方案的制定能最大程度的减少活动过程中的盲目性,保证各项事宜的有序开展,那么方案改如何进行书写呢?以下是小编收集整理的《医院信息安全解决方案》,欢迎阅读,希望大家能够喜欢。
医院信息管理系统安全隐患与解决方案
【摘要】 近年来,社会信息化水平不断提高,大多数医院都认识到了信息化建设的重要性并构建了信息管理系统,提高了管理水平。但是,医院信息管理系统存在较多的安全隐患,例如物理层、网络层、系统层以及应用层都存在安全隐患,很容易出现信息泄露等问题,为此需要通过加强信息安全管理、完善安全技术保障、提高安全服务管理水平等手段减少信息管理系统的安全隐患,增强其安全性。
【关键词】 医院 信息管理系統 安全隐患
引言:
信息管理系统具有多重特点,例如资源共享性、系统开放性等,这些特点虽然是信息管理系统的优势,但也影响到了信息管理系统的安全性,导致信息管理系统当中存在较多的安全隐患,这就需要明确信息管理系统的安全隐患并应用针对性的措施解决问题。
一、信息管理系统概述
信息管理系统涉及到了多个学科,例如统计学、会计学、经济学、数学模型以及组织理论等,应用了诸多技术,例如数据库技术、计算机技术以及网络通信技术等,会受到诸多因素的影响,如组织战略、组织环境、组织文化等,因此信息管理系统不仅是技术系统,也是社会系统[1]。信息管理系统的功能较多,主要包括数据处理功能、预测功能、计划功能、控制功能以及辅助决策功能。信息管理系统的类型较多,如办公自动化系统、通信系统、决策支持系统、企业系统、管理信息系统与执行信息系统、决策支持系统等。
二、医院信息管理系统中的安全隐患
信息管理系统具有多重特点,例如系统开放性、数据共享性、资源共享性、信息聚生性、数据互访性、电磁泄露性等,而这些特点导致信息管理系统出现了较多的安全隐患。从某种角度可以将信息管理系统划分为物理层、网络层、系统层以及应用层这四个层面,这四个层面当中都存在一些安全隐患。
2.1物理层安全隐患
物理层安全隐患指的是由物理因素造成的隐患,例如物理特性以及周边环境等因素都会对网络设备造成影响,可能会导致线路或设备无法正常使用,继而影响到网络系统的正常使用[2]。同时,故障、设备老化、盗取设备、毁坏设备等因素会导致网络系统无法正常使用。此外,医院的网络包括两种类型,即办公网络与专用业务网络,这两个网络之间存在物理隔断,可能会影响到网络的使用。
2.2网络层安全隐患
网络层的安全隐患有很多,例如信息泄露、信息被篡改、网络威胁等。信息泄露与信息被篡改主要包括局域网与上下级网络数据传输线路之间存在攻击以及篡改等行为。外网的安全隐患主要包括网络监听以及探测扫描系统安全漏洞。
2.3系统层安全隐患
系统层的安全隐患也有很多,例如数据库、操作系统以及产品当中的病毒和漏洞威胁。医院网络操作系统当中的安全漏洞相对较多,会出现很多安全隐患。
2.4应用层安全隐患
非授权访问与身份认证漏洞是应用层出现的安全隐患。当前,大多数服务系统登录采用的都是静态的口令,而窃取静态口令的难度非常小,所以很多非法用户可能会通过破解静态口令的方式进行信息窃取等,如果出现这种情况医院就可能会出现信息泄露等问题[3]。
三、解决医院信息管理系统安全隐患的方案
3.1增强信息安全意识
意识决定行动,若想减少信息管理系统当中的安全隐患就应该增强信息安全意识,为此医院管理者应该提高对信息管理系统的重视程度,不断增强自身的信息安全意识,通过有效措施减少信息管理系统中的安全隐患[4]。首先,医院管理者应该深入研究信息管理系统的重要性,明确保障信息管理系统安全性的必要性。其次,医院管理者应该加大宣传力度,让信息管理系统负责人以及相关工作人员了解为何要保障信息管理系统的安全性,增强其信息安全意识和信息管理意识,并鼓励其为增强信息安全性建言献策。
3.2完善信息管理制度
完善的规章制度可以在一定程度上减少信息管理系统当中的安全隐患,保障信息安全性,为此医院应该根据实际情况制定信息管理制度,并贯彻落实信息管理制度当中的各项条例。第一,医院应当制定信息管理系统应用制度,明确信息管理系统的应用细则,让相关人员严格遵守规章制度进行正确操作。第二,医院应当制定信息管理制度,将信息划分为普通信息和加密信息两种类型,让相关人员根据具体要求进行信息的处理工作,避免出现错误。第三,医院应当制定完善的奖惩制度。在操作过程中,部分人员可能会出现操作失误等问题,继而造成信息泄露,这就需要对其进行一定的惩罚,同时也需要给予一些工作态度认真负责的人以奖励[5]。第四,医院应该综合考虑各种突发情况,并制定完善的应急预案,避免出现严重问题。
3.3提高人员专业素养
信息管理系统的运行安全性影响着医院的日常经营,而医护人员与维护人员的操作影响着信息管理系统的运行,所以若想保障信息管理系统的安全性就应该加大对工作人员的培训力度,提高工作人员的专业素养。首先,医院应该对所有的医护人员进行计算机培训,提高其计算机应用能力,让医护人员了解如何应用信息管理系统,避免出现错误操作等情况。其次,医院应该对信息中心维护人员进行培训,提高其维护能力,确保在计算机出现问题是时能够及时利用正确的方法解决问题[6]。此外,医院需要构建信息化专员群,安排医生和护士负责科室的信息化工作,从而提高信息化水平。
3.4加强信息安全管理
第一,医院应该在信息化建设规划当中增添信息安全建设内容。完善信息化建设不是一两天就可以完成的事情,需要长期坚持,且保障信息安全性也非常复杂,所以医院应该讲信息安全建设纳入到信息化建设规划当中,并设定不同阶段的具体目标。第二,医院需要完善信息安全管理体系,构建集信息资源共享体系、信息管理系统维修体系、信息安全保密体系、网络安全管理体系、计算机中心工作体系、备份工作体系以及中心机房管理体系于一体的信息安全管理体系,为信息安全管理工作提供科学指导。
3.5完善安全技术保障
医院在加强信息管理系统建设时需要做好信息的安全保障工作,保障信息的完善性、可控性、保密性以及可用性,为此需要采用一些先进的技术手段以及安全措施。
1.医院应当做好内外网的物理隔断工作。大多数病毒的入侵都是以对外接口为基础的,做好内外网的物理隔断工作是降低病毒入侵的关键手段,所以医院應该通过有效措施将内外网隔离开来,同时也不能使用内网电网的USB接口。
2.医院应当保障机房环境的安全性。保障中心机房环境的安全性是保障信息管理系统安全运行的前提与基础,所以医院应该不断优化中心机房的环境。医院应该将中心机房的温度控制在合理范围内,所以可以将机房设置在中间楼层当中,并设置精密空调,将空调的温度设置在23℃-25℃之间[7]。同时,医院应该科学控制中心机房的湿度,一般将湿度控制在40%-55%之间即可。医院也应该在中心机房当中设置监控设备、断电报警设备、消防设备,从而及时处理各种安全隐患。此外,医院应该做好机房的清洁工作,保障机房的干净整洁。
3.做好数据库维护工作:医院应该选择安全系数高的数据库,并根据系统需求定期对数据库进行升级。其次,医院应该做好数据库的权限分级管理工作,避免出现越权访问以及修改数据等问题。应该明确系统管理员的权限以及普通员工的权限,并定期更改用户密码,随时分析数据库的事务。
4.安装各类杀毒软件:安装杀毒软件是降低病毒入侵的关键手段,所以医院应该积极安装各类杀毒软件,并定期利用杀毒软件查杀服务器以及终端的病毒,同时也需要设置网络防火墙,实时监控信息管理系统。例如,医院可以安装卡巴斯基这种杀毒软件,对服务器进行集中管理,当服务器升级时软件就会进行病毒查杀工作,从而保障系统安全。
5.加强桌面安全管理:操作人员需要通过桌面系统访问信息管理系统,所以需要做好桌面的安全管理工作,对信息管理系统进行有效保护,屏蔽不常使用的软件,并禁止匿名登录。
6.完善监控系统与防入侵系统:当前,针对计算机的监控系统与防入侵系统较多,医院可以根据自身需求选择合适的监控系统与防入侵系统,实时监控网络系统的运行状况,避免非法用户强行登录系统。
3.6强化安全服务管理
除了完善安全技术保障外,医院也应该不断强化安全服务管理。为此,医院应当构建信息管理系统安全风险评估机制,从而保障信息管理系统的稳定运行。同时,医院应该在信息管理系统安全风险评估机制的前提下与专业的安全服务机构合作,充分发挥其在信息管理系统中的安全风险评估优势,及时发现信息管理系统当中的缺陷与漏洞并采取合适的解决策略,避免出现严重问题[8]。
四、结束语
信息管理系统对医院来说至关重要,只有做好保护工作才能够避免出现信息泄露等问题,为此医院应该不断增强自身的信息安全意识与管理意识,加大技术投入与人才投入力度,做好各项管理工作,从而增强信息管理系统的安全性。
参 考 文 献
[1]陈成. 浅析医院信息网络的安全管理与维护[J]. 信息记录材料, 2018, 019(009):75-76.
