医院人事档案信息化建设后的法律效应问题初探
摘 要:人事档案记述和反映个人经历、德才表现和社会关系,是医院培养、选拔和使用人才的重要依据。维护医院人事档案信息化建设后的法律效应问题,可以确保医院信息化人事档案的安全性和可靠性。本文通过分析医院人事档案信息化建设后的法律效应的必要性,进一步探讨如何体现医院人事档案信息化建设后的法律效应,并提出增强医院人事档案信息化建设后的法律效应的几点建议,以期推进我国医院信息化人事档案管理的规范化、标准化及法制化进程。
关键词:医院;人事档案;信息化建设;法律效应
人事档案管理是一项保密性、政治性十分强的工作,信息化管理在带来诸多方便之时,也无可避免带来一些安全性的问题。目前,我国法律是规范医院人事档案安全监管行为、预防和减少信息安全事故、保护信息化个人资料的重要保障。通过法律去约束信息化人事档案管理,目的在于增强法律效应,提高安全效能。其中,法律效应问题渗透在医院人事档案信息化建设后的方方面面,主要包括人事档案安全储存、录入与更新、传递与利用。探索医院人事档案信息化建设后的法律效应问题,促进人事档案信息化发展是如今十分重要的课题。
1.研究现状
医院人事档案信息化建设有其必要性,已有研究从便捷性、系统性与重要性三个方面展开论述。吴瑾提出利用医院信息中心局域网络平台建立人力资源管理子系统,可以实现对员工人事档案快速、准确的检索查询,使医院人事档案管理工作系统化、条理化。同时,从安全、保密的角度,提出医院人事档案的信息化,比传统管理人员专门管理、单独存放,有更大的优势。人事档案信息化的建设对整个医院的建设和发展作用重大。〔1〕钱峰指出,医院是人才聚集地,人事档案管理在医院显得至关重要,医院建立信息化人事档案管理,对医院发现、了解、考察、培养、掌握人才的发展状况提供了及时、准确、可靠的依据,医院传统的人事档案管理必须向信息化方向转型。〔2〕徐昊指出我国医院规模近些年一直在扩大,人数和范围一直在增加,尤其是编外人员数量的增加使医院人事档案的管理压力剧增,建设信息化人事档案管理制度提高医院人事档案管理的效率。他从人事档案信息化建设的可行性、时效性、同步性与制度化四个方面提出了有价值的建议。〔3〕
目前对人事档案体制的研究比较多,但对医院人事档案信息化建设后的法律效应研究则基本没有。刘乃贵、张征提出我国目前的人事档案管理封闭化、内向化,不能满足市场经济条件下人才流动的需要,从而极易导致人事档案信息的滞后与失真。建设信息化档案管理制度,在适度公开的前提下完善人事档案信息公开内容、程序等法律制度,是坚持依法治国的有益尝试,有利于保护档案主体的知情权和其他合法权益。〔4〕张亚玲、胡元潮从我国目前人事档案制度存在的立法滞后性、概念模糊性、体制不健全、开放程度底等问题分析,提出人事档案制度改革要从上至下进行,推动人事档案管理信息化,建立健全人事档案法律体系,加大公民人事档案覆盖率,加大人事档案开放程度,全力推进人事档案管理制度改革。〔5〕
2.医院人事档案信息化建设后的法律效应的必要性
现阶段,随着信息技术逐步发展和应用,卫生事业单位人事制度及医疗体制不断改革,医院的管理更加科学和规范,且档案信息化属于一次投入,多次产出,可改变信息加工工作受经费限制的局面〔6〕。信息化人事档案管理势在必行。人事档案作为反映个人经历和社会关系的重要依据,具有保密性和政治性,笔者认为,维护医院人事档案信息化建设后的法律效应十分有必要。
首先,医院人事档案信息化建设后的法律效应问题已成为信息化发展的瓶颈。信息化时代,电脑、数码相机、摄像头、扫描仪等电子产品成为办公室办公的必备品,纸质档案缩微数字一体化技术逐步成熟,医院人事档案信息化建设技术基本就位。单纯考虑信息化建设的技术问题,忽视信息化人事档案规范化、标准化管理问题,信息化人事档案不能体现法律效应,将失去医院信息化人事档案发展的实质意义。医院人事档案信息化建设后的法律效应问题应成为其同步发展的一部分。
其次,维护信息化人事档案的法律效应,即信息化人事档案能作为法律凭证,具有法律效力,端正信息化人事档案从业人员严肃、谨慎的态度,保证人事档案信息完整、准确、安全、可靠,能作为国家、医院培养、选拔和使用人才的重要依据,真正发挥人事档案的作用。把人事档案管理上升到法律层面,人事档案信息能作为官方证明,促进人事档案在传递过程中更趋合理性。
最后,维护法律效应能规范信息化人事档案管理。法律本身是具有国家强制力的社会规则,维护信息化人事档案的法律效应要规范信息化人事档案管理,明确工作人员权利与职责范围,保证人事档案在出具、传递、利用等行为中符合规范、标准。同时,也要求相关专业人员素质达到要求,是涵盖计算机技术、管理、法学等多学科的复合人才。
3.如何体现医院人事档案信息化建设后的法律效应
3.1医院信息化人事档案管理有法可依
医院信息化人事档案管理有法可依包含两方面的意思:一是指法律法规要完善,做到解决问题能有法可循。一直以来,我国医院人事档案信息化建设和发展存在不少亟待解决的问题,诸如人事档案信息化建设管理体制、机制不够完善;信息化人事档案资料安全有效性不够高;人事档案传递过程如何确保信息真实性等等。信息化实现人事档案信息资源共享的过程中,根据法律要求,确保人事档案信息的安全保密是首要大事。二是针对立法部门提出的要求,意思是要完善法律体系,根据实际要求修改或立法。目前,虽有《档案法》及《全国档案系统信息化建设实施纲要》等相关法律法规及制度进行规范,但是在实践方面的落實不到位,我国并没有针对医院档案的信息化管理工作颁布具有较高约束力的法律法规及具体实施细则〔7〕。近年来,随着信息化技术的普遍应用,各地对医院信息化人事档案管理陆续做出反应,主要来自政府部门的一些文件,内容不够系统、权威,互相之间不协调,不少规定明显滞后于当前医院人事管理的发展要求。显然,一套专门针对信息化人事档案管理方面的立法迫在眉睫。政府及相关部门应制定和完善人事档案在建立、补充、管理、传递及实现档案信息网络化过程中各环节工作的一系列法规制度,以规范人事档案管理,从而将人事档案纳入法规化管理的轨道,真正体现医院人事档案管理有法可依,有章可循。
3.2具有与纸质人事档案同等法律效力
传统纸质人事档案原始性追溯容易,法律凭证效力不容否认。对于信息化人事档案,由于原始性追溯困难,公众对信息化档案的法律凭证作用持怀疑态度。医院信息化人事档案法律效力的确立,首要解决的两个基本问题:一是依靠技术真正攻克信息化人事档案原始性的追溯关,这是解决信息化人事档案法律效力问题的基础;二是要加强立法工作,从法律上明确信息化人事档案的凭证作用,做到有法可依,这是解决信息化人事档案法律效力问题的法律依据。
根据《中华人民共和国电子签名法》第十四条:“可靠的电子签名与手寫签名或者盖章具有同等的法律效力”。笔者认为,经过可靠电子签名的人事档案等数据电文,具有有效的文书特点和合法的证据特征,应与纸质的人事档案文件具有同等的法律效力。其中,个人经历在社会实践活动中形成原始信息,这些信息记录到磁盘、光盘等载体,或输入计算机,信息化档案文件的内容具有真实性。刑事诉讼法与民事诉讼法将“视听资料”规定为法定证据。信息化人事档案文件可在计算机终端上显示出储存的图形、数字、文字、符号、影像等,属于视听资料,符合证据要求。信息化人事档案文件作为个人社会实践活动的一种新式记录,反映一定的社会关系,直接记录相关的社会活动,是计算机技术应用于现代办公业务的体现,能直接或间接地为各种活动提供相关的原始证明。因此,从本质上说,医院信息化人事档案与纸质版人事档案的法律效力是一致的。
3.3约束医院信息化人事档案管理违法行为
法律约束力具有普遍性、必然性和严厉性,任何人的行为都不应当突破法律的约束。笔者认为,体现医院信息化人事档案管理法律效应的目的在于约束违法行为,主要通过两个方面进行约束:一是执法必严,二是违法必究。这就要求执法部门在医院信息化人事档案管理过程严格、严肃执法,对于容易出现信息安全漏洞或被不正当使用时更要尽职尽责地坚决打击和制裁。同理,由于法律约束力的存在,医院相关工作人员也要遵照法律法规进行人事档案管理,互相监督,保证档案管理安全无误。
4.提高医院信息化人事档案法律效应的建议
4.1加快医院信息化人事档案管理专项立法
在已有档案法的基础上,加快针对信息化人事档案管理方面的专项立法,采用法律强制手段,切实保障医院人事档案信息化管理的严肃性、稳定性和权威性。设定信息化人事档案行业标准,限定责任、权利与义务,必须由具备相关从业资格、过硬的政治素质和专业素养的人员来进行人事档案信息化处理。通过明确立法规定,加大对信息化人事档案违法行为的惩戒力度。窃取、篡改个人档案信息,或信息被泄露、造假、非法使用等行为,造成恶劣社会影响,依法追究相关责任人的刑事责任;因信息化人事档案管理过程引发的社会纠纷,相关责任人应承担民事责任。
4.2建立医院人事档案信息化管理相关制度
成立医院人事档案信息化管理委员会,完善电子人事档案管理制度,推动人事档案的规范化管理。由于人事档案信息化管理系统庞大,包含的信息量巨大,信息化管理过程中人事档案数据容易遭受黑客侵袭或不正当访问、存在不可预知的风险,需要从制度层面约束、规范和保护人事档案信息化管理系统。相对比较成熟的纸质档案管理模式,信息化档案管理正在起步。要有针对性地建立医院人事档案信息化管理人员的行为准则,明确权利和义务,哪些行为可做,哪些行为禁止做,并引入监督和奖惩机制,提高人员素质和工作干劲。为有效防止秩序混乱,提高档案管理效率,建立人事档案信息化管理的软硬件标准,需为系统的管理和维护,数据的录入、更新和查验等提供操作程序,并定期为相关人员举行培训班或开展继续教育。
4.3明确医院信息化人事档案管理法律责任落实个人
安全是人事档案信息化系统平台正常运转的基础,没有安全保障的信息化系统将失去存在的价值〔8〕。根据医院岗位设置方案及岗位说明书,界定医院信息化人事档案管理人员的法律责任,将医院信息化人事档案管理过程安全责任落实到个人,强化安全法律责任追究力度。在开展医院人事档案信息化建设前签署授权书,明确项目负责人,并规定项目负责人及相关从业人员应承担的安全法律责任及相应的行政处罚。为保障医院信息化人事档案管理依法依规,切实落实相关管理人员安全法律责任。明确项目负责人及相关从业人员至少应包括七方面的安全法律责任,包括档案保管、传递、利用、查借阅、统计、销毁等。对医院人事档案造成损毁、丢失、泄密、擅自复制等渎职行为,及时向上级领导报告,并根据《档案法》及相关规定,追究当事人和直接领导人的法律责任。
4.4提高医院人事档案管理团队法律意识
我国档案法制建设开展将近二十年。尽管技术进步对信息环境的构建起着至关重要的作用,但是人仍然是决定的因素,档案工作人员电子环境下法律意识的培养是档案信息化的关键所在〔9〕。目前,若医院信息化人事档案立法是档案法制建设新的起点,那么培养和提高医院人事档案管理团队的法律意识,就是紧随其后的一项重要工作。从事人事档案管理的工作人员要在档案工作的每一个环节, 自觉做到遵守档案法律法规,自觉运用档案法律来规范自己行为,因而具备必要的人事档案法律意识至关重要。反过来说,也只有当相关管理人员具备人事档案法律意识后,才有更好执行学法、守法、护法的行为。医院人事档案管理团队要不断学习《档案法》和与之相配套的当地医院人事档案工作条例,主动关注国家人事政策变更及各种新闻媒体传播的相关信息,积极参加专门的讲座、培训、考试、竞赛等活动,多渠道多方式获取人事档案法制知识,持续培养和提高整个团队的档案法律意识。
〔参 考 文 献〕
〔1〕吴瑾.新医改时期下医院人事档案信息化建设〔J〕.中国疗养医学,2015,(02):218-219.
