一、总则

　　(一)为加强计算机系统用户口令(密码)的安全管理，提高计算机系统用户口令(密码)安全管理规范化、制度化水平，完善信息安全管理体系，特制定本制度。

　　(二)医院所使用的医院管理及业务相关计算机系统用户口令(密码)的安全管理适用本制度，其中应用系统包括但不限于：HIS系统、LIS系统、电子病历系统、院感管理系统、OA系统等。

　　(三)本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中，用于验证用户身份的字符串，以下简称计算机系统用户口令。计算机系统用户口令主要为静态口令、动态口令等。静态口令一般是指在一段时间内有效，需要用户记忆保管的口令。动态口令一般是指根据动态机制生成的、一次性有效的口令。

　　(四)计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。

　　(五)计算机系统用户口令持有人应保证口令的保密性，不应将口令记录在未妥善保管的笔记本以及其他纸质介质中，严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上，同时严禁将计算机系统用户口令借给他人使用，任何情况下不得泄漏计算机系统用户口令，一旦发现或怀疑计算机系统用户口令泄漏，应立即更换。

　　(六)计算机系统用户口令必须加密存储计算机系统中，严禁在网络上明文传输计算机系统用户口令，在用户输入口令时，严禁在屏幕上显示口令明文，严禁计算机信息系统输出口令明文。

　　(七)计算机系统用户口令持有人应保证口令具有较高安全性。选择使用口令安全强度较高的口令，不应使用简单的代码和标记，禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。

　　(八)任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令，盗用他人访问权限，威胁信息系统安全。

　　(九)具有登录信息系统权限的用户必须设置用户口令或采用其它验证用户身份的方式，严禁不验证用户身份直接登录信息系统。

　　二、岗位及其职责

　　(一)信息科设立全院用户口令，统一管理重要服务器主机系统、核心网络设备、安全设备等超级用户以及重要系统中具有关键访问权限用户的口令。

　　(二)计算机用户口令持有人负责所持计算机用户口令在使用过程中的保密，负责设置、保存、更换计算机用户口令，负责口令自身的安全强度。

　　(三)系统管理(维护)人员、网络和安全设备管理(维护)人员负责启用计算机系统、网络和安全设备的口令安全管理相关功能；负责删除计算机系统、网络和安全设备多余用户和口令。

　　三、服务器主机系统、网络和安全设备用户口令安全要求

　　(一)系统用户口令主要包括服务器主机系统、网络设备、安全设备等系统用户口令。服务器主机系统用户是指能够登录服务器主机系统的用户。

　　(二)服务器主机系统、网络设备、安全设备等的超级用户口令以及重要系统中具有关键访问权限用户的口令应由专人设置与管理。

　　四、应用系统用户口令安全要求

　　(一)应用系统用户口令是指只用于访问应用系统的用户口令，口令对应的用户为应用系统用户，在操作系统中并不存在相应用户。

　　(二)应用系统在开发过程中必须同步实现满足计算机系统用户口令基本要求的机制和功能，通过技术手段实现安全管理要求。对于现运行的、没有达到口令基本要求的计算机系统的改造或升级，可结合具体情况稳步开展。同时，必须采用相应的管理措施，加强计算机系统用户口令的安全管理，保障应用系统的安全。

　　(三)应用系统用户必须设置口令或使用其它身份认证方式，严禁不验证用户身份访问应用系统(对于信息网站中只浏览网页的用户，可不设置口令)。

　　(四)应用系统用户的口令应定期更换，口令最长有效期可根据应用系统的重要程度和用户的权限设定。

　　五、应用口令申请

　　各业务及管理科室在应用系统过程中，需要添加及删除用户、变更用户权限、重置用户口令等操作，需要本人书面申请，上级主管科室(医务处、护理部、药学部等)负责人签字批准后，信息科备案执行。