[2]姜晓鹏. 医院计算机信息系统的安全问题及有效控制[J]. 电脑知识与技术, 2016, 12(13):34-36.
[3]马静. 医院计算机系统的网络信息安全防护策略探析[J]. 信息与电脑, 2020, 032(002):198-199,203.
[4]邵泽虎. 医院信息化系统安全与防御措施探讨[J]. 信息与电脑:理论版, 2018, 418(24):197-198.
[5]梁茹雅. 浅析医院信息管理系统与数据库的安全管理[J]. 建筑工程技术与设计, 2017, 000(019):5011-5011.
[6]周松. 浅谈医院计算机信息系统的安全问题及有效控制[J]. 经济管理:全文版, 2016(8):00176-00177.
[7]李扬. 浅谈医院信息化建设中的网络安全分析与防护[J]. 工程技术(文摘版)·建筑, 2016(6):00295-00295.
[8]白崇俭, 朱海婷. 浅析医院信息系统的网络安全管理与维护[J]. 心理医生, 2017, 23(007):253-254.
作者:赵昱
【摘 要】随着医院信息化建设的不断深入,信息系统的正常稳定运行已经成为医院医疗业务正常开展的基础条件,卫计委及有关部门以指导意见、管理办法、保护措施等方式下文明确要求三级医院核心业务系统安全等级不低于第三级。文章从医院实际情况出发,对应用系统摸底调查、初步定级、整改方案、回归性测试、备案等实施步骤进行阐述。
【关键词】医院信息化;等级保护;等级测评
1 项目背景
针对医院信息安全现状及安全形势,根据《关于加强信息安全保障工作的意见》(中办发〔2003〕27号)、《信息安全等级保护管理办法》(公通字〔2007〕43号)、《湖南省卫生行业信息系统信息安全等级保护实施方案》(湘卫办发〔2012〕28号)等文件与法规的要求,并结合当前网络安全形势的需要,对医院重要业务系统进行等级保护测评与风险评估很有必要性。通过深入评价重要业务系统的信息安全等级保护情况,了解目前业务系统的安全状况和存在的安全风险程度,提出全面的整改建议方案,实施安全加固与安全整改建设,加强医院信息系统防攻击、防篡改、防病毒、防窃密、防瘫痪“五防”能力的建设,将切实提高医院信息系统安全保障能力,促进医院信息化工作的健康发展。
2 现状分析
某医院是湖南省首家三级甲等中医医院,“七五”期间全国七所重点建设的中医院之一,2008年12月入选国家中医临床研究基地,2013年7月入选全国中医医院信息化示范单位。其医院信息化建设涵盖HIS系统、LIS系统、PACS系统、EMR系统、成本核算系统、省市医保系统、OA系统、湖南省中医药数据中心等60多个业务子系统。医院有3套物理隔离的网络:医院内部办公网络(外网)、医院内部业务网络(内网)、湖南省中医药数据中心专网(专网)。其网络拓扑结构如图1所示。
3 信息系统安全等级测评方案设计
3.1 测评步骤
信息系统安全等级测评工作可分6个阶段(如图2所示)。
定级准备阶段:包括医院项目启动、组织机构成立、基础信息及系统资料收集、测评所需工具准备等。摸底调查阶段:?譹?訛通过对医院业务子系统的梳理,根据各子系统在医院业务中的重要性不同确定哪些子系统作为测评对象及测评等级;?譺?訛结合各子系统具体情况,确定采用哪些测评方式、测评工具及测评工具的接入方案;?譻?訛明确每一个子系统的详细的测评内容,形成测评方案。初步定级阶段:严格按照既定的测评方案进行,并将测评过程中发现的问题收集整理,形成安全整改方案,医院根据每个子系统测评等级的不同,在充分考虑安全性、实用性、经济成本等因素的前提下进行整改。评审和审批阶段:各子系统整改完成后,进行等级保护整改回归测试,如能基本达到或超过既定测评等级要求,则形成等级保护送审资料。备案阶段:将相关定级申报材料直接报当地公安机关备案。定级总结阶段:公安机关完成对等级保护资料审查、现场核查等程序后给予出具等级保护备案证明材料。
3.2 测评的主要内容和目标
该医院信息化工作发展到目前阶段,已经建设了各种各样的重要、综合性很强的信息子系统,重要业务子系统越来越多、网络覆盖广度与深度不断增加、跨单位跨部门的横向沟通不断增强,医院信息化在向广度与深度迅速扩展,同时医院网络系统面临的信息安全风险与挑战也越来越大。依据上述标准、规范及指导意见,参照行业主管部门已有相关的行业定级指导文件,结合该医院具体情况,本次信息安全等级保护测评与风险评估具体对象为核心数据机房、HIS系统、LIS系统、PACS系统、EMR系统、中医药省级数据中心相关系统。拟按照三级信息系统进行安全保护。
3.3 风险评估
风险评估是要了解信息系统的管理、网络和系统安全现状,哪些环节、数据是最重要的、最敏感的,是否已部署有效的安全措施、管理措施,确定一旦威胁发生后,其潜在的损失或破坏,并确定这些损失是否可控、可承受,进而确定相应的信息安全保护等级。对当场整理的信息进行深入分析,从而归纳整理成为信息系统的缺陷评估报告、信息系统使用风险评估报告等,以详细掌握信息系统在使用过程中潜在的问题或风险,并且将其作为等保差距分析的重要内容,同时为后续的优化与健全提供资源。
3.4 差距测评
在经过差距测评与评价后,对医院信息系统的基本情况有了大致的了解,进一步明确了目前信息系统使用与所需求信息系统之间的距离。
(1)差距测评主要内容。一是单元测评:主要测评基本安全控制在信息系统中的实施配置情况;二是整体测评:主要测评分析信息系统的整体安全性。单元测评包含的内容涉及信息系统安全技术和安全管理上的各个安全控制措施。整体测评主要是基于单元测评开展深入的测评研究,主要工作项目涵盖了安全控制、区域相互作用的安全测评和系统结构安全测评。
(2)差距分析表。在开展等保差距分析前要对各项数据进行整理,以归纳出差距分析表,表中要详细罗列需要优化的内容。优化项目组会根据信息系统所需要的安全需求来针对当前信息系统的安全使用情况进行优化,去除不合适项目,增加能够满足用户信息系统使用需求的安全保护措施。主要表现在以下2个方面。?譹?訛全管理差距分析:包括安全管理制度、系统建设管理;?譺?訛安全技术差距分析:包括网络安全、数据安全及备份恢复。
3.5 安全整改
根据国家相关部门对信息系统所提出的一系列要求,全面而科学地评估需要明确医院业务网络平台信息系统风险,协助医院合理确定安全保护等级,在这一情况上进行更加合理的设计规划,从而打造一套详细、全面的安全体系保护方案。该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容,实现信息资源的机密、完整、可用、不可抵赖和可审计性,基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