〔2〕钱峰.医院人事档案信息化建设探析〔J〕. 医学信息(上旬刊),2010,(11):4167-4168.
〔3〕徐昊.医院人事档案信息化建设与信息化管理的实现途径〔J〕.办公室业务,2016,(19):26.
〔4〕刘乃贵,张征.论我国人事档案信息公开法律制度的完善〔J〕.成都大学学报:社会科学版,2015,(02):16-19.
〔5〕张亚玲,胡元潮.对人事档案制度改革的几点思考〔J〕.浙江档案,2012,(12):14-16.
〔6〕杨金亮.浅谈卫生医院技术人员档案信息管理〔J〕.卷宗,2015,(02):20
〔7〕赵题题.时期医院人事档案管理信息化建设探究〔J〕.企业改革与管理,2015,(08):83-84
〔8〕张秀梅.浅议新时期医院人事档案信息化管理工作〔J〕.中国卫生产业,2014,(05):187-189.
〔9〕贾宏雁.医院人事档案管理现状及实现信息化管理初探〔J〕.新疆医学,2013,(01):118-120.
〔责任编辑:谭 蕊〕
作者:麦小兰
摘要:企业信息安全法律治理可有效保障国家网络与信息安全,捍卫个人权益,促进产业在“安全”中得以“发展”。我国相关立法中规定的企业安全保护义务多为静态性、措施性的管理性义务,不足以防御多变的安全风险;企业安全法规遵从激励机制缺失,合规动力不足;企业信息安全文化的普及力度欠缺。解决以上难题,应基于“法律治理”思维,将“法人治理”定位为企业信息安全法律治理的重心。在制度设计层面,适当借鉴美国企业信息安全法律治理在立法监管与企业自治中的有益经验,以信息安全法律治理的基本原则为指引,充分发挥立法激励作用,鼓励所有企业建立强制与自愿相结合的信息安全“法人治理”结构,对企业董事、高官人员的信息安全义务之履行予以充分重视,增强企业信息安全文化建设,凸显安全文化的价值。
关键词:法律治理;协同治理;信息安全义务;信息安全法人治理
文献标志码:A
以云计算、大数据等为驱动的新技术在引领企业向智慧企业转型的同时也打开了安全威胁的潘多拉魔盒:一方面,针对国家关键信息基础设施的持续性大规模网络攻击、企业系统漏洞、数据泄露等安全威胁呈现升级化态势;另一方面,因欧美网络与信息安全立法变革浪潮冲击、跨国IT企业合规僵局、贸易大战与地缘政治安全的复杂结构相交织,进一步加剧了我国信息安全的严峻态势。我国《网络安全法》将网络运营者定位为“协同治理”的中坚力量,并为其量身设定了安全义务体系。在此背景下,我国亟需以《网络安全法》的安全“保障法”定位为指引,在谨慎权衡“安全”与“发展”的基础上,积极探索中国本土化的企业信息安全法律治理之道,以提升《网络安全法》执法和企业合规的有效性,最大化企业在国家信息安全保障中的能量。
一、企业信息安全法律治理的提出
(一)企业信息安全法律治理之内涵解析:基于“治理”理论视角
“法律治理(Legal Governance)”的理论根基深植于“治理(Governance)”理论。“治理”理论源于西方,流派众多且各具差异,但对“治理”的核心要素即主体多元、平等、协作、共赢等存在共识。全球化趋势使带有工具理性特征的治理理论与法律相结合,在不同国家被重塑与本地化,领域多涉及国家、社会、城市、公司、网络等。新中国成立以来,中国法制建设开启了从管理迈向“法律治理”的革命性变革,对“法律治理”的倚重亦是国家治理能力现代化的标志。“法律治理”是指依据国家权力机关依法律程序制定的法律规则,政府、社会、市场等存在利益分化的多元主体通过合作、协调与互动的方式,实现共同利益与促进社会发展目标。我国学界亦认识到,“与高度复杂性和高度不确定性的时代相适应的社会治理模式应当是一种合作行动模式,只有多元社会治理主体在合作的意愿下共同开展社会治理活动,才能解决已出现的各种各样的社会问题”。
当我国从工业社会迈入网络与数字化社会,安全与发展成为基本的时代诉求。得益于治理理论对网络与信息安全立法的滋养,“协同治理”成为有效应对网络安全威胁的核心理念。“协同治理”是指处于同一治理网络中的多元主体间通过协调合作,形成彼此啮合、相互依存、共同行动、共担风险的局面,产生有序的治理结构,以促进公共利益的实现,其强调不同主体间合作的匹配性、动态性、有序性与有效性。我国《网络安全法》将“协同治理”定位为基本原则,其智慧在于:一是强调了安全治理应立足于政府的规范、引导与监督,政府决策应建立在统筹考虑、利益平衡的基础之上;二是强调应发挥政府、企业、社会团体及公民在内的多元主体参与,鼓励多元主体责任分担、协同合力,避免传统“善政”思维对政府责任的无限放大。
企业信息安全法律治理的提出是对“协同治理”理念的践行,其制度内涵包括:一是政府应不断优化网络与信息安全相关立法规范,提升立法技术,发挥“硬法”与“软法”的各自优势,為企业信息安全治理创造良好的外部法治环境;二是立法应引导和激励企业充分发挥“协同治理”的作用,将企业信息安全法人治理作为“重心”。在所有企业中建立自愿与强制相结合的信息安全法人治理结构,明确企业高管之信息安全义务,促进法人治理与安全文化相交融。
立法监管与企业法人治理是企业信息安全法律治理的有机组成部分,两者相辅相依。企业信息安全法律治理应立足于立法的引导、监督与鼓励,可分别通过设定指引性与禁止性法律规则为企业信息安全自治设定法定“基线”与违法“红线”,设定激励性规则鼓励企业守法与合规。企业应以法律原则、规则为治理依据,根据风险变化灵活优化企业法人治理结构,最终在政府与企业“二元”治理的有机互动中保障信息在处理、存储及流转中的完整性、机密性与可用性。
(二)企业信息安全法律治理的制度价值
企业信息安全法律治理凭借蕴含价值理性和道德判断的法律的介入,用法律权威将安全义务归化到企业,从而实现以下制度价值。
1.有效保障国家网络与信息安全,维护公共利益
网络安全现已对国家安全产生了全面的颠覆性影响,成为国家安全竞争的最前沿领域和国家安全变革的最难以预测的因素。威胁国家网络安全因素复杂多样,黑客攻击与数据泄露最为典型。大规模、高级可持续性攻击的目标正在从传统的IT系统转向石油、天然气、航空运输等关键行业的工业控制系统。关键信息基础设施运营者向社会公众提供的产品及服务具有公共产品属性,其安全防范中的弱项可能成为黑客攻击的“短板”,从法律治理的高度去应对企业安全难题则是较为有效的手段。
2.有效保障个人信息安全,捍卫个人权益
个人信息蕴含财产利益与人格尊严,我国立法将其视为基本民事权利。个人信息泄露常规路径有三种:(1)内部人员非法盗取、转卖;(2)企业在非授权范围内利用与经营用户信息;(3)恶意程序利用网络漏洞非法入侵数据库进而盗取、劫持个人信息。随着电子商务与社交平台迈入鼎盛时期,海量用户数据被企业抓取、整合、分析、画像,严重危及个人权益。很多人将数据泄露的“原罪”归于个人信息立法的不完备,而忽视了立法并未真正映射、内生于企业治理层面是数据泄露有增无减的内因。
3.促進产业在“安全”中得以“发展”
在信息化时代,很多企业(尤其是发展中国家企业)的信息安全治理水平令人忧虑。只有在解决安全问题的前提下,企业发展才能没有后顾之忧。从合规角度,欧美网络安全及数据保护立法变革给企业亦带来考验,如何进行安全合规、降低战略运营风险已成为大型企业走出国门时应考虑的问题。法规遵从并非结果,而是一个持续渐进的过程。建立内生于企业、业务流程及产品设计相融的安全治理机制才能促进产业在“安全”中得以“发展”。
二、我国企业信息安全法律治理:问题检视及治理“重心”的定位
(一)我国企业信息安全义务的法律渊源
法的渊源是指由不同国家机关制定、认可和变动的,具有不同法的效力或地位的各种法的形式。我国企业信息安全义务来源于三层面:一是《网络安全法》(简称“网安法”)及其配套的下位法;二是网络安全等级保护制度;三是相关国家标准及行业标准。网安法及相关配套性制度是我国企业信息安全义务的主要法律渊源,相关国家标准与行业性标准为网安法确立的安全义务提供了更为具体的实施依据。
(二)我国企业信息安全法律治理在立法实践中存在的问题检视:基于网安法“保障法”定位展开
网安法是国家网络与信息安全治理的基础性“保障法”。网安法颁布近3年来,国家层面和地方政府机构都开始专项检查和执法行动,从“执法第一案”进入执法常态化。从网安法的“保障法”定位去检视立法制度以及执法效果,仍存在一些问题。
1.企业安全义务多为静态性、具体措施性的管理性义务,而非内生于企业“治理”层面的义务
网安法明确了网络运营者的安全义务体系,其建构在实体性法律规范的基础上,并附加一些履行不能的法律责任,但仍暴露出一些问题:其一,网安法对网络运营者的诸多义务性规定多由政府主导自上而下施加,并通过国家、行业标准规定非常具体的措施性要求作为义务的主要内容,然后通过行政处罚等手段强制要求管理对象合规。而传统法律理论认为,过多禁止性法律规范会造成“管理型”立法而非“治理型”立法,减损执法效果。网安法及其下位法在规则设计时偏重于以技术性措施与管理性手段防控企业安全风险,以行政处罚手段震慑企业逾越法律“红线”的规制思路,易导致企业负责人以“不出事”的“管理”式思维被动合规,影响执法效果。其二,网安法设定的企业安全保护义务多为静态性、具体措施性的义务,缺乏对内生于企业的治理层面的义务的宏观考量,不足以应对多变的网络安全风险。如网安法第10条、第21条、第34条、第42条详细规定了网络运营者在保障网络数据三性、等级保护、个人信息保护方面的具体性规定,该规定多以“技术措施”“其他必要措施”及“补救性措施”等静态性、措施性规定为主。但网络的“静态”安全或“形式安全”无法从根本上应对网络安全风险的无界传播与溢出效应。随着技术的发展,移动设备、路由器、可穿戴设备、物联网等已逐步成为顶级攻击者的目标。美国国家安全局技术总监戴夫·霍格(Dave Hogue)称,黑客的速度非常快,只要安全漏洞公开发布,国家资助的攻击者可在不到一天的时间内将其武器化。快速化、新型化的安全威胁使企业的整体安全水平只取决于企业最“弱”的一环,而不是最“强”的地方。静态的企业安全风险管理思维已无法防御严峻的安全风险。正如有学者所言,“挂在墙上的资质证书完全无法应对真刀真枪的战略威胁”。
2.企业安全法规遵从的激励机制缺失,难以扭转企业信息安全治理的“被动”思维
在全球行政改革浪潮中,命令控制式规制受到广泛批评,激励性监管得到重视,人们发现规则如果能够与被管理者激励相容,会极大降低执法成本,提高合规动力。我国网安法建立起企业安全义务体系框架,并通过设置法律责任予以震慑并督促企业遵从,故企业法规遵从的基本动因仍基于法律的强制力。企业多具有逐利的理性人特征,多会将“安全”投入视为“成本”负担,加之安全意识普遍淡薄和违法不利后果的威慑力有限,易导致企业负责人以“不出事”的“管理”式思维被动合规。尤其是中、小型企业,网络安全资源有限,安全意识更为淡薄,对安全威胁的识别、防御能力低,易成为供应链安全的“短板”而降低整个供应链的安全性。对安全风险的静态与被动防御思维根本无法有效应对日益严重的安全危机。Cybereason联合创始人兼首席执行官所言:“企业在网络安全领域的投入每年都在增加,但新型攻击的发生率以及企业遭遇黑客入侵的情况并没有发生实质性的好转。”
3.企业信息安全文化的引导与塑造力度欠缺,不利于形成良好的治理生态
网络安全立法属于政治上层建筑,信息安全文化属于意识形态上层建筑,二者具有正相关的交互作用。尽管网安法已颁布并进入实施正轨,国家和各级政府也积极组织举办“网络安全宣传周”等活动,以此形式宣传安全文化,但安全文化仍然难以在企业层面深入人心。企业中的每一个个体都是安全链条中的重要环节,任何缺乏安全意识的基层员工及管理层的疏漏都会引发安全风险乃至整个安全防御链条断裂,引发难以预测的安全危机。
(三)我国企业信息安全法律治理的“重心”:法人治理
1.企业信息安全“法人治理”的内涵
法人治理在公司法学上主要指有关公司机关的权力分配与行使关系的制度体系。企业信息安全法人治理是指企业将信息安全保护义务充分融入企业机关的权力分配与权力行使关系中,以明确董高监及中基层员工的安全义务为核心,是企业内生的且能不断优化的信息安全治理结构。
2.企业信息安全“法人治理”的比较优势
