理员建立用户时，应为其分配独立的初始密码，并单独告知用户，不得设置通用密码，不得将初始密码公开或告知除用户本人之外的其他人。

用户在初次使用系统时，应立即更改初始密码用户密码设置不得少于8位，需使用数字、字母、符号混合编制，至少每月变更一次用户不得将账户、密码泄露给他人4.2.2 账户管理用户及业务管理员账户信息发生泄露和遗失，须尽可能在最短时间内（最长不超过24小时）通知本级系统管理员本级系统管理员在查明情况前，应暂停该用户的使用权限，并同时对该帐户所报数据进行核查，待确认没有造成对报告数据的破坏后，通过修改密码，恢复该帐户的报告权限，同时保留书面情况记录系统管理员帐户信息发生泄露或遗失，应立即向上级系统管理员报告，暂停其系统管理员帐户权限，同时对系统帐户管理及数据安全进行核查，采取必要的补救措施，在最终确认系统安全后，方可恢复其系统管。