医院业务网络平台的总体信息安全技术体系改造,包括以下几个方面:?譹?訛建设业务网络平台安全基础设施;?譺?訛业务网络平台信息系统的边界安全保护;?譻?訛业务网络平台信息系统的计算环境安全保护;?譼?訛建立业务网络平台信息系统的安全管理和运维体系;?譽?訛业务网络平台整体达到等级保护相关等级要求。
3.6 整改回归测试
整改实施工作完成进入整改项目验收阶段,组织专家技术团队对验收方案工程的符合性及可行性進行评审,并负责对工程是否达到等保要求进行回归测试,通过对信息系统的等级保护整改措施落实情况与《信息系统安全等级保护基本要求》之间的符合程度再一次进行评判、复查,形成回归测试后的信息系统安全等级保护测评报告。
3.7 等级保护备案
在信息系统完成整改实施及其工程验收之后,进一步完善主管部门备案所需要的文档和资料,并报当地信息安全等级保护主管部门备案、定级相关程序,取得信息系统安全等级备案证明。
参 考 文 献
[1]张益钊,朱卫国,孟晓阳,等.医院信息系统等级保护测评实践[J].医学信息学杂志,2015,36(10):14-18.
[2]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信,2014(9):148-149.
[3]刘颖.医院信息系统推进医院精细化管理[J].现代企业教育,2013(20).
[责任编辑:陈泽琦]
作者:龙智勇
摘要:随着医院信息管理系统的大规模应用,产生了与诊疗活动密切相关的海量数据,这些数据一旦破坏或丢失、就会给医院造成不可估量的损失,其安全性越来越受到重视。本文从多个角度阐述医院信息管理系统面临的问题,并就如何增强医院信息系统的安全性,具体包括机房安全防范、网络安全防范、数据库安全防范、应用设备安全防范等方面提出了自己的见解。
关键词:医院信息系统;数据库安全;网络安全
目前医院信息管理系统的应用正在由单纯的以财经为主线的模式发展成为以电子病历系统为主线,以影像、实验室管理为支持,集合OA办公,药械管理、后勤管理等多个层面的信息化管理系统。它的应用在给医院管理提供极大的便利的同时也产生了对信息数据的严重依赖。同时,医疗数据已成为医院赖以生存的宝贵财富,数据一旦丢失或出现问题,都会给医院带来巨大的损失。现就医院信息系统安全面临的问题及解决方法提出一已之见。
一、医院信息安全问题分析
(一)机房环境安全分析
信息中心机房安全对医院信息系统异常重要,它直接影响信息系统能否正常工作。它的工作环境影响将对整个系统设备能否长期正常工作产生不可估量的影响。机房环境温度、湿度、静电等都会对设备的正常运行产生影响。同时,机房设备被盗、人为损坏也是影响医院信息安全的一个原因。
(二)网络安全分析
医院的网络安全环境随着无线网络的全面覆盖和无线应用APP在医疗中的不断投入使用对网络安全提出了新的要求。木马与病毒、操作系统漏洞、黑客攻击、外来工作人员等因素导致网络安全环境日益恶化,现有安全技术手段逐渐暴露出安全防护力度不够,强度不高等问题。
(三)数据安全分析
医疗数据安全是医院信息安全的最主要防护重点,是整个信息安全防护的最重要核心。由于信息系统覆盖面广,全天不间断运行,产生有大量、种类繁多的信息,应对黑客攻击、DDoS攻击面临困难,而由于数据库的审计记录不足、身份验证等问题还可能带来信息泄露、信息篡改等问题。
(四)应用系统安全分析
应用系统从自身架构上基本包含数据采集、数据处理与汇总分析、人机界面以及各层之间的API接口,这些组成部分从主观上增加了应用系统本身的安全风险,而应用系统本身安全又包括应用系统架构设计安全、模块间数据通讯安全、数据存储安全设计、访问控制、身份认证等主要方面,因此每个层面都需要在系统设计时进行安全考虑和设计。
(五)不可预见的事故及灾害
这种情况比较少见,但具有随机性和不可预知性,危害巨大,比如存储器故障或服务器故障而导致的数据非人为性损坏,电源突然中断造成系统硬件故障或数据丢失等。还有自然灾害。如雷击、火灾、地震、严重的洪涝灾害等。
二、医院信息安全解决方法
(一)加强硬件建设
由于医疗服务要保持连续,因此要对系统实现双机热备,它可以在一台主机出现宕机的情况下自动接转服务。对于核心交换机、关键路由设备、最后都能实现双机,这样一旦出现问题不至于对全局产生影响。同时,有条件的还要建立灾备机房,即是在不同场所间建立相应等级别机房。在一个机房出现问题时,备份机房可以时进接转提供应用服务,并保障数据安全。这样在更大程度上避免各种不测可能造成的数据破坏和应用中断。
(二)建立数据安全防范机制
1.多重备份
要通过对操作系统文件、数据库系统文件和用户文件在内的所有数据进行实时备份、在线备份、离线备份,避免硬盘损坏、误操作、病毒等造成重要数据的永久丢失,确保数据存储安全。
2.进行身份认证
为了确保数据安全,为用户颁发数字证书。用户在终端登陆系统时,必须输入私钥密码方可与信息系统建立安全连接,并根据数字证书中的主体信息判断用户身份。来访者身份得到验证后,才被授予相应的数据操作权限,并且该权限仅在本次登录中有效,一旦其退出登录,该用户权限即被收回。对于已经离岗的原工作人员要及时收回其用户权限。
(三)加强网络安全防护
要建立网络安全访问路径,对客户端和核心服务器间进行路由控制,对不同医疗部门根据工作职能、重要程度和信息敏感性等要素划分不同的网段,并对不同网段按照重要程度划分安全域。根据医疗业务、管理业务等系统进行数据流向的访问控制,建立端口级的细粒度控制。应能够在检测到攻击行为时,记录攻击源IP、攻击类型、目的、时间等,在发生严重入侵事件时进行入侵报警进行防范。还要在网络边界处对恶意代码进行检测和清除,做到边界层的恶意代码防范。
(四)加强安全意识教育
作为系统的操作者和使用者,把系统安全放到什么样的地位将对系统安全起到决定性作用。把人员思想与单位制定的信息安全标准、规范、制度等紧密结合,高度统一,从而建立健全信息安全教育相关培训制度和机制。
本文通过对机房、网络、数据库安全等方面进行全面分析,总结了医院数据安全面临的问题,采取硬件、网络、数据等多方面的安全防范措施,在应用中相互结合,就可以构成一个强大的防护网,保障医院信息系统的安全。
【参考文献】
[1]李楠.卫生网络和信息安全的现状分析[J].中国软科学.2015,(02).