其一,与技术治理及管理相比,“法人治理”可以充分发挥技术与法律二元共治,有机互补的优势。技术治理是一种运用确定性和精确性的科学知识,对网络社会中的人们的行为进行一定的管制,以期符合治理者自身利益的活动。然而,没有绝对完美的技术,安全风险总是存在。为了确保安全,技术人员也可能会过度使用验证、加密等技术而无形造成企业发展的壁垒。技术主管或安全监管部门仅是企业整体结构的一个很小的部分,仅从网络技术角度采取安全措施或是在发生安全事故时采取一定的措施,不能从全局的角度出发解决日益严峻的信息安全问题。故,我们需要蕴含价值理性和道德判断的法律的介入,通过自上而下的权力运作,用法律的规范作用将技术与人、部门、组织有机且动态相连,将对信息的“安全”“可控”的治理目标以“责任”的形式传递、归化到企业中的个体。
其二,“法人治理”可充分發挥企业自治的优势,以较少成本控制安全风险。企业是网络安全事件的受害者,同时也是施害者。在安全风险治理中,与政府、个人相比,企业具有天然的优势。企业是安全事件的直接参与者或受害者,对风险和安全隐患具有更强的感知、分析和应对能力。此外,企业具有保障网络安全的软硬件设施、专业的技术人才与资源优势,更易以较少的成本控制安全风险。
其三,企业信息安全法人治理回应了企业履行保障信息安全“社会责任”的时代诉求。施托伊雷尔认为,现代多中心主义的治理方式与企业社会责任是一体两面。它们以相似的路径重塑着国家与私人之间的关系。参与政府治理既是企业和个人享有的一项权利,也是其承担的一项社会责任。企业内部安全事件常导致社会及国家层面的较大负外部效应,作为国家网络安全保障的核心力量,企业应时刻意识到信息安全治理的社会责任往往蕴含着人权、社会稳定及国家整体安全的内容。
三、美国企业信息安全法律治理:立法监管、企业自治及启示
(一)立法渊源广泛,重视保障数据的“机密性”“可用性”与“完整性”
美国企业的信息安全义务的立法渊源广泛,主要包括联邦、州层面的法律法规、普通法、侵权法、合同承诺、商业标准、政府规章、国际法律法规及执法行动等。联邦及州层面的成文法律、法规是最主要的立法渊源,在立法措辞上多使用“安全(security)”与“保障(safeguards)”。企业的信息安全义务多以保护信息安全的三性为目的,在措辞上多使用“认证(authenticate)”、保护数据的“完整性(integrity)”“机密性(confidentiality)”及“数据可用性(availability of data)”等予以体现。如,联邦层面的立法包括1996年《健康保险携带和责任法案》、1999年《统一电子商务法案》、1999年《金融服务现代化法案》、2000年《全球及国内商务电子签名法案》、2002年《萨班斯-奥克斯利法案》、2003年《保护网络空间的国家战略》、2015年《网络安全法》等。以上立法涉及医疗健康、电子商务、金融、企业内控等方面,涵盖企业保障信息安全“三性”的一般义务性规定。
(二)企业信息安全义务主体为所有企业,义务客体涵盖“所有数据”
美国企业信息安全治理义务主体涵盖所有行业部门的所有企业。尽管早期的个别成文法将企业的信息安全义务限定于某一行业内的企业,但随着美国网络与信息安全立法数量的增多,实际上所有企业承担了立法赋予的信息安全义务。在司法实践中,美国企业信息安全义务的法律演进始于联邦贸易委员会(FTC)反公平贸易的实践,随后众多的州立法持续跟进,法院通过一系列司法判例将企业信息安全义务扩展至所有企业。2002年起,借助于一系列的执法行动及同意令,美国FTC根据《联邦贸易委员会法》(FTC Act)关于反公平贸易的规定扩大了其执法行动的范围,认为企业即使未对信息安全状况作出虚假陈述,但怠于履行个人信息安全保障义务本身就是一种不公平的贸易行为。2004年,加州颁布了一项立法,规定所有企业应采取合理的安全措施与实践,保护加州居民的个人信息免受未经授权的访问、破坏、使用、修改或披露。随后,其他州也纷纷效仿,加入立法行列。此外,通过典型案例的审判,法院也开始意识到所有企业都有保障个人信息安全的普通法义务,未能履行该义务即构成侵权。
值得一提的是,近年来美国政府意识到小企业在美国制造业供应链中占据重要地位,但在国防工业基础方面存在弱点,尤其在网络安全威胁和数据泄露方面也存在脆弱性及安全漏洞。2018年,美国总统特朗普正式签署《NIST小企业网络安全法案》(NIST Small Business Cybersecurity Act),将小企业的网络安全风险防御与治理纳入美国联邦法律。此外,美国企业信息安全义务的客体为所有的公司数据,主要包括个人数据、其他公司数据、电子记录。个人数据保护与美国源远流长的隐私保护制度密切相关,众多联邦立法及州层面的立法都有明确规定。其他公司数据包括公司财务数据、交易记录、税收记录。
(三)更具弹性的“合理安全(reasonable security)”标准是衡量企业信息安全治理成熟度的法定基线,“合理安全”以“程序导向(process-oriented)”为评判标准
美国著名密码学家Bruce Schneier经典名言,“安全是一个过程而并非结果(Security is a process,not a product)。美国人早已意识到信息技术快速更迭必然带来新的安全风险,法律的稳定性难以应对新的安全危机,企业的信息安全义务的衡量标准应更具弹性与张力。美国立法并未明文规定企业应采取什么样的具体安全措施以确保企业获得足够的安全保障,而是要求企业满足更具弹性的“合理安全(reasonable security)”标准,与之类似的还有“适当安全(appropriate security)”“合适安全(suitable security)”。“合理安全”标准并非特指具体的安全措施,而是在实践中可发展、可改进且能有效应对安全风险的动态标准。企业是否履行信息安全义务以“程序导向(process-oriented)”为主要评价标准。企业信息安全的法律标准要求公司实旋综合性的及书面性的信息安全程序,包括:(1)识别被保护的信息及其系统资产;(2)进行周期性的风险评估以识别公司所面临的资产威胁、脆弱性评估及其威胁发生后造成的损失;(3)选择并实施适当的安全控制措施以控制风险的识别;(4)监控与测试项目以确保其有效性;(5)根据项目的变化进行不断的审查与调试,包括进行常规性的独立审计并在必要时进行报告;(6)监督第三方服务提供者的协议。实际,以上的过程并非一成不变,还可被不断地审查、修订及升级。在美国的司法实践中,“程序导向型”的公司信息安全法律标准是基于GLBA的规定,首先应用于一些关于金融行业的企业信息安全规制中。随后,HIPAA也有类似的规定。
除上述成文法规定外,美国FTC认为企业应将“程序导向型(process-oriented)”标准作为企业最佳实践(best practice)应用于所有企业,未能履行该标准的企业将被FTC裁定为未履行“合理的”信息安全义务。在一些典型案例中,“程序导向型”成为司法实践中法官认定被告是否违反“合理安全”义务的主要审查标准。
(四)优化的“法人治理结构”是企业信息安全治理的重心
美国政府认为建立自律且持续完善的企业信息安全治理结构是应对企业信息安全难题的有力手段。早在2003年8月,美国商业软件联盟(BSA)信息安全特别工作组在华盛顿召开的商业软件联盟年度CEO论坛上提交了名为“信息安全治理:从框架迈向行动”的白皮书。白皮书认为,尽管政府已经制定了众多的法律规制企业IT安全,但企业建立有效的、可持续的信息安全治理框架仍不可替代。2004年12月,美国国土安全部(DHS)在加州圣克拉拉市主办的“国家网络安全峰会”成立“法人治理工作组”并发布了“信息安全治理行动倡议(call for action)”报告。该报告将企业理想的企业信息安全治理结构以企业规模为分类标准,归纳为大型企业、中型企业、小型企业及公共机构几种类型(见图1-图4),为企业信息安全治理结构的建立与完善提供了指引。
(五)明晰CEO及高级管理人员信息安全责任是企业信息安全治理的关键
美国企业CEO及其高管人员的信息安全趋于明晰,如2004年美国“信息安全治理行动倡议”的报告从职能主体层面明确了大型、中型、小型及公共机构在总裁、首席安全官、首席信息官、首席风险官、部门负责人、中层主管,以及雇佣员工层面的信息安全职责,为企业信息安全治理义务的明确提供了指引(见表1)。
(六)启示
从以上内容综合分析来看,美国企业信息安全治理具有如下鲜明的特征。第一,美国企业信息安全法律治理呈现出立法监管与企业自治有机结合与互补的特色。在国家立法监管层面,美国没有单一立法明确规定企业应采取什么样的具体的安全措施以确保信息安全“三性”,而是為企业设定了一个更具弹性的“合理安全”的法定基线,企业是否履行义务在司法实践中以“程序导向”为评判标准。由此可见,国家立法监管在企业信息安全治理中仅起到宏观引导与规范的作用,而不同类型的企业在如何合规中倚重“程序正义”的指引,两者各有其作用发挥的空间。第二,企业信息安全治理的定位明确合理,即企业信息安全治理是“法人治理”问题而非技术问题或管理问题。立法鼓励不同规模的企业根据自身实际量身定做最优化的法人治理结构,从而将信息安全治理深度融入企业机关的权力分配与行使关系中,最终将信息安全融入企业的文化基因。企业自治在信息安全治理中更为核心,是有效实现信息安全“合理安全”的关键。第三,美国企业的信息安全治理义务覆盖大、中、小型企业。近年来,美国开始意识到小企业是供应链安全中不容忽视的一环,将对小企业的安全风险防控提升到立法层面,这表明美国意识到网络安全风险严峻,网络安全的“短板效应”需要“整体安全”的防御思维予以消解。第四,企业信息安全法人治理的关键环节在于明晰大、中、小型企业,以及公共机构的高、中级管理人员的信息安全责任,清晰的责任分配机制有利于企业内部不同部门的协作与追责,实现企业信息安全法人治理效用的最大化。
四、企业信息安全法律治理的中国进路
企业信息安全法律治理成熟度是衡量国家网络安全强弱与否的重要标尺。中国企业信息安全法律治理应在借鉴发达国家有益经验的基础上立足于本国国情,妥善处理好安全与发展、立法监管与企业自治的关系。在立法层面应明确企业信息安全法律治理的基本原则,充分发挥立法对于企业信息安全治理的指引、监督与激励作用,激励企业从被动“合规”迈向主动“治理”,将信息安全文化融入不断优化的企业治理结构中,以助力网络强国建设。
(一)企业信息安全法律治理应谨慎权衡“安全”与“发展”的关系
尽管网安法标题贯以安全,但安全与发展天平却不能失衡。立法对于“安全”的过分倚重将制约发展,难以确保整体国家安全。发展是化解安全危机的前提,发展意味着我们将掌控、利用更为先进的技术、产业,培养出成千上万的安全顶级人才去促进安全。发展思维将使我们扭转任何封闭与停滞的观念,例如辩证地将漏洞攻击与信息泄露视为安全防御能力的提升和治理手段的完善会为我们提供丰富的实践案例和经验教训。反之,网络安全立法对“发展”的过分倚重将导致社会机体对安全风险抵抗力的降低或丧失。
我国信息与数字化的水平与发达国家相比较低,产业低端重复、创新乏力是痼疾。谨慎权衡安全发展需要我们不忽视具体国情,充分发挥“治理”型立法的引导、激励作用。一方面,企业信息安全法人治理应立足于国家“整体安全”防御思维,即重视关键基础设施运营企业,也兼顾小型企业网络安全,以消弭安全“短板”;另一方面,企业信息安全法人治理结构应“量体裁衣”,重视规范个体责任和企业安全文化的普及。
(二)优化我国企业信息安全法律治理的基本路径
1.立法应明确企业信息安全法律治理的基本原则
(1)依法治理原则。一方面,企业信息安全治理应基于国家引导与立法规范,以相关法律原则、规则为治理依据;另一方面,企业应以法律为遵从基线,依法确立法人治理的组织架构、安全管理与技术标准、产品设计、研发流程等。依法治理原则既要求企业有法可依,亦要求企业有法必依。企业有法可依需要网络安全法制体系的建立与完善,为企业遵从营造一个法制化的环境,而企业有法必依则考验企业高管对于法规遵从的智慧。
(2)CEO参与原则。企业信息安全是企业法人治理层面的问题,应该引起CEO的高度重视与参与。一是企业CEO应参与企业信息安全的战略规划与政策制定;二是CEO应参与、监督、协调企业信息安全政策的执行;三是CEO应对企业信息安全义务的履行不能,承担相应的责任。
(3)透明度原则。企业信息安全法人治理结构应当是企业法人治理的一个子集并确保其透明化。企业对安全事故的披露也应当透明化。企业在安全事故发生后,依法以特定的方式及时将该安全事故信息、潜在的风险、采取的措施通知监管部门和利益相关者。尽管信息安全的披露在短期内会增加企业利益减损,但从长远看有益于增强相关行业和整个产业抵御安全风险的能力。