[2]薛颖.试析医院计算机网络安全维护[J].科技展望.2014,(15).
作者简介:
李缙杰(1982-),男,辽宁大连人,焦作卫生医药学校助理讲师,研究方向:临床医学、教育管理。
李金丽(1980-),女,辽宁大连人,硕士,焦作卫生医药学校讲师,研究方向:计算机应用。
作者:李缙杰 李金丽
医院信息系统是支撑医疗体系改革的“四梁八柱”之一,是计算机技术对医院管理、临床医学、医院信息管理长期影响、渗透以及相互结合的产物,它与医院建设和医学科学技术的发展同步。然而随着医院信息化的迅猛发展,信息的高度集中使得核心数据泄密的隐患也越来越突出,在利益的驱使下非正常的统方行为、患者信息泄密行为屡有发生,各级医疗机构急需采取“教育为先、制度为主、技术为辅”的综合管理手段,多管齐下,对敏感数据进行实时监控,对违规操作进行追根溯源和智能控制,全面提升信息系统安全管理水平,有效遏制违法、违纪活动的发生。
通过对医院信息系统的“业务层面、技术层面、管理层面”的安全需求分析,安恒信息提出内/外并重的安全解决方案(参见示意图),即:在现有的安全保障措施下,在互联网接入区增设WEB应用防火墙,防止来自医院外部的信息窃取;在不影响HIS系统、PACS系统、EMR系统等应用系统的前提下,在核心业务服务区增设数据库审计设备,通过对网络中的海量、无序的数据进行处理、关联分析,实时监控内部人员的越权、违规操作,防止患者信息、医院经营/财务/科研等敏感数据的外泄,构筑八大安全防线,保护院方的核心利益。
防非法“统方”
医药购销领域商业贿赂给临床医生带来很大负面影响,非法“统方”是医药代表事实定量贿赂的主要依据,医院信息科、药剂科、开发商是提供“统方”的重要来源。应用数据库操作监控审计设备,对于来自HIS系统、EMR系统等业务系统的所有数据库操作行为保留操作痕迹,以便在追究法律责任或医疗纠纷时可提供回溯性认定;对于来自维护人员的远程数据库操作进行实时监控,实时阻断正在发生的非法“统方”违纪、违法行为,使工作人员从技术上远离“统方”禁区。
防恶意篡改
医院信息系统全面记录了患者的医疗活动,包括医嘱、病程记录、各种检查检验申请与结果、手术记录、影像、护理信息、费用信息等,信息的真实性、可靠性、保密性颇受关注。然而为满足提高医疗活动效率和质量的需求,不仅医疗机构内部多个业务系统之间存在信息的流转,同时也不可或缺的需要开放一些对外的接口,比如:医院的门户网站、患者服务平台、医疗保险接口、远程医疗咨询系统接口等,使得信息系统的安全风险剧增。部署WEB应用防火墙,可以实时检测异常入侵,有效识别、阻止各类应用层黑客攻击,阻断各类利用技术漏洞未授权修改综合业务、临床业务系统数据的行为,保障信息的真实性。
防隐私泄密
包括病历信息在内的海量级数据信息的保密关系到医院的信誉。患者信息如:亲属信息、社会保障信息、既往病史、医嘱、检验申请单及检验结果等均属于绝对的个人隐私,对这些敏感信息的阅读、复制、打印均需要设置相应的权限,并记录使用记录。WEB应用防火墙的部署,可以抵御外部利用技术漏洞的数据盗用、窃取、篡改行为,数据库审计设备的部署,可以从技术上监督医疗机构管理制度的落实情况,阻止患者信息、诊疗信息、费用信息的外泄。
防越权操作
为有效遏制“统方”行为,各医疗机构纷纷采取“角色分离、最小授权”的安全管理制度,对系统管理员、数据库DBA、安全管理员分别给予不同的操作权限。数据库审计设备的应用,不仅能够重点监控未通过业务系统(HIS、PACS等)进行的数据库操作(比如:误操作数据的纠正、应用程序BUG引起的数据调整),同时可以依据细粒度的审计规则(如:HIS系统中的价格数据维护,仅允许物价办公室专岗人员进行),发现越权操作行为并及时告警。
防权限滥用
安全不仅是技术问题,更多的是管理问题,人的因素才是关键。利益的驱使、法律意识的淡薄,导致部分人员利用职务之便,铤而走险,监守自盗,为自己及他人谋利益。数据库审计设备的部署,一方面给这些不法之徒树立了警示碑,另一方面从技术上对违规操作加大了监管力度,一旦发现疑似违规操作自动告警,为及时制止违法、违规行为赢得了时间
防事后抵赖
一旦发生安全事件,攻击者或内部人员往往否认自己的操作行为。职权分离的数据库审计设备的部署,不仅满足了信息系统安全等级保护及企业内控的规范要求,同时,友好真实的操作回放功能使得攻击行为、违纪行为暴露无遗,为公安机关查处违法案件提供有力的证据。
防保险欺诈
病历信息(如:法定医学证明及报告、收费收据等)在医疗事故、交通事故、社会医疗保险、伤残鉴定、遗产继承等案件诉讼中的法律作用日趋重要,这些信息若被不法分子利用,可能造成保险诈骗。通过敏感表的细粒度访问控制规则及远程操作的监控,识别未授权操作,并实时短信告警或阻断操作。
防医疗纠纷
医闹事件不时见诸报端,不少患者家属认为医院的医疗鉴定不够客观,总是怀疑医院伪造、篡改病历。数据库审计设备能够公正、客观地记录所有的操作,真正实现4W全程审计(who谁、when什么时间段内、where通过什么途径、what对什么(数据)进行了哪些操作、结果如何)。一旦出现医疗纠纷,完整清晰的操作回放为医疗纠纷的快速处理提供科学依据,维护医院信誉。
为规范和加强我院信息系统安全工作,保证医院HIS系统的信息内容安全,根据《关于开展XXXX省医疗卫生行业网络与信息安全检查行动的通知》要求,结合我院实际情况,制订本检查方案。
一、检查目的
通过开展全面的安全检查,进行信息系统安全风险评估、安全测评等工作,及时掌握信息系统安全状况,认真查找隐患,堵塞安全漏洞,落实和完善安全措施,建立健全信息安全保障机制,减少安全风险,提高应急处置能力,确保信息系统持续安全稳定运行。
二、检查范围
我院医院信息管理系统(HIS)、医院网络系统。
三、检查内容
检查与网络和信息系统相关的硬件、软件、服务、信息,对信息系统存在的问题进行查找、分析;对已有安全管理体系、安全措施进行核实,主要包括以下内容:
(一)安全管理制度建立与落实。是否按照要求建立健全了信息安全责任制,做到了机构到位、人员到位、责任到位、措施到位。运维管理、保密管理、密码管理、等级保护等制度建立和落实情况。
- 1了风险评估和安全评测,开展方式是自行开展还是委托开展,委托开展是否签订了安全保密协议。
(九)信息安全经费保障情况。信息安全经费数额、信息安全经费在信息化建设经费中所占比重及信息安全经费是否按预算计划执行。
(十)物理环境。物理环境的建设是否符合国家的相关标准和规范,是否按照国家的相关规定建立机房安全管理制度,机房安全管控措施、防灾措施、供电和通信系统的保障措施是否有效。
(十一)安全隐患排查及整改情况。对以往开展的信息安全检查、风险评估和安全测评,发现安全隐患和问题的整改情况。
四、检查步骤及时间安排
(一)时间安排。从2012年9月6日开始至2012年9月13日止,开展医院信息系统安全检查工作。
(二)检查准备及自查。由微机中心负责开展安全检查工作,并参照本方案对检查工作进行安排部署并开始自查。
(三)分析总结。根据自查情况,系统分析信息系统的安全状况和安全隐患,查找问题产生的原因,上报自查报告和附表。
(四)问题整改。对检查过程中发现的安全问题,短时间内能完成的要及时整改,不能在短时间内整改的要制订相应整改计划,尽快完成整改,并提交整改报告。
- 3 -
医院信息化安全等保解决方案
发布日期:2014-03-10 浏览次数:408
一、行业背景与需求
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)(以下简称《指导意见》)。为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求:
■ 2012年5月30日前完成本单位信息系统的定级备案工作;
■ 根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案;
■ 2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议三级甲等医院的核心业务信息系统安全保护等级原则上不低于三级。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内三甲医院定级要求,大部分省(市)定级要求如下:
二、迪普解决之道
为帮助三甲医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为三甲医院提供融合化的等级保护解决方案。 ■ 整体思路
医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。内网主要承载着HIS、LIS、PACS等医院三级信息系统,外网主要承载医院OA、网站、mail等二级信息系统。《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统,分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。
网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示:
■ 方案描述 医院内网信息安全等级保护方案设计,如下图所示:
图1 首先,将医院内网分为多个安全区域,数据中心区、终端接入区、安全管理区、灾备中心与外联区域。 根据不同的业务系统与安全区域划分VLAN,在每个区域边界部署DPtech FW1000防火墙,根据访问需求配置安全访问控制策略。对于重要区域边界部署(数据中心前端与外联区域边界)IPS2000入侵防御系统 /UTM2000统一威胁管理系统/DPX8000深度业务交换网关,对应用层攻击进行检测与在线防御,并在线过滤网络病毒、恶意代码;
内网终端部署DPtech TAC终端接入控制系统,对内网接入终端进行准入控制、状态评估与终端行为审计,对内部终端通过多网卡、代理等方式的非法外联行为进行阻断;
在数据中心区域中旁路部署DPtech UAG3000审计网关,与TAC系统进行联动,实现用户、IP、数据库操作的三层业务日志关联,能够帮助发现医院HIS系统存在的滥用、误用、恶意使用的行为;
数据中心部署DPtech ADX3000应用交付产品,实现重要业务系统负载均衡,在确保重要业务系统可靠性的同时,优化业务系统的服务能力;
在安全管理区部署DPtech UMC统一管理中心与DPtech Scanner1000漏洞扫描系统,为安全管理提供必要的技术手段,并集中收集、存储数据库审计日志、内网终端行为审计日志、防火墙与IPS业务日志等。
医院外网信息安全等级保护方案计设,如下图所示: 图2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。
对外服务器区前端部署DPtech FW1000防火墙,对服务器访问行为进行控制,并同时部署DPtech
WAF3000 Web应用防火墙,对医院门户网站进行重点防护,针对WEB攻击漏洞进行全面检测和加固,防止网站被攻击与篡改;
互联网边界部署DPtech FW1000防火墙、DPtechIPS2000入侵防御系统,构成2-7层的安全防护体系,实现远程数据加密,防止非授权访问,检测与阻断应用层攻击,并防御蠕虫、病毒、木马等网络攻击;
部署DPtech UAG3000审计及流控网关,对外网用户的上网行为进行控制,合理分配带宽,并对上网行为进行审计;
部署DPtech TAC终端接入控制系统,对外网接入终端进行准入控制、状态评估与终端行为审计,防止非法终端与不安全终端接入网络,检测外网终端的安全漏洞,结合第三方补丁服务器修复漏洞,并对外网终端的网络使用行为、桌面使用行为进行管控;
在安全管理区部署DPtech UMC统一管理中心,对安全设备进行集中管理。
方案设计参考标准
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008信息安全技术信息系统安全等级保护实施指南 GB/T 20271-2006 信息安全技术信息系统安全通用技术要求 GA/T 708-2007 信息安全技术信息系统安全等级保护体系框架 GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型 GA/T 709-2007信息安全技术信息系统安全等级保护基本配置
信息安全技术信息系统等级保护安全建设技术方案设计规范
信息安全技术信息系统等级保护安全设计技术要求
信息安全技术信息系统安全等级保护测评要求 ……
三、为什么选择迪普
迪普科技“医院信息系统等级保护解决方案”依据国家信息安全等级保护相关政策标准与卫生行业的相关标准与要求,结合医院信息化安全实际需求进行设计,可全面提升医院信息安全防护能力与安全管理能力。主要具备以下特点: ■ 合规性
本方案全面依据《定级指南》、《基本要求》等相关标准,结合迪普科技丰富的等级保护建设经验,充分理解《信息系统安全等级保护测评要求》,对其中的每一项要求均有相关的产品功能、安全策略与之对应(除非网络产品涉及的要求外),采用本方案的医院信息化系统可充分满足国家与医疗行业等保建设要求。 ■ 融合化
医院信息化安全防护需求多样化,主要关注数据库审计、终端安全管理、边界安全防护、网站系统防护、互联网上网行为管理、重要业务系统备份几个方面。迪普科技专注于网络安全与应用交付领域,针对多样化的需求可提供全方位的产品与解决方案,全面提升医院信息化系统的安全性、可用性、可靠性。 ■ 高可靠
医院信息化系统与医疗业务息息相关,业务系统的可靠性、连续性要求占首位,安全建设不能增加额外的故障点。迪普科技安全与优化类产品广泛运用于电信运营商行业,具备电信级可靠性,同时支持业内领先的“静默备份”、“虚拟化”等双机备份技术,对于重要的HIS系统、数据库等可提供硬件负载均衡产品实现智能备份,从而全面提升医院信息化系统的可靠性。 ■ 易管理
医院信息化管理工作繁重,传统的安全解决方案往往大幅增加安全管理工作的难度,迪普科技以UMC统一管理中心为核心的安全管理解决方案,实现安全设备的统一管理,设备状态集中监控,安全策略集中下发,对海量安全日志进行集中采集、分析、关联、汇聚和统一处理,实时输出分析报告,帮助管理员及时对网络安全状况进行分析,其可视化展现的方式极大的降低了网络管理复杂度。
我院计算机网络信息系统已经几乎遍布于全院的各个科室,随着各种应用的深入,医院各项业务对信息系统的依赖与日俱增,在享受信息系统给医院带来种种便利的同时也存在着巨大的风险。考虑到医院内信息系统突发事件可能引起的危害,必须系统地、有组织地做好应急预案,尽量控制风险,降低风险,减少损失。为防患于未然,特制定本预案。
一、应急预案的定义