2.充分发挥立法的引导与激励作用,鼓励企业从“被动”合规迈向“主动”治理
法律的激励功能、惩戒功能同组织管理功能一并作为法律的三大基本功能,激励功能的社会认同感最强。激励法律的制定是基于人们对不同利益的需求,通过给予利益,激发人们的积极性,从而实施法律所希望的行为,不仅给行为人带来利益,也能达成立法者预期的某种效果。与美国相比,我国网络安全立法起步较晚,企业网安法合规欠账多,法规遵从需要企业投入更多的资金与人力成本,故一些企业存在畏难、抵触情绪。我们需要思考如何在发挥立法惩戒功能的同时发挥其激励功能,调动企业守法能动性,使企业从“安全是成本”转变为“安全是投资”,进而从“被动”合规迈向“主动”治理。完善网安法的激励功能,鼓励行业自律与企业自治,根据企业信息安全法人治理的成熟度给予物质性、精神性及责任豁免性奖励,具体激励方式可包括并不限于财政补贴、税收激励、政府项目優先(如资源申请优先)、精神性表彰或奖励及责任豁免。
3.立法引导和激励企业建立“强制与自愿相结合”的信息安全“法人治理”结构,消弭安全“短板”
企业信息安全法人治理结构的建立和优化应当成为我国企业信息安全法律治理的重心。立法应当鼓励所有企业根据其实际情况构建“强制与自愿相结合”的法人治理结构。建议延续网安法的制度设计思路,对国家网络安全保障中具有“关键性”及“战略性”的关键信息基础设施(CII)运营者进行强制性法人信息安全治理,对于非CII运营者则以立法激励与企业自愿为主。强制性的制度内容包括:第一,对于大、中型CII运营者构建层级清晰、权责分明的信息安全法人治理结构,并将其作为法人治理结构的一个子集予以重视。企业董事会(或董事长)、高层主管应从战略上重视对安全风险的“感知一抵御一应对”,将防控安全风险融入企业战略规划、资金预算、业务拓展、产品研发与销售等关键环节,最终将安全融入企业文化。
企业信息安全法人治理的关键在于明确企业的董事会(或董事长)、CEO(或总裁)、高层主管(包括首席安全官、首席信息官、首席风险官及部门主管)、中层主管及普通员工的信息安全职责:(1)企业董事会(或董事长)应当从战略上充分认识信息及信息安全的重要价值,确定企业重要资产,统一部署企业综合性、全局性的信息安全计划(如企业级漏洞响应计划或综合性风险评估计划),监督企业高管定期汇报信息安全计划执行的适当性和有效性。(2)CEO(或总裁)是企业信息安全的直接负责人。应当确保知悉企业的战略计划、风险偏好及运营策略,在此基础上制定、升级企业的信息安全政策,监督企业对国家法律法规的全面遵从;对企业其他中高层主管、员工分派信息安全责任、义务及权力,明确不同层级人员因法规遵从或企业信息安全计划产生的授权行为与执行责任,监督、协调企业信息安全政策的执行;向董事会报告企业信息安全政策的执行,包括关键风险识别、风险评估结果、企业风险耐受水平及风险防控计划;选任专业资质的信息安全官执行企业信息安全政策;确保企业有充足的人力、财力及技术资源以执行安全政策。(3)企业高层主管应确保企业的安全政策与企业战略、业务的一致性,与公司内外的利益相关方沟通协调;检查企业信息安全政策的进展和执行,确保安全法规的遵从;确保企业的信息安全保护措施与企业可能承受的信息安全风险相匹配;与各部门负责人协调一致,定期向CEO(或总裁)汇报信息安全计划的执行情况;确保企业员工接受有效的信息安全培训并知悉企业的安全政策。(4)企业中层主管在风险评估和成本最小化的基础上执行企业的信息安全计划;定期测试、评估企业的信息安全控制技术、措施,确保其有效运行;确保雇员、合同相对人和用户对企业信息安全责任的履行。(5)企业员工应知悉、遵守企业的信息安全政策,及时报告政策的弱点及突发性信息安全事件的影响。
第二,对于资金有限、安全保护措施不够完善的小型CII运营者,可考虑给予一些资源支持与协调,确保其构建与自身实际相符的安全治理结构。充分重视企业总经理或中层主管信息安全责任之履行,包括总经理应当确保公司战略、运营流程与企业信息安全治理需求相融合;识别企业重要资产、评估信息系统安全风险、制定应急计划等;确保企业对于安全的资金投入;中层主管应当负责执行企业的信息安全政策,阶段性地测试评估信息安全控制项,确保有效实施;确保对企业雇员的信息安全培训
4.重视企业董事、高级管理人员信息安全义务的履行,将其作为《公司法》董事、高级管理人员“忠实与勤勉义务”的适当延伸
忠实与勤勉义务是现代治理结构下企业董事会成员对于公司的法定义务。我国公司法第148条对董事及高级管理人员的忠实与勤勉义务作出了明确规定。实践中,董事及高管义务有扩大趋势,这源于法律从“股东至上”到对企业社会责任及利益相关者权益保护之重视。目前,严峻的信息安全风险正威胁着我国国家安全、社会稳定及个人权益,企业应勇于承担保障信息安全的社会责任,这也依赖于企业董事及高管对于信息安全义务的积极履行。企业董事及高管的信息安全义务可作为公司法层面“忠实与勤勉”义务的有机组成部分,包括:(1)基本的信息安全义务,即确保企业对国家网络与信息安全立法制度(如CII保护,网络安全审查、数据出境评估等)的全面遵从,配合、协助执法检查。(2)履行其在企业信息安全法人治理中的核心义务,包括被保护的信息与资产的识别;制定、升级企业的信息安全政策;安全风险评估;确保企业员工接受有效的信息安全培训;确保企业有充足的人力、财力及资源实现公司的安全政策。此外,还可鼓励公司章程中增加董事、高管对于保障企业信息安全的注意义务,接受公司股东与公众的监督。
5.引导和促进企业信息安全文化建设,深度融入企业法人治理中,以凸显安全文化的价值
法律对于安全风险的防控需要借助文化的力量,通过主流文化的传播使法律价值得到普遍认同,从而有效提升法律的实施效果。企业信息安全文化建设可助力于修复不同社会主体的安全认知“漏洞”,提升企业在网络安全保障中的效用。企业信息安全文化建设不可忽视两个层面:一是重视企业信息安全文化在法人治理层面的融合。企业信息安全文化不只局限于员工安全培训等常规活动,还应当在企业的总体战略、理念、形象识别、业务规划、生产过程控制及监督反馈等各个方面融合安全文化的内容,最终将安全文化融入企业法人治理结构中;二是重视从企业高管到基层员工的“个体”信息安全意识的提升,将安全意识与个体责任挂钩,使“人”成为企业安全风险防御的最强大资产。安全文化的普及与人的安全意识的提升是对抗攻击的最有效的武器。
(责任编辑 胡志平)
作者:张敏 马民虎
摘要:如今“互联网+医疗”新技术广泛应用于临床,提高了医院临床能力及患者满意度,但互联网医院信息系统建设中信息安全建设明显滞后,阻碍了互联网医院系统进一步建设发展,如何利用信息安全等级保护要求,建设互联网医院信息安全防护体系,成为一个重要的研究课题。基于此,本人根据某三甲医院(以下简称“本院”)建设实际,提出互联网医院信息安全建设的初步方案,希望能成为医院信息安全建设提供参考。
关键词:医院信息系统、信息安全、互联网医院
1 引言
随着国家通过了《关于促进“互联网+医疗健康”发展的意见》,互联网医院建设实现患者线上挂号、就诊、开医嘱,方便了患者就诊,特别当下疫情防控形势严峻,互联网医院系统得到了患者一直好评,互联网医院系统建设得到了主管单位、群众的支持,但是互联网医院建设,包含了大量的患者隐私信息,蓬勃发展的互联网医院建设带来的信息安全问题也日趋显现,特别是用户信息泄露事件频频发生,存在着巨大的安全隐患。为了保障互联网医院安全、稳定、高效运行,本院按照信息安全等级保护2.0的标准,对互联网医院系统进行了升级加固,保障各项业务顺利开展。
2 互联网医院信息安全现状
本院互联网医院系统上线以来,因医院的主要工作重心是医疗救治,对信息安全重视程度明显不够,但互联网的开放性以及共享性对医院信息安全建设造成威胁,特别是目前医院信息安全建设责任模糊、信息安全体制还不完善、安全防护技术等软硬件设备配备不足、信息化专业人员配备不足、互联网入侵响应能力不足都对互联网医院系统的安全、稳定、可靠运行造成不确定性。医院根据信息安全等级保护2.0的要求,在安全物理环境、安全通信网络、安全管理中心等方面对医院互联网医院系统进行加固建设,充分体现“一中心三重防护”的思想,对互联网医院系统进行加固建设,提高了系统的安全性。
3 信息安全建设要点
3.1 强化信息安全加固防护。互联网医院前期建设注重功能性,实现患者就诊全生命周期线上就诊,忽视了信息安全防护。为进一步提升互联网医院系统安全性,加强了信息安全防护,通过如下手段加固系统:
一是通过部署安全设备加固系统。在互联网接入区部署安全防火墙、入侵防御系统(IPS)、应用防火墙WAF、防病毒系统对系统进行加固,利用网闸等专业设备实现互联网与内网HIS、电子病历等内网系统逻辑隔离,并完成内网与互联网数据交互,确保数据实时共享,在内网核心交换机旁路部署数据库审计设备,对数据库增删改查等操作进行日志记录。
二是通过部署安全软件强化系统安全。在互联网医院系统中,部署了蜜罐技术防护软件,有效的阻挡网络入侵。在互联网区域的互联网医院的页面服务器中部署放篡改系,统确保互联网医院网页及服务不被篡改,避免了被挂标的风险。对互联网数据通信,利用SSL技术对客户端与服务端相互通信数据实现加密,确保用户隐私数据等到保护。
三是强化互联网医院系统构架。互联网医院页面服务部署在互联网区域,数据访问通过网闸后,访问部署在医院内网DMZ区的接口服务器,利用接口訪问应用区的应用服务,互联网医院配置服务器部署在医院内网核心的数据存储区。通过各个逻辑区域的访问,实现安全访问的层层控制,保护互联网医院的数据安全。另外通过移动、电信等运营商2条互联网接入宽带进入医院系统,通过域名DNS转化为运营商互联网IP地址,确保链路稳定。
3.2 坚持服务”最小化”。在互联网医院系统等级保护加固中,对部署在互联网区域的服务器都要求服务最小化,对不需要的端口进行关闭。在互联网接入防火墙上对安全策略要求精确到IP及响应的端口,实现点对点通信,确保信息系统中安全、稳定。利用专业的漏扫设备对系统中的软硬件服务进行漏洞扫描,对发现的服务器等设备的服务漏洞进行扫描修复,确保系统内无中高危险可用漏洞。在运维管理中,要求运维管理服务的最小化,针对外网区域的服务器等设备,只能指定机器进行登录运维。
3.3 加强人才队伍建设。信息化专业人员因人员受编制等实际情况限制,人才队伍储备已成为医院信息化发展的一个瓶颈,目前人员配备明显不足,再此情况下,信息科克服人员不足的情况下,通过互联网医院系统加固项目,利用项目建设思路、方案、要求对信息化人员进行培训,深化相关人员对信息安全的技术防护、管理要求的认识,通过信息安全培训、考核督促信息人员加强学习,提高信息团队的信息安全意识、技术防护、运维管理能力。
3.4 强化制度管理建设。互联网医院系统上线前,制定了互联网安全管理办法,明确了管理职责,要求对系统中安全设备、服务器、交换机等设备进行每日巡检,对部署的运维监控软件,安排专人实时监控系统运行情况,对出现的异常情况及时记录,对影响互联网医院运行的突发事件,制定了详细的解决办法及汇报机制。同时在管理办法中要求对系统定期进行安全演练,对系统中可能出现的问题进行排查,防患于未然。
4 互联网医院系统安全建设方向
互联网医院系统是将医生诊疗从线下搬到线上,让群众少跑腿,让数据多跑路,故对系统的稳定性要求较高。在系统设计、部署时,安全设备要做到冗余,实现双机热备,服务器通过负载均衡设备实现数据分发,确保服务器某台出现故障,其他应用服务器可以继续提供服务,在互联网医院系统运行时,避免出现单点故障,确保系统7*24提供不间断服务。
5 结束语
根据信息安全等级保护要求,在医疗系统互联互通的趋势下,互联网医院系统安全加固,既能满足临床线上就诊需求,方便患者享受线上医疗服务,又可以保护系统安全,避免患者隐私数据泄露。通过该项目的建设,本院对信息安全系统建设思路,信息人员技术能力都有一定程度的提高,为本院信息安全打造安全、稳定、高效的运行环境,为下一阶段医院信息化建设,特别是信息安全建设提供了思路和方案。
参考文献:
【1】 盂晓阳,朱卫国,李连磊,等.“互联网+”对医院信息系统安全的挑战与对策探讨[J].医学信息学杂志,2016,37(12):38.41.