信息安全应急预案是在对各部门的全部业务处理功能的严格调查基础上,针对每项关键业务流程,受信息系统可能发生不同程度突发事件的影响,准备和实施的一套信息安全应急预案,其基本价值在于:在信息系统突发事件出现之前就已经制定相应措施,做好一定准备;一旦信息系统安全事件发生,可以提供和实施这些替代方案,以最大限度地争取时间,减少损失。
二、成立医院“信息系统安全应急预案”领导小组 组 长:XX 负责决定批准预案实施与撤消及上
级相关部门报告、负责院内协调、组织、网络设备购买等工作;
副组长:XX 负责预案实施过程的全部技术工作
及协调软件和硬件供应商、线路运营商的工作;
成 员:
XXX 负责协调电力保障工作; XXX 负责协调收费处工作; XXX 负责协调各药房工作; XXX 负责协调护理工作;
XXX 负责协调医疗和医技工作; XXX 负责技术支持和通知工作;
三、医院信息系统出现故障报告程序
当各工作站发现计算机访问数据速度迟缓、不能打开程序、不能保存数据、不能访问网络、要立即向信息科报告。信息科工作人员对各工作站提出的问题必须高度重视,做好记录,经核实后及时给各工作站反馈故障信息。同时召集有关人员及时进行讨论,如果故障原因明确,可以立刻排除的,应尽快恢复工作;如故障原因不明、情况严重、不能在短期内排除的,应立即报告信息系统安全应急预案领导小组组长,由信息系统安全应急预案领导小组统一协调全院各部门工作,以保障全院医疗工作的正常运转。
四、医院信息系统故障分级及首要工作
根据故障发生的原因和性质的不同可分为三类:
一类故障:由于主服务器不能正常工作、核心交换机损坏、主服务器信息数据丢失、全院网络瘫痪等造成的系统故障。
二类故障:由于部分交换机损坏、部分网络瘫痪、部分终端软、硬件故障,部分病人信息丢失等造成的系统故障。
三类故障:由于单一终端软、硬件故障,单一病人信息丢失、偶然性的数据处理错误、各工作站操作不熟练或使用不当、某些科室违反操作规范等造成的系统故障。
针对上述故障分类等级,处理原则如下:
一类故障——由信息系统安全应急预案领导小组副组长上报组长并启动本应急预案。
二类故障——由信息科组织相关技术人员共同解决。 三类故障——由信息科技术人员单独解决。
五、发生信息系统安全一类故障时的紧急预案
(一)当信息系统应急预案领导小组副组长一旦将故障确定为一类故障时,首先应由小组副组长立即报告组长,同时组织恢复工作,处理故障时应充分考虑到特殊情况,如节假日、就诊病人多、医院有重大活动等对故障恢复带来的时
2 间影响。
(二)一类故障发生后各部门将根据恢复时间的长短转入手工操作,具体时限明确如下:
1、30 分钟内不能恢复——门诊、住院收费处、药房转入手工操作;
2、2 小时内不能恢复——各护士工作站、各医生工作站、各医技工作站转入手工操作;
3、4小时以上不能恢复——全院各种业务转入手工操作。
六、各部门的具体协调安排
所有手工操作的统一启动时间须经信息系统应急预案领导小组组长批准授权后,再由信息科通知相关部门,各部门应严格按照通知时间协调各项工作,在未接到新的通知前不准私自操作计算机。
(一)门诊收费处的应急预案
1、各门诊收费处由财务科科长统一协调,由门诊收费处负责人具体负责,要与信息科保持联系,及时反馈沟通最新消息。
2、门诊各收费处应常备收费价格纸质目录和各种手工收据;
3、当信息系统运行中断超过30分钟时,接信息科通知后,收款员方可转入手工操作;
4、门诊收款员要建立手工收费流水账,为病人开据手工收据;
5、当系统恢复正常时,先由信息科通知门诊收费处负责人对本部门所涉及的信息系统应用程序的运行稳定性、可靠性、正确性进行评估,如故障仍存在,要立即向信息科反馈情况;
6、在接到信息科全面恢复运行的通知后,收款员方能逐步转入到机器操作,并尽快在合适时间对手工收据进行补录。
(二)住院收费处的应急预案
1、各住院收费处由财务科科长统一协调,由住院收费处负责人具体负责,要与信息科保持联系,及时反馈沟通最新消息。
2、住院收费处应常备收费价格纸质目录和各种手工收据。
3、当系统停止运行超过 30分钟时,接信息科通知后,收款员方可转入手工操作。
4、对于入院患者,由住院收费处手工登记住院患者基本信息,开具手工预收款收据;对于出院、转院患者,由科室护士长指定一名护士统一在住院收费处进行手工登记患者详细出院信息(必须包含病人联系方式),对于欠费额较大的病人要预交相当额度的押金,并开具手工预收款收据,方可办理出院、转院手续。
5、当系统恢复正常时,先由信息科通知住院收费处负责人对本部门所涉及的信息系统应用程序的运行稳定性、可靠性、正确性进行评估,如故障仍存在,要立即向信息科反馈情况。
6、在接到信息科全面恢复运行的通知后,收款员方能逐步转入到机器操作,并尽快在合适时间对手工收据进行补录。
对住院患者要及时通知患者所在科室,由科室通知患者家属携带手工预收款收据到住院处换领机打收据;对出院、转院患者在所有手工收据补录完毕后,通知患者家属携带相关手续到医院住院收费处进行结算。
(三)护士工作站的应急预案
1、各护士工作站由护理部统一协调,由各科护士长具体负责。
2、系统故障期间临床科室护士应详细记录患者的所有费用执行情况。
3、需要用药的患者,科室护士应详细填写每位患者的药品请领单(包括姓名、住院号、费用类别、药品名称及用量),一式两份,一份用于科室补录医嘱,另一份送药房作为领药凭证。对于需要做相应处置的患者,应详细记录处置项目。
4、在接到信息科全面恢复运行的通知后,科室护士方能逐步转入到机器操作,并尽快在合适时间对手工数据进行补录。
(四)医生工作站的应急预案
1、各医生工作站由医务科统一协调,由各科主任具体负责。
2、系统故障期间临床科室应详细记录在院患者的所有医嘱执行情况,手工开具检验、检查单及手工书写医疗文书。对于出院、转院患者,出院带药由主管医生负责掌握经费情况,如出现费用超支时原则上不予带药。
3、在接到信息科全面恢复运行的通知后,科室医生方能逐步转入到机器操作,并尽快在合适时间对手工数据进行补录。
(五)医技部门的应急预案
1、在系统故障期间应详细留取、整理检查、检验申请单。
2、在接到信息科全面恢复运行的通知后,应根据检查、检验单信息通过手工计价补录相应费用。
(六)药房的应急预案
1、各药房由药械科统一协调,由各药房负责人具体负责。
2、药房应常备纸质医院《药品目录》,完善品规信息。
3、系统故障时,根据临床科室提供的药品请领单发药。
4、在接到信息科全面恢复运行的通知后,应对临床科室补录的药品医嘱进行发药并确认,同时与发药时药品请领单内容详细核对,如发现内容不符,须详细追查。
(七)机房系统停电应急预案
1、当机房发生市电供电突然停电或是电源异常时,首先应和电工取得联系,确认正常停电以及预计停电时间。检查不间断电源的电池可供电时间,确保设备正常运行。
2、当确定停电时间超出机房UPS承载范围后,及时通知各部门做好停电、关闭系统准备。严格按操作手册先关服务器,最后停核心交换机和路由器的电源,等待电力恢复。
3、当确定停电原因是在本身供电系统造成的,立即联系电工达到现场检修。必要时可采取发电机发电、临时电缆铺设、从其它区域进行临时供电。
七、信息科应急处理规程
(一)启动应急预案后,信息科所有工作人员应迅速集合,并根据现场具体情况做以下工作:
1、故障检修:集中分析故障、查找原因、排除故障。
2、技术联络:与软、硬件供应商取得联系,采取有效方法获得技术支持。