【2】王建强,仲晓伟,夏开建.“互联网+”环境下的医院信息安全研究[J].中国数字医学,2018,13(8):66-67.
【3】胡新龙,李怀成.互联网+医疗健康模式下的医院网络安全防护[J].中国卫生信息管理,2019,16(4):462.466.
作者:成晓清 李震
引 言
信息网络的全球化使得信息网络的安全问题也全球化起来,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。发达国家普遍发生的有关利用计算机进行犯罪的案件,绝大部分已经在我国出现。
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球。网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,违法与不违法只是一两条指令之间的事情,如何抓住机遇,研究和探索网络环境下的信息安全法律法规的新特点、新方法、新途径、新对策已成为我们关心和思考的问题。
1、信息网络相关的问题
1.1计算机犯罪
计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统(包括内存及程序)安全以及其他严重危害社会的并应当处以刑罚的行为。计算机犯罪产生于20世纪60年代,到本世纪初已呈猖獗之势,并为各国所重视。计算机犯罪实质特征主要表现在:计算机本身的不可或缺性和不可替代性,在某种意义上作为犯罪对象出现的特性,明确了计算机犯罪侵犯的客体,计算机犯罪可以分为两大类型:一类是行为人利用计算机操作实施的非法侵入或破坏计算机信息系统安全,从而给社会造成严重危害的并应处以刑罚的行为;另一类是行为人利用计算机操作实施的初非法侵入或破坏计算机信息系统安全以外的其他严重危害社会的并应处以刑罚的行为。 1.2信息网络相关的民事问题
在计算机安全使用方面,不仅存在犯罪问题,也存在民事问题。任何人都可以对任何人任何事提取民事诉讼。网络管理方面的漏洞、人为的误操作都可能造成信息安全相关的民事问题。 1.3信息网络相关的隐私问题
隐私问题是信息安全和保密中所设计到的非常重要的一个问题,隐私问题在个人、组织中都存在。利用法律手段有效保护组织和个人的隐私具有非常重要意义。信息安全隐私越来越受到人们的关注。
2、信息安全法
2.1信息安全法的概念
信息安全法律法规:信息安全法律法规泛指用于规范信息系统或与信息系统相关行为的法律法规,信息安全法律法规具有命令性、禁止性和强制性。命令性和禁止性要求法律关系主体应当从事一定行为的规范,其规定的行为规则的内容是确定的,不允许主体一方或双方任意改变或违反,具体强制性。如果不执行,就要受到一定的法律制裁。
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(着作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务。 2.2 信息安全法的特点
a.综合法:既有单行法律法规,如《电子签名法》,《计算机信息系统安全保护条例》等,又有散见于各种法律和法规及部门规章之中。
b.主体多样性:法律法规本身的制定主体相对统一,但部门规章的制定者涉及多个部委。
c.保护客体的非物质性:信息的特性。 d.载体的丰富性:纸制、电子材料。 2.3信息安全法的保护对象
a.国家信息安全:突出表现为刑法,包括对国家重要信息资源的保护,对攻击和危害宣传的惩治。
b.社会信息安全:涉及社会的安全和稳定。
c.市场信息安全:保护涉及到维护经济秩序和市场的安全和稳定。 d.个人信息安全:公民人身、财产安全。 2.4 信息安全法的划分 2.4.1从信息的主体划分
政府相关,如《国家保守秘密法》、电子政务安全等。民事主体,知识产权、人格权法等。
2.4.2从信息载体不同划分
电信类,《关于维护互联网安全的决定》、《电子签名法》等。
非电信类,如《邮政法》、《统计法》、《气象法》等中关于信息的规定。 2.4.3从承担法律责任划分
刑事责任:《刑法》有关信息犯罪的条款。
民事责任:《合同法》、《民法通则》、知识产权相关法规等。 行政责任:国务院、部委制定的规章。
从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要,这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴。
根据对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性。 2.5涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规。 2.5.1目的多样性
作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的。 2.5.2涉及领域的广泛性
随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域。 2.5.3技术的复杂性
信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求. 2.5.4信息安全法律优先地位
综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位。
3、网络信息安全等级保护制度
当前计算机信息系统的建设者、管理者和使用者都面临着一个共同的问题,就是他们建设、管理或使用的信息系统是否是安全的?如何评价系统的安全性?这就需要有一整套用于规范计算机信息系统安全建设和使用的标准和管理办法。 3.1等级保护制度的意义
为切实加强重要领域信息系统安全的规范化建设和管理,全面提高国家信息系统安全保护的整体水平,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确,公安部组织制订了《计算机信息系统安全保护等级划分准则》国家标准,并于1999年9 月13日由国家质量技术监督局审查通过并正式批准发布,已于 2001年1月1日执行。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。 3.2等级化系统的建设
信息系统等级的划分方法(自主评级)
实施步骤:业务影响分析、划分子系统,确定子系统边界,确定安全保护等级,子系统间访问关系的模型化,安全风险分析与控制措施调整,确定系统保护安全计划,系统等级和安全计划的批准。 3.3中国的等级保护体系
1989年公安部开始设计起草法律和标准,在起草过程中经过长期的对国内外广泛的调查和研究,特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究,使我们认识到要从法律、管理和技术三个方面着手;采取的措施要从国家制度的角度来看问题,对信息安全要实行等级保护制度。 3.4《计算机信息系统安全保护等级划分准则》意义
1.该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据2.为安全产品的研制提供了技术支持3.为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 3.5计算机信息系统安全保护等级划分为五个级别 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。
3.6需要实施安全等级保护的信息系统为金融系统(银行、保险、证券);经贸系统(商业贸易、海关);
- 电信系统(邮电、电信、广播、电视);供水系统(水利及水源供给);
- 社会应急服务系统(医疗、消防、紧急救援);国防建设系统; -国有大中型企业系统; -互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息系统. 3.7等级保护是国家基本政策
信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度,具有强制性;以国家制度推进信息和信息系统安全保护责任的落实;符合客观实际,具有科学性;具有自我保护与国家保护相结合的长效保护机制;突出保护重点,国家优先重点保护涉及国计民生的信息系统,国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全;具有整体保护性,在突出重点,兼顾一般的原则下,着重加强重点、要害部位,由点到面进行保护,逐步实现信息安全整体保障。
4、建立国家信息安全等级保护机制
4.1国家实行信息安全等级保护
必须紧紧抓住抓好五个关键环节,形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成: a.法律规范 b.管理与技术规范 c.实施过程控制 d.结果控制 e.监督管理。
4.2信息系统安全等级保护制度实施方法
首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施,既包括依法进行行政监督、检查和指导,也包括依据国家技术标准进行的技术检查和评估。
其次,等级保护坚持“谁主管、谁负责;谁经营、谁负责;谁建设、谁负责;谁使用、谁负责。”的原则。
第三,等级保护实行“国家主导;重点单位强制,一般单位自愿;高保护级别强制,低保护级别自愿”的监管原则。 第四,信息网络安全状况等级的技术检测是等级保护的重点。由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后,方可从事信息网络安全等级保护的技术检测。
4.3计划在五年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度
1、准备阶段
2、试行阶段
3、全面实行阶段
5 我国信息安全法规概述
5.1建设信息安全法律法规的意义:
1、信息安全保障体系的建设中的必要环节
2、明确信息安全的基本原则和基本制度、信息安全保
障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为,并对其行为进行相应的处罚等。
5.2信息安全立法的法治作用和目标是保护国家信息主权和社会公共利益
1、信息安全立法的首要目标是规范信息主体的信息活动
2、信息安全立法规范作用的直接体现。保护信息主体的信息权利,协调和解决信息社会产生的矛盾,打击、惩治信息空间的违法行为。 5.3信息安全法规分类
从纵向的层次分:即按立法机关的权限和法律的效力层次来确定的宪法具有最高效力、法律、行政法规、行政规章、地方性法规从横向的领域、部门确定宪法和宪法性法律、行政法、民商法、经济法、刑法、社会法等。 5.4 我国立法原则
谁主管、谁负责的原则,突出重点的原则,预防为主的原则,安全审计的原则,风险管理的原则 A谁主管、谁负责的原则
例如,《互联网上网服务营业场所管理办法》第三条规定如下:
• 国务院信息产业部主管部门和省、自治区、直辖市电信管理机构负责,并有责任组织协调和督促检查同级有关部门,在各自职责范围内,依照本办法的规定,负责互联网上网服务营业场所的监督管理工作。
• 省、自治区、直辖市电信管理机构,负责互联网上网服务营业场所经营许可审批和服务质量监督。
• 公安部负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。
• 文化部门负责管理互联网上网服务营业场所中含有色情、赌博、暴露、愚昧迷信等不健康电脑游戏的查处。
• 工商行政管理部门负责核发互联网上网营业场所的营业制造和对无照经营、超范围经营等违法行为的查处。 B.突出重点的原则
例如,《中华人民共和国计算机信息系统安全保护条例》第四条规定:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、尖端科学技术等重要领域的计算机信息系统的安全。 C.预防为主的原则
如对病毒的预防,对非法入侵的防范等。 D.安全审计的原则
例如:在《计算机信息系统安全保护等级划分准则》的第4.4.6款中,有关审计的说明如下:
• 计算机信息系统可信计算基能维护受保护的客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
• 对不能由计算机信息系统可信计算基独立分别的审计事件,审计机制提供审计记录接口,可由授权主体调用。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。 E.风险管理的原则
任何信息系统中都存在的脆弱点,它可以存在于计算机系统和网络中或管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点很容易受到威胁或攻击,因此要识别出脆弱点,识别出威胁,从而进行有效的防范。因为有风险,要评估出威胁出现后或攻击成功时系统所遭受的损失,从而衡量风险,并对风险进行管理。
相关法此外,总体看来,目前这些法律法规主要存在三个方面有待完善的地方:第一,这些法律法规主要内容集中在对物理环 境的要求、行政管理的要求等方面,对于涉及信息安全的行 为规范一般都规定的比较简单 ,在具体执行上指引性还不是很强;第二,目前这些法律法 规普遍在处罚措施 方面规定得不够具体,导致在信息安全领域实施处罚时法律依据的不足;第三,在一些特定的信 息化应用领域,如 电子商务、电子政务、网上支付等 ,相应的信息安全 规范相对欠缺,有待于进一步发展。律规定篇幅偏小,行为规范较简单、与信息安全相关的其他法律有待完善在建立健全信息安全法律体系的同时,与信息安全相关的其他法律 法规的出台和完善也非常必要,如电信法、个人数据保护法等 ,这些 法律法 规与信 息安全法律体系一起构成我国信息安全大的法律环境并且互为支撑、缺一不可。从应用的角度看,与信息安全相邻或相交的领域包括:电信、无线电、集成电路 、计算机软件与系统 集成、网络及网 络信息服务、电子商务与现代物流、电子政务、信息资源公开与利用等。
6、结语
当今世界,全球电子政务公共服务正处于由简单地满足公众需求向深入调 查和理解公众需求转变、由单一渠道服务向多渠道一体化服务转变的新变革之 中。电子政务信息安全保障系统的建设是一个大型、复杂的工程,没有绝对的 安全,今天的安全不代表明天也安全,信息安全保障是一项长期的、系统的工 作,只有不断提高安全意识,掌握并应用最新技术,持续完善安全管理、及时 健全安全法规,才可能切实做好电子政务的安全工作,为推动电子政务的发展 提供有力保障,刁一能真正实现电子政务的目标。
7.致谢
在论文完成之际,我要特别感谢我的指导老师的热情关怀和悉心指导。指导老师以严禁的治学态度、渊博的学识、独特的学术思维、一丝不苟的工作作风、热情待人的品质、使我满怀敬意。每遇到困难都会努力找寻解决的方法,提高自己解决问题的能力并巩固老师所授予的知识。增强了自己实践操作和动手应用的能力,提高了独立思考的能力。在此,谨向所有帮助过我的老师和同学表示我诚挚的谢意!
参考文献
【1】中共中央办公厅、国务院办公厅印发的《2006-2020年国家信息化发展战 略》(中办发 (2006) 11号),2006-3一19. 【2】李文燕著《计算机犯罪》,北京:中国方正出版社2001.7版 【3】百度文献
【4】张锐听.电子政府概论[M]中国人民大学出版社,2004. 【5】曾长秋,电子政府的网络安全和信息安全及其治理[J],党政干部论坛, 2006年04期
【6】李文燕著《计算机犯罪研究》,北京:中国方正出版社2001.7版 【7】常建平 靳慧云 娄梅枝等编著《网络安全与计算机犯罪》,北京:中国人民公安大学出版社2002.2版
【8】孙国锋,苏俊.国外“电子政府”发展及对中国的启示[[J].科学与科学技术 管理,2001(12). 【9】刘海峰、郭义喜、肖刚,基于模型的信息安全风险评估CORAS方法研究l月,网络安全技术与应用,2007年06期
计算机信息安全法律法规
目前比较严重的网络道德失范行为主要有:
(1) 网络犯罪。一些“黑客”时常会非法侵入网络进行恶性破坏,蓄意窃取或篡改网络用户的个人资料,并利用网络赌博,甚至盗窃电子银行款项,通过网络传播侵权或违法的信息等网络犯罪行为日增,互联网已成为不法分子犯罪的新领域。
(2) 色情和暴力风暴席卷而来。信息内容具有地域性,而互联网的信息传播方式则是全球性、超地域的,这使得色情和暴力等问题变得突出起来。由于互联网是全球共享的,这就使得某些人、个别国家的色情信息和暴力情节能够无障碍地在世界范围内传播。
(3) 网络文化侵略。互联网信息环境的开放性,使多元文化、多元价值在网上交汇。近年来,一些西方发达国家凭借网上优势,倾销自己的文化,宣扬西方的民主、自由和人权观念。这就加剧了国家之间、地区之间道德和文化的冲突,对我国的精神文明建设构成干扰和冲击。
(4) 破坏国家安全。世界上存在着对立的政治制度和意识形态,并不是到处充满善意,一些国家通过互联网发布恶意的反动政治信息,散布谣言,利用信息“炸弹”攻击他国,破坏其国家安全,甚至出于一定的政治目的,突破层层保密网,直接对其核心的系统中枢进行无声无息的破坏,达到不可告人的目的。
综上所述,道德是由一定的社会组织借助于社会舆论、内心信念、传统习惯所产生的力量,使人们遵从道德规范,达到维护社会秩序、实现社会稳定目的的一种社会管理活动。
网络道德由于虚拟空间的出现而产生新的要求,它与根植于物理空间的现实道德相比较,有其新的特点。
1. 自主性和自律性
“道德的基础是人类精神的自律。”传统社会由于时空限制,交往面狭窄,在一定意义上是一个“熟人社会”。依靠熟人(朋友、亲戚、邻里、同事等)的监督,摄于道德法律手段的强大力量,传统道德得到相对较好的保护。 相比之下,“网络社会”更大程度上是“非熟人社会”,互联网是人们为了满足各自的需要而自发自愿连接建立起来的。在这个以网络为基础的少人干预、过问、管理、控制的网络道德环境中,人们进入了“
为了维护人民群众的利益,保障国家利益和人民群众的正常生活秩序,我国成立了专门负责计算机信息网络安全工作的部门。几年来,陆续制定了一些与信息活动相关的法律法规。
1.相关法律:
(1)1988年9月5日第七界全国人民代表大会常务委员会第三次会议通过的《中华人民共和国保守国家秘密法》,第三章第十七条提出“采用电子信息等技术存取、处理、传递国家秘密的办法,由国家保密部门会同中央有关机关规定”。
(2)1997年10月,我国第一次在修订刑法时增加了计算机犯罪的罪名。 (3)为规范互联网用户的行为,2000年12月28日九届全国人大常委会通过了《全国人大常委会关于维护互联网安全的决定》。
(4)《中华人民共和国刑法》(节录):
第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
2. 相关法规:
(1)1989年,公安部发布了《计算机病毒控制规定(草案)》。 (2)1991年,国务院常务会议通过了《计算机软件保护条例》。
(3)1994年2月18日,国务院发布《中华人民共和国计算机信息网络系统安全保护条例》。
(4)1996年2月1日,国务院发布《中华人民共和国计算机信息网络国际联网管理暂行规定》。
(5)1997年5月20日,国务院信息化工作领导小组制定了《中华人民共和国计算机信息网络国际联网暂行规定实施办法》。 (6)1997年,国务院信息化工作领导小组发布《中国互联网络域名注册暂行管理办法》、《中国互联网络域名注册实施细则》。
(7)1997年,原邮电部出台《国际互联网出入信道管理办法》。
(8)1997年12月11日,国务院发布《计算机信息网络国际联网安全保护管理办法》。 (9)2000年,《互联网信息服务管理办法》正式实施。
(10)2000年11月,国务院新闻办公室和信息产业部联合发布《互联网站从事登载新闻业务管理暂行规定》。
(11)2000年11月,信息产业部发布《互联网电子公告服务管理规定》。
练习1:一些黑客认为“是他们发现了漏洞,只有入侵才能揭示安全缺陷。他们只是利用了一下闲置资源而已,没有造成什么财产损失,没有伤害人,也没有改变什么,只不过是学习一下计算机系统如何操作而已”。利用你掌握的信息安全法律法规,谈谈你的看法。
答:
练习2:破译密码窃取巨额邮政储蓄资金的一甘肃黑客张少强被判无期徒刑,请分析此案例中张少强的行为触犯了哪些法律法规。 答:
第八章
信息安全法律法规
8.1 信息保护相关法律法规
◆ 国家秘密
◇ 包括国家领土完整、主权独立不受侵犯;国家经济秩序、社会秩序不受破坏; ◇ 公民生命、生活不受侵害;民族文化价值和传统不受破坏等;
◇ 产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项。
◆ 国家秘密的密级
◇ 绝密—最重要的国家秘密—使国家安全和利益遭受特别严重的损害—破坏国家主权和领土完整,威胁国家政权巩固,使国家政治、经济遭受巨大损失—全局性、战略性
◇ 机密—重要的国家秘密—使国家安全和利益遭受严重的损失—某一领域内的国家安全和利益遭受重大损失—较大范围
◇ 秘密—一般的国家秘密—使国家安全和利益遭到损害—某一方面的国家安全利益遭受损失—局部性
◆ 危害国家秘密安全的行为
◇ 严重违反保密规定行为
1.违反涉密信息系统和信息设备保密管理规定的行为; 2.违反国家秘密载体管理规定的行为; 3.违反国家秘密信息管理规定的行为。
◇ 定密不当行为
1.定密不当包括对应当定密的事项不定密,或者对不应当定密的事项定密; 2.对应当定密的事项不定密,可能导致国家秘密失去保护,造成泄密;
3.对不应当定密的事项定密,会严重影响信息资源合理利用,可能造成较大的负面影响。
◇ 公共信息网络运营商、服务商不履行保密义务的行为
1.互联网及其他公共信息网络运营商、服务商没有履行配合公安机关、国家安全机关、检察机关对泄密案件进行调查的义务;
2.发现发布的信息涉及泄露国家秘密,没有立即停止传输和保存客户发布信息的内容及有关情况记录,并及时向公安机关、国家安全机关、保密行政管理部门报告;
3.没有按照公安机关、国家安全机关、保密行政管理部门要求,及时对互联网或公共信息网上发布的涉密消息予以删除,致使涉密信息继续扩散。
◇ 保密行政管理部门工作人员的违法行为
1.保密行政管理部门的工作人员在履行保密管理职责时滥用职权、玩忽职守、徇私舞弊;
2.滥用职权是指保密行政管理部门工作人员超越职权范围或者违背法律授权的宗旨、违反法律程序行使职权的行为;
3.玩忽职守是指保密行政管理部门工作人员严重不负责任,不履行或不正确履行职责的行为; 4.徇私舞弊是指保密行政管理部门工作人员在履行职责过程中,利用职务之便,弄虚作假、徇私舞弊的行为。
◆ 危害国家秘密安全的犯罪行为
◇ 危害国家安全的犯罪行为
1.掌握国家秘密的国家工作人员在履行公务期间,擅离岗位,叛逃境外或者在境外叛逃; 2.参加间谍组织或者接受间谍组织及其代理人的任务; 3.为敌人指示轰击目标,为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报。
◇ 妨碍社会管理秩序的犯罪行为
1.以窃取、刺探、收买方法,非法获取国家秘密;
2.非法持有属于国家绝密、机密的文件、资料或者其他物品,拒不说明来源与用途。
◇ 渎职的犯罪行为
1.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定,故意泄露国家秘密; 2.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定,过失泄露国家秘密。
◇ 军人违反职责的犯罪行为
1.以窃取、刺探、收买方法,非法获取军事秘密;
2.为境外的机构、组织、人员窃取、刺探、收买、非法提供军事秘密;
3.违反保守国家秘密法规,故意泄露军事秘密(战时有此行为会受到从重处罚); 4.违反保守国家秘密法规,过失泄露军事机密(战时有此行为会受到从重处罚)。
◆ 保护国家秘密相关法律
◇ 《保密法》
2010年10月1日起正式施行的新《保密法》从四个方面明确了危害国家秘密安全的行为的法律责任,使查处泄密违法行为有据可依、有章可循。
◇ 严重违反保密规定的法律责任
《中华人民共和国公务员法》、《中华人民共和国行政监察法》、《行政机关公务员处分条例》
◇ 互联网及其他公共信息网络运营商、服务商的有关法律责任
《中华人民共和国治安管理处罚法》、《中华人民共和国电信条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》
◆ 商业秘密
不为公众所知悉、能为权利人带来经济利益、具有实用性并由权利人采取保密措施的技术信息和经营信息。
技术信息商业秘密包括由单位研制开发或者以其他合法方式掌握的、未公开的设计、程序、产品配方、制作工艺、制作方法等信息,以及完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据,包括但不限于设计图纸(含草图),试验结果和试验记录、样品、数据等,也包括针对技术问题的技术诀窍。
经营信息类商业秘密包括经营策略、产品策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息。
◆ 侵犯商业秘密的行为
◇ 以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密
◇ 披露、使用或者允许他人使用上述手段获取权利人的商业秘密
◇ 违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密
权利人:是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人
◆ 保护商业秘密相关法律法规
◇ 《中华人民共和国刑法》 ◇ 《中华人民共和国不正当竞争法》 ◇ 《中华人民共和国合同法》 ◇ 《中华人民共和国劳动合同法》
◆ 侵犯个人隐私信息行为
1.未经他人同意,擅自公布他人的隐私资料,或者以书面、口头形式宣扬他人隐私 2.窃取或者以其他非法方式获取公民个人电子信息 3.出售或者非法向他人提供公民个人电子信息
4.网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息
5.对在业务活动中经被收集者同意收集公民个人电子信息没有采取必要的保密措施
6.医疗机构及其医务人员泄露患者隐私或者未经患者同意,公开其病历资料、健康体检报告等行为
◆ 侵犯个人隐私信息犯罪行为
1.隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的; 2.邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的;
3.国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的;
4.窃取或者以其他方法非法获取公民个人信息,情节严重的;
5.非法截获、篡改、删除他人电子邮件或者其他数据资料,情节严重的;
6.人民警察泄露因制作、发放、查验、扣押居民身份证而知悉公民个人信息,情节严重的。
8.2 打击网络违法犯罪相关法律法规
◆ 网络违法犯罪行为
◇ 破坏互联网运行安全的行为
1.侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统; 2.违反国家规定,侵入计算机系统,造成危害;