3、院内协调:及时通报全院各科室系统故障及修复情况,必要时到重点科室(如收费、药房等部门)协调工作。
(二)故障排除后,信息科应在两天内组织技术研讨会,通报故障原因,制定预防措施,由信息系统安全应急预案领导小组副组长书写故障处理报告并报组长审阅。
我院计算机网络信息化已经遍布于全院的各个部门,随着各种应用的深入,医院业务对计算机的依赖与日俱增,在享受计算机给医院带来种种好处的同时也存在着不少风险。考虑到医院内外信息系统突发事件可能引起的危害,以及与其它部门和系统的依赖性。为了确保关键业务的连续,必须有系统、有组织地作好应急预案的准备,尽量降低风险,减少损失。为防患于未然,特制定本预案。
一、应急预案的定义
信息安全应急预案是在对各部门的全部业务处理功能的严格调查基础上,针对每项关键业务流程,受信息系统可能发生不同程度突发事件的影响,准备和实施的一套信息安全应急预案,其基本价值在于:在信息系统突发事件出现之前就已经制定相应措施,做好一定准备;一旦信息系统安全事件发生,可以提供和实施这些替代方案,以最大限度地争取时间,减少损失。
二、医院信息系统出现故障报告程序
当各工作站发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时,要立即向信息科报告。信息科工作人员对各工作站提出的问题必须高度重视,做好记录,经核实后及时给各工作站反馈故障信息,同时召集有关人员及时进行讨论,如果故障原因明确,可以立刻恢复的,应尽快恢复工作;如故障原因不明、情况严重、不能在短期内排除的,应立即报告院领导,在网络不能运转的情况下由院领导协调全院各部门工作,以保障全院医疗工作的正常运转。
三、医院信息系统故障分级
根据故障发生的原因和性质不同分为三类:
一类故障:由于服务器不能正常工作、光纤损坏、主服务器数据丢失、备份硬盘损坏、服务器工作不稳定、局部网络不通、价表目录被人删除或修改、重点终端故障、规律性的整体、局部软件和硬件发生故障等造成的网络瘫痪。
二类故障:由于单一终端软、硬件故障,单一病人信息丢失、偶然性的数据处理错误、某些科室违反工作流程引起系统故障。
三类故障:由于各终端操作不熟练或使用不当造成的错误。 针对上述故障分类等级,处理原则如下:
一类故障——由信息科主任上报院领导,由医院组织协调恢复工作。
二类故障——由网络管理人员上报信息科主任,由信息科集中解决。
三类故障——由网络管理员单独解决,并详细登记维护情况。
四、发生网络整体故障时的首要工作
1、当信息科一旦确定为网络整体故障时,首先是立刻报告院领导,同时组织恢复工作,并充分考虑到特殊情况如节假日、病员流量大、人员外出及医院有重大活动等对故障恢复带来的时间影响。
2、当发现网络整体故障时,各部门根据故障恢复时间的程度将转入手工操作,具体时限明确如下:
(1)30 分钟内不能恢复——门诊挂号、住院登记、药房等部门转入手工操作。
(2)6 小时内不能恢复——各护士工作站、药房、120 急救站、手术室、医技检查转入手工操作(具体时间由信息科通知) 。
(3)24 小时以上不能恢复——全院各种业务转入手工操作。
五、各部门的具体协调安排
1、所有手工操作的统一启动时间须由信息科通知,相关部门严格按照通知时间协调各项工作,在未接到新的指示前不准私自操作计算机。
2、门诊挂号收费处工作协调 (1)由各收费部门主任负责总体联络协调,要与信息科保持联系,及时反馈沟通最新消息;(2)当网络系统运行中断超过 30 分钟时,要通知收款员转入手工收费程序;(3)门诊收款员要建立手工发票使用登记本,对发票使用情况做详细登记; (4)当系统恢复正常时,由收款员负责对网络运行稳定性进行监测,如不稳定,及时向信息科反馈情况。(5)在接到使用计算机的指令并重新启动运行后,收款员逐步转入到机器操作。
3、出院结算处的工作协调 (1)由财务科主任总体负责联络协调;(2)原则上不在住院处、记帐处进行费用补录,以防止出现帐目混乱; (3)当系统停止运行超过 24 小时,对普通出院患者,推迟出院结算时间。对急诊出院的患 者应根据病历和临床护士工作站记录,进行手工核算,出具手写发票。(4)在网络停止运行期间,出院患者急需结算时,应由该科护士工作站追查是否还有正在 进行的检查项目,并向出院结算处提供详细费用情况后,方可送交结算。
4、护士工作站的协调 (1)护士工作站由护理部共同协调;(2)网络故障期间临床科室应详细记录患者的所有费用执行情况; (3)科室详细填写每位患者的药品请领单(包括姓名、住院号、费别、药品名称及用量),一式两份,一份用于科室补录医嘱,另一份送药房作为领药凭证。
5、医生工作站的协调 (1)网络故障期间临床科室应详细记录患者的所有费用执行情况;(2)出院带药由主管医生负责掌握经费情况,如出现费用超支时原则上不予带药;(3)接到信息科通知恢复运行时间,按要求补录医嘱。
6、医技检查工作协调 (1)在网络停运期间应详细留取、整理检查申请单底联;(2)网络恢复后根据检查单底联登记,通过手工记价补录患者费用。(3)对即将出院或有出院倾向的患者,主治医师要在检查申请单上要注明,检查科室应及时通知科室或住院处沟通费用情况。
7、药房工作协调 (1)药剂科应常备医院《药品目录》,必要时由信息科提供药品最新价格;(2)网络故障时,根据临床科室提供的药品请领单发药;(3)网络恢复时对临床科补录的摆药医嘱进行发药并确认,同时与发药时药品请领单内容详细核对,如发现内容不符,须详细追查;(4)网络恢复后对出院带药处方及时进行确认;各工作站接到重新运行通知时,需重新启动计算机,整体网络故障的工程恢复工作,由信息科严格按照服务器数据管理要求进行恢复工作。
六、应急数据恢复工作规定
1、当服务器确认出现故障时,由网络管理员按《数据备份恢复方案》进行系统恢复。
2、网络管理员由信息科主任指定专人负责恢复。当人员变动时应有交接手续。
3、当网络线路不通时,网络管理员应立即到场进行维护,当光纤损坏时应立即使用备用光纤进行恢复,交换机出现故障时,应使用备用交换机。
4、对每次的恢复细节应做好详细记录。
5、平时每月对全系统备份数据要进行模拟恢复一次,以检查数据的可用性。
七、网络服务器故障应急处理规程
网络服务器故障是因硬件或软件原因致使医院信息管理系统运行停止,一旦发生故障,按下列规程处理。
1、信息科应设 24 小时专人值班,监控网络运行。发现问题,在及时处理的同时迅速向科室领导汇报。故障排除后,应完成故障报告,在技术讨论会上汇报。
2、遇到较大故障,信息科工作人员应迅速集合,集体攻关。具体分为 3 个组做以下工作: (1)故障检修组:集中系统管理员继续分析故障、查找原因、修复系统。
(2)技术联络组:迅速与软、硬件供应商取得联系,采取有效手段获得技术支持。
(3)院内协调组:通知全院各科室故障情况,并到关键科室协助数据保存。
3、全院各系统使用科室制定相应的系统故障数据保护措施,并建立数据抢录小组,发现停机,应保存断点,保护原始数据,断点前后表单分开存放。
4、在停机期间,相关科室应组织数据抢录小组在岗待命,一旦系统恢复,当日应立即完成对重要数据的录入,第二天完成全部数据补录。
5、故障排除后,信息科工作技术组应按制定方案分片包干,协助重要科室进行数据补录工作。
6、故障排除后 2 天内,信息科应组织技术研讨会,分析故障原因,制定预防措施,完成故障排除报告交院领导。
总则
第一条