3.故意制作、传播计算机病毒等破坏程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭到损害;
4.违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;
5.违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加。
◇ 破坏国家安全和社会稳定的行为
1.利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;
2.通过互联网窃取、泄露国家秘密、情报或者军事秘密; 3.利用互联网煽动民族仇恨、民族歧视,破坏民族团结;
4.利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。
◇ 破坏市场经济秩序和社会管理秩序的行为
1.利用互联网销售伪劣产品或者对商品、服务作虚假宣传; 2.利用互联网损坏他人商业信誉和商品声誉; 3.利用互联网侵犯他人知识产权;
4.利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;
5.在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。
◇ 侵犯个人、法人和其他组织的人身、财产等合法权利的行为 1.利用互联网侮辱他人或者捏造事实诽谤他人;
2.非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密; 3.利用互联网进行盗窃、诈骗、敲诈勒索,利用网络写恐吓信或者以其他方法威胁他人人身安全的; 4.利用网络捏造事实诬告陷害他人,企图使他人受到刑事追究或者受到治安管理处罚; 5.利用网络对证人及其近亲属进行威胁、侮辱或者打击报复;
6.利用网络多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活; 7.利用网络偷窥、偷拍、窃听、散步他人隐私;
8.利用网络煽动民族仇恨、民族歧视,或者在网络中刊载民族歧视、侮辱内容。
◇ 利用互联网实施以上四类所列行为以外的违法/犯罪行为
◆ 相关法律
◇ 《刑法》
◇ 《关于维护互联网安全的决定》 ◇ 《治安管理处罚法》
8.3 信息安全管理相关法律法规
◆ 案例
◇ 电子签名第一案
◆ 相关法律条例
◇ 《中华人民共和国保守国家秘密法》
在保护国家秘密方面,在第一章“总则”第五条、第六条,对保密工作的监督进行了明确授权,由国家保密行政管理部门主管全国的保密工作:
▽ 县级以上地方各级保密行政管理部门主管本行政区域的保密工作; ▽ 国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作; ▽ 中央国家机关在其职权范围内,管理或者指导本系统的保密工作; ▽ 国家保密行政管理部门的最高机构是国家保密局。 在第四章“监督管理”第四十一条。第四十二条中规定:
▽ 国家保密行政管理部门依照法律、行政法规的规定,制定保密规章和国家保密标准; ▽ 保密行政管理部门依法组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作,对机关、单位的保密工作进行指导和监督。
◇ 《中国人民共和国警察法》
在维护公共安全方面,《中国人民共和国人民警察法》进行了相应规定。《中华人民共和国人民警察法》第二章“职权”第六条规定,公安机关的人民警察按照职责分工,依法履行下列职责:预防、制止和侦查违法犯罪活动;维护社会治安秩序,制止危害社会治安秩序的行为;监督管理计算机信息系统的安全保护工作。
◇ 《中华人民共和国电子签名法》
2004年8月28日通过并公布的《中华人民共和国电子签名法》在第三章“电子签名与认证”中,对电子认证服务提供者的监管进行了授权。在第十六条、第十八条中规定,电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务;从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合规定条件的相关材料、国务院信息产业主管部门接到申请后经依法审查、征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或不予许可的决定。予以许可的,颁发电子认证许可证;不予许可的,应当书面通知申请人并告知理由。申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续,取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名、许可证号等信息。
我院计算机网络信息系统已经几乎遍布于全院的各个科室,随着各种应用的深入,医院各项业务对信息系统的依赖与日俱增,在享受信息系统给医院带来种种便利的同时也存在着巨大的风险。考虑到医院内信息系统突发事件可能引起的危害,必须系统地、有组织地做好应急预案,尽量控制风险,降低风险,减少损失。为防患于未然,特制定本预案。
一、应急预案的定义
信息安全应急预案是在对各部门的全部业务处理功能的严格调查基础上,针对每项关键业务流程,受信息系统可能发生不同程度突发事件的影响,准备和实施的一套信息安全应急预案,其基本价值在于:在信息系统突发事件出现之前就已经制定相应措施,做好一定准备;一旦信息系统安全事件发生,可以提供和实施这些替代方案,以最大限度地争取时间,减少损失。
二、成立医院“信息系统安全应急预案”领导小组 组 长:XX 负责决定批准预案实施与撤消及上
级相关部门报告、负责院内协调、组织、网络设备购买等工作;
副组长:XX 负责预案实施过程的全部技术工作
及协调软件和硬件供应商、线路运营商的工作;
成 员:
XXX 负责协调电力保障工作; XXX 负责协调收费处工作; XXX 负责协调各药房工作; XXX 负责协调护理工作;
XXX 负责协调医疗和医技工作; XXX 负责技术支持和通知工作;
三、医院信息系统出现故障报告程序
当各工作站发现计算机访问数据速度迟缓、不能打开程序、不能保存数据、不能访问网络、要立即向信息科报告。信息科工作人员对各工作站提出的问题必须高度重视,做好记录,经核实后及时给各工作站反馈故障信息。同时召集有关人员及时进行讨论,如果故障原因明确,可以立刻排除的,应尽快恢复工作;如故障原因不明、情况严重、不能在短期内排除的,应立即报告信息系统安全应急预案领导小组组长,由信息系统安全应急预案领导小组统一协调全院各部门工作,以保障全院医疗工作的正常运转。
四、医院信息系统故障分级及首要工作
根据故障发生的原因和性质的不同可分为三类:
一类故障:由于主服务器不能正常工作、核心交换机损坏、主服务器信息数据丢失、全院网络瘫痪等造成的系统故障。
二类故障:由于部分交换机损坏、部分网络瘫痪、部分终端软、硬件故障,部分病人信息丢失等造成的系统故障。
三类故障:由于单一终端软、硬件故障,单一病人信息丢失、偶然性的数据处理错误、各工作站操作不熟练或使用不当、某些科室违反操作规范等造成的系统故障。
针对上述故障分类等级,处理原则如下:
一类故障——由信息系统安全应急预案领导小组副组长上报组长并启动本应急预案。
二类故障——由信息科组织相关技术人员共同解决。 三类故障——由信息科技术人员单独解决。
五、发生信息系统安全一类故障时的紧急预案
(一)当信息系统应急预案领导小组副组长一旦将故障确定为一类故障时,首先应由小组副组长立即报告组长,同时组织恢复工作,处理故障时应充分考虑到特殊情况,如节假日、就诊病人多、医院有重大活动等对故障恢复带来的时
2 间影响。
(二)一类故障发生后各部门将根据恢复时间的长短转入手工操作,具体时限明确如下:
1、30 分钟内不能恢复——门诊、住院收费处、药房转入手工操作;
2、2 小时内不能恢复——各护士工作站、各医生工作站、各医技工作站转入手工操作;
3、4小时以上不能恢复——全院各种业务转入手工操作。
六、各部门的具体协调安排
所有手工操作的统一启动时间须经信息系统应急预案领导小组组长批准授权后,再由信息科通知相关部门,各部门应严格按照通知时间协调各项工作,在未接到新的通知前不准私自操作计算机。
(一)门诊收费处的应急预案
1、各门诊收费处由财务科科长统一协调,由门诊收费处负责人具体负责,要与信息科保持联系,及时反馈沟通最新消息。
2、门诊各收费处应常备收费价格纸质目录和各种手工收据;
3、当信息系统运行中断超过30分钟时,接信息科通知后,收款员方可转入手工操作;
4、门诊收款员要建立手工收费流水账,为病人开据手工收据;
5、当系统恢复正常时,先由信息科通知门诊收费处负责人对本部门所涉及的信息系统应用程序的运行稳定性、可靠性、正确性进行评估,如故障仍存在,要立即向信息科反馈情况;
6、在接到信息科全面恢复运行的通知后,收款员方能逐步转入到机器操作,并尽快在合适时间对手工收据进行补录。
(二)住院收费处的应急预案
1、各住院收费处由财务科科长统一协调,由住院收费处负责人具体负责,要与信息科保持联系,及时反馈沟通最新消息。
2、住院收费处应常备收费价格纸质目录和各种手工收据。
3、当系统停止运行超过 30分钟时,接信息科通知后,收款员方可转入手工操作。
4、对于入院患者,由住院收费处手工登记住院患者基本信息,开具手工预收款收据;对于出院、转院患者,由科室护士长指定一名护士统一在住院收费处进行手工登记患者详细出院信息(必须包含病人联系方式),对于欠费额较大的病人要预交相当额度的押金,并开具手工预收款收据,方可办理出院、转院手续。
5、当系统恢复正常时,先由信息科通知住院收费处负责人对本部门所涉及的信息系统应用程序的运行稳定性、可靠性、正确性进行评估,如故障仍存在,要立即向信息科反馈情况。
6、在接到信息科全面恢复运行的通知后,收款员方能逐步转入到机器操作,并尽快在合适时间对手工收据进行补录。
对住院患者要及时通知患者所在科室,由科室通知患者家属携带手工预收款收据到住院处换领机打收据;对出院、转院患者在所有手工收据补录完毕后,通知患者家属携带相关手续到医院住院收费处进行结算。
(三)护士工作站的应急预案
1、各护士工作站由护理部统一协调,由各科护士长具体负责。
2、系统故障期间临床科室护士应详细记录患者的所有费用执行情况。
3、需要用药的患者,科室护士应详细填写每位患者的药品请领单(包括姓名、住院号、费用类别、药品名称及用量),一式两份,一份用于科室补录医嘱,另一份送药房作为领药凭证。对于需要做相应处置的患者,应详细记录处置项目。
4、在接到信息科全面恢复运行的通知后,科室护士方能逐步转入到机器操作,并尽快在合适时间对手工数据进行补录。
(四)医生工作站的应急预案
1、各医生工作站由医务科统一协调,由各科主任具体负责。
2、系统故障期间临床科室应详细记录在院患者的所有医嘱执行情况,手工开具检验、检查单及手工书写医疗文书。对于出院、转院患者,出院带药由主管医生负责掌握经费情况,如出现费用超支时原则上不予带药。
3、在接到信息科全面恢复运行的通知后,科室医生方能逐步转入到机器操作,并尽快在合适时间对手工数据进行补录。
(五)医技部门的应急预案
1、在系统故障期间应详细留取、整理检查、检验申请单。
2、在接到信息科全面恢复运行的通知后,应根据检查、检验单信息通过手工计价补录相应费用。
(六)药房的应急预案
1、各药房由药械科统一协调,由各药房负责人具体负责。
2、药房应常备纸质医院《药品目录》,完善品规信息。
3、系统故障时,根据临床科室提供的药品请领单发药。
4、在接到信息科全面恢复运行的通知后,应对临床科室补录的药品医嘱进行发药并确认,同时与发药时药品请领单内容详细核对,如发现内容不符,须详细追查。
(七)机房系统停电应急预案
1、当机房发生市电供电突然停电或是电源异常时,首先应和电工取得联系,确认正常停电以及预计停电时间。检查不间断电源的电池可供电时间,确保设备正常运行。
2、当确定停电时间超出机房UPS承载范围后,及时通知各部门做好停电、关闭系统准备。严格按操作手册先关服务器,最后停核心交换机和路由器的电源,等待电力恢复。
3、当确定停电原因是在本身供电系统造成的,立即联系电工达到现场检修。必要时可采取发电机发电、临时电缆铺设、从其它区域进行临时供电。