为加强医院网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合本医院实际,特制订本措施。
第二条
计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第一章 网络安全措施
第三条
遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。
第五条
各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网(需入网的电脑需打报告,由院长批准实施)。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。
第六条
禁止未授权用户接入医院计算机网络及访问网络中的资源,禁止未授权用户使用BT、迅雷等占用大量带宽的下载工具。
第七条
任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。
第八条
医院员工禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。
第九条
计算机各终端用户应保管好自己的用户帐号和密码。严
禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。
第十条
IP地址为计算机网络的重要资源,计算机各终端用户应在信息中心的规划下使用这些资源,不得擅自更改。另外,某些系统服务对网络产生影响,计算机各终端用户应在信息中心的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行。
第二章 设备安全措施
第十一条
凡登记在案的IT设备,由信息部门统一管理 第十二条
IT设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。凡部门(病区)或合作单位自行购买的设备,原则上由部门(病区)或合作单位自行负责,但若有需要,信息中心可协助处理。
第十三条
严禁使用假冒伪劣产品;严禁擅自外接电源开关和插座;严禁擅自移动和装拆各类设备及其他辅助设备。
第十四条
设备出现故障无法维修或维修成本过高,且符合报废条件的,由用户提出申请,并填写《电脑报废申请表》,由相应部门领导签字后报信息中心。经信息中心对设备使用年限、维修情况等进行鉴定,将报废设备交有关部门处理,如报废设备能出售,将收回的资金交医院财务入账。同时,由信息中心对报废设备登记备案、存档。
第三章 数据安全措施
第十五条
计算机终端用户计算机内的资料涉及医院秘密的,应该为计算机设定开机密码或将文件加密;凡涉及医院机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。
第十六条
计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区,一般是C盘)外的盘上。计算机信息系统发生故障,应及时与信息中心联系并采取保护数据安全的措施。
第十七条
终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份,存放在不同的地点;对采用usb设备或光盘保存的数据,要定期进行检查,定期进行复制,防止由于usb设备损坏,而使数据丢失;做好防磁、防火、防潮和防尘工作。
第四章 操作安全措施
第十八条
凡涉及业务的专业软件、IT设备由部门使用人员自行负责,信息中心协助管理。严禁利用计算机干与工作无关的事情;严禁除维修人员以外的外部人员操作各类设备;严禁非信息中心人员随意更改设备配置。
第二十条
计算机终端用户在工作中遇到计算机信息系统问题,首先要学会自行处理,若无法处理,应尽快联系信息中心。
第五章 网站安全措施
第二十一条
医院网站由信息中心提供技术支持和后台管理,由医院相关部门提供经审核后的书面和电子版网站建设资料。
第六章 计算机使用安全措施.
(一).医院的计算机与网络由网络管理员管理维护、其它部门和个不 得私自更改计算机的各项设置。
(二).各部门工作人员未经许可不可随意删除硬盘上的系统软件。
(三).严禁在上班时间使用计算机与网络做与工作无关的事情,如:玩 游戏、看电影、看小说等。
(六).计算机上不得存放有破坏医院计算机与网络正常运行的软件。 (如:黑客程序,带病毒的文件)、电影文件、及不健康的文件。
(七).禁止私自拆卸计算机及外设,更不能私自更换计算机硬件。(备 注:如有私自拆卸或更换被发现,会请示院领导视情节给予处罚。)
(八).由于工作疏忽,造成设备丢失,以设备的当前折算价格,责成 使用人与该部门负责人等相关人员按比例分摊。
(九).未经网络管理员许可,任何人不得因私借走医院信息设备,不 得破坏计算机网络设备。
(十).未经计算机使用人许可,禁止外单位人员使用本医院计算机。 一旦发生故障,由计算机使用人负责。
(十一).禁止设置计算机开机BOIS密码,发现有设置者,办公室有权 在不通知使用者的情况下给予清除。
(十二). 在工作用机上请勿下载、安装、试用不明软件,禁止登录非 法网站,以免造成系统故障。如需使用和安装外来文件或下载互联网上
的文件,请联系网络管理员申请审核。
(十三). 外出、午休、下班等不使用电脑时请及时按照正常关机方法关机,不得强行关闭电源。并检查外配设备是否关闭(显示器、打印机等)。以减少电磁辐射、节约用电、延长电脑使用寿命、保护自己及他人的身体健康。
第七章 处罚措施
第二十二条
有以下情况之一者,视情节严重程度处以50元以上500元以下罚款。构成犯罪的,依法追究刑事责任。
(一) 制造或者故意输入、传播计算机病毒以及其他有害数据的;
(二) 非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的;
(三) 对网络和服务器进行恶意攻击,侵入他人网络和服务器系统,利用计算机和网络干扰他人正常工作;
(四) 访问未经授权的文件、系统或更改设备设置;
(五)擅自与他人更换使用计算机或相关设备;
(六)擅自调整部门内部计算机的安排且未备案;
(七)工作时间外使用医院计算机做与工作无关的事务;
(八)相同故障出现三次以上(包括三次)仍无法自行处理的;
(九)因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭;
第二十三条
计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的,视情节严重,按所破坏设备市场价值的20%~80%赔偿。
第八章 附则
第二十四条
计算机终端用户应积极配合信息中心共同做好计算机信息系统安全管理工作
第二十五条
本制度适用于全医院范围,由办公室负责解释、修订。
第二十六条
本制度自发布之日起实施,凡原制度与本制度不相符的,照本制度执行。
推荐阅读:
医院信息系统安全论文04-17
医院信息安全责任制06-14
医院信息系统安全管理06-11
医院信息网络安全论文04-18
医院信息系统安全建设论文04-22
医院信息系统信息安全等级保护的实施探讨09-12
医院信息网络安全论文提纲11-15
医院信息系统安全建设论文提纲11-15
医院信息系统的管理和安全维护09-12
某医院信息化实施方案10-22