七、信息科应急处理规程
(一)启动应急预案后,信息科所有工作人员应迅速集合,并根据现场具体情况做以下工作:
1、故障检修:集中分析故障、查找原因、排除故障。
2、技术联络:与软、硬件供应商取得联系,采取有效方法获得技术支持。
3、院内协调:及时通报全院各科室系统故障及修复情况,必要时到重点科室(如收费、药房等部门)协调工作。
(二)故障排除后,信息科应在两天内组织技术研讨会,通报故障原因,制定预防措施,由信息系统安全应急预案领导小组副组长书写故障处理报告并报组长审阅。
我院计算机网络信息化已经遍布于全院的各个部门,随着各种应用的深入,医院业务对计算机的依赖与日俱增,在享受计算机给医院带来种种好处的同时也存在着不少风险。考虑到医院内外信息系统突发事件可能引起的危害,以及与其它部门和系统的依赖性。为了确保关键业务的连续,必须有系统、有组织地作好应急预案的准备,尽量降低风险,减少损失。为防患于未然,特制定本预案。
一、应急预案的定义
信息安全应急预案是在对各部门的全部业务处理功能的严格调查基础上,针对每项关键业务流程,受信息系统可能发生不同程度突发事件的影响,准备和实施的一套信息安全应急预案,其基本价值在于:在信息系统突发事件出现之前就已经制定相应措施,做好一定准备;一旦信息系统安全事件发生,可以提供和实施这些替代方案,以最大限度地争取时间,减少损失。
二、医院信息系统出现故障报告程序
当各工作站发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时,要立即向信息科报告。信息科工作人员对各工作站提出的问题必须高度重视,做好记录,经核实后及时给各工作站反馈故障信息,同时召集有关人员及时进行讨论,如果故障原因明确,可以立刻恢复的,应尽快恢复工作;如故障原因不明、情况严重、不能在短期内排除的,应立即报告院领导,在网络不能运转的情况下由院领导协调全院各部门工作,以保障全院医疗工作的正常运转。
三、医院信息系统故障分级
根据故障发生的原因和性质不同分为三类:
一类故障:由于服务器不能正常工作、光纤损坏、主服务器数据丢失、备份硬盘损坏、服务器工作不稳定、局部网络不通、价表目录被人删除或修改、重点终端故障、规律性的整体、局部软件和硬件发生故障等造成的网络瘫痪。
二类故障:由于单一终端软、硬件故障,单一病人信息丢失、偶然性的数据处理错误、某些科室违反工作流程引起系统故障。
三类故障:由于各终端操作不熟练或使用不当造成的错误。 针对上述故障分类等级,处理原则如下:
一类故障——由信息科主任上报院领导,由医院组织协调恢复工作。
二类故障——由网络管理人员上报信息科主任,由信息科集中解决。
三类故障——由网络管理员单独解决,并详细登记维护情况。
四、发生网络整体故障时的首要工作
1、当信息科一旦确定为网络整体故障时,首先是立刻报告院领导,同时组织恢复工作,并充分考虑到特殊情况如节假日、病员流量大、人员外出及医院有重大活动等对故障恢复带来的时间影响。
2、当发现网络整体故障时,各部门根据故障恢复时间的程度将转入手工操作,具体时限明确如下:
(1)30 分钟内不能恢复——门诊挂号、住院登记、药房等部门转入手工操作。
(2)6 小时内不能恢复——各护士工作站、药房、120 急救站、手术室、医技检查转入手工操作(具体时间由信息科通知) 。
(3)24 小时以上不能恢复——全院各种业务转入手工操作。
五、各部门的具体协调安排
1、所有手工操作的统一启动时间须由信息科通知,相关部门严格按照通知时间协调各项工作,在未接到新的指示前不准私自操作计算机。
2、门诊挂号收费处工作协调 (1)由各收费部门主任负责总体联络协调,要与信息科保持联系,及时反馈沟通最新消息;(2)当网络系统运行中断超过 30 分钟时,要通知收款员转入手工收费程序;(3)门诊收款员要建立手工发票使用登记本,对发票使用情况做详细登记; (4)当系统恢复正常时,由收款员负责对网络运行稳定性进行监测,如不稳定,及时向信息科反馈情况。(5)在接到使用计算机的指令并重新启动运行后,收款员逐步转入到机器操作。
3、出院结算处的工作协调 (1)由财务科主任总体负责联络协调;(2)原则上不在住院处、记帐处进行费用补录,以防止出现帐目混乱; (3)当系统停止运行超过 24 小时,对普通出院患者,推迟出院结算时间。对急诊出院的患 者应根据病历和临床护士工作站记录,进行手工核算,出具手写发票。(4)在网络停止运行期间,出院患者急需结算时,应由该科护士工作站追查是否还有正在 进行的检查项目,并向出院结算处提供详细费用情况后,方可送交结算。
4、护士工作站的协调 (1)护士工作站由护理部共同协调;(2)网络故障期间临床科室应详细记录患者的所有费用执行情况; (3)科室详细填写每位患者的药品请领单(包括姓名、住院号、费别、药品名称及用量),一式两份,一份用于科室补录医嘱,另一份送药房作为领药凭证。
5、医生工作站的协调 (1)网络故障期间临床科室应详细记录患者的所有费用执行情况;(2)出院带药由主管医生负责掌握经费情况,如出现费用超支时原则上不予带药;(3)接到信息科通知恢复运行时间,按要求补录医嘱。
6、医技检查工作协调 (1)在网络停运期间应详细留取、整理检查申请单底联;(2)网络恢复后根据检查单底联登记,通过手工记价补录患者费用。(3)对即将出院或有出院倾向的患者,主治医师要在检查申请单上要注明,检查科室应及时通知科室或住院处沟通费用情况。
7、药房工作协调 (1)药剂科应常备医院《药品目录》,必要时由信息科提供药品最新价格;(2)网络故障时,根据临床科室提供的药品请领单发药;(3)网络恢复时对临床科补录的摆药医嘱进行发药并确认,同时与发药时药品请领单内容详细核对,如发现内容不符,须详细追查;(4)网络恢复后对出院带药处方及时进行确认;各工作站接到重新运行通知时,需重新启动计算机,整体网络故障的工程恢复工作,由信息科严格按照服务器数据管理要求进行恢复工作。
六、应急数据恢复工作规定
1、当服务器确认出现故障时,由网络管理员按《数据备份恢复方案》进行系统恢复。
2、网络管理员由信息科主任指定专人负责恢复。当人员变动时应有交接手续。
3、当网络线路不通时,网络管理员应立即到场进行维护,当光纤损坏时应立即使用备用光纤进行恢复,交换机出现故障时,应使用备用交换机。
4、对每次的恢复细节应做好详细记录。
5、平时每月对全系统备份数据要进行模拟恢复一次,以检查数据的可用性。
七、网络服务器故障应急处理规程
网络服务器故障是因硬件或软件原因致使医院信息管理系统运行停止,一旦发生故障,按下列规程处理。
1、信息科应设 24 小时专人值班,监控网络运行。发现问题,在及时处理的同时迅速向科室领导汇报。故障排除后,应完成故障报告,在技术讨论会上汇报。
2、遇到较大故障,信息科工作人员应迅速集合,集体攻关。具体分为 3 个组做以下工作: (1)故障检修组:集中系统管理员继续分析故障、查找原因、修复系统。
(2)技术联络组:迅速与软、硬件供应商取得联系,采取有效手段获得技术支持。
(3)院内协调组:通知全院各科室故障情况,并到关键科室协助数据保存。
3、全院各系统使用科室制定相应的系统故障数据保护措施,并建立数据抢录小组,发现停机,应保存断点,保护原始数据,断点前后表单分开存放。
4、在停机期间,相关科室应组织数据抢录小组在岗待命,一旦系统恢复,当日应立即完成对重要数据的录入,第二天完成全部数据补录。
5、故障排除后,信息科工作技术组应按制定方案分片包干,协助重要科室进行数据补录工作。
6、故障排除后 2 天内,信息科应组织技术研讨会,分析故障原因,制定预防措施,完成故障排除报告交院领导。
总则
第一条
为加强医院网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合本医院实际,特制订本措施。
第二条
计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第一章 网络安全措施
第三条
遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。
第五条
各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网(需入网的电脑需打报告,由院长批准实施)。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。
第六条
禁止未授权用户接入医院计算机网络及访问网络中的资源,禁止未授权用户使用BT、迅雷等占用大量带宽的下载工具。
第七条
任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。
第八条
医院员工禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。
第九条
计算机各终端用户应保管好自己的用户帐号和密码。严
禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。
第十条
IP地址为计算机网络的重要资源,计算机各终端用户应在信息中心的规划下使用这些资源,不得擅自更改。另外,某些系统服务对网络产生影响,计算机各终端用户应在信息中心的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行。
第二章 设备安全措施
第十一条
凡登记在案的IT设备,由信息部门统一管理 第十二条
IT设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。凡部门(病区)或合作单位自行购买的设备,原则上由部门(病区)或合作单位自行负责,但若有需要,信息中心可协助处理。
第十三条
严禁使用假冒伪劣产品;严禁擅自外接电源开关和插座;严禁擅自移动和装拆各类设备及其他辅助设备。
第十四条
设备出现故障无法维修或维修成本过高,且符合报废条件的,由用户提出申请,并填写《电脑报废申请表》,由相应部门领导签字后报信息中心。经信息中心对设备使用年限、维修情况等进行鉴定,将报废设备交有关部门处理,如报废设备能出售,将收回的资金交医院财务入账。同时,由信息中心对报废设备登记备案、存档。
第三章 数据安全措施
第十五条
计算机终端用户计算机内的资料涉及医院秘密的,应该为计算机设定开机密码或将文件加密;凡涉及医院机密的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。
第十六条
计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区,一般是C盘)外的盘上。计算机信息系统发生故障,应及时与信息中心联系并采取保护数据安全的措施。
第十七条
终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份,存放在不同的地点;对采用usb设备或光盘保存的数据,要定期进行检查,定期进行复制,防止由于usb设备损坏,而使数据丢失;做好防磁、防火、防潮和防尘工作。
第四章 操作安全措施
第十八条
凡涉及业务的专业软件、IT设备由部门使用人员自行负责,信息中心协助管理。严禁利用计算机干与工作无关的事情;严禁除维修人员以外的外部人员操作各类设备;严禁非信息中心人员随意更改设备配置。
第二十条
计算机终端用户在工作中遇到计算机信息系统问题,首先要学会自行处理,若无法处理,应尽快联系信息中心。
第五章 网站安全措施
第二十一条
医院网站由信息中心提供技术支持和后台管理,由医院相关部门提供经审核后的书面和电子版网站建设资料。
第六章 计算机使用安全措施.
(一).医院的计算机与网络由网络管理员管理维护、其它部门和个不 得私自更改计算机的各项设置。
(二).各部门工作人员未经许可不可随意删除硬盘上的系统软件。
(三).严禁在上班时间使用计算机与网络做与工作无关的事情,如:玩 游戏、看电影、看小说等。
(六).计算机上不得存放有破坏医院计算机与网络正常运行的软件。 (如:黑客程序,带病毒的文件)、电影文件、及不健康的文件。
(七).禁止私自拆卸计算机及外设,更不能私自更换计算机硬件。(备 注:如有私自拆卸或更换被发现,会请示院领导视情节给予处罚。)
(八).由于工作疏忽,造成设备丢失,以设备的当前折算价格,责成 使用人与该部门负责人等相关人员按比例分摊。
(九).未经网络管理员许可,任何人不得因私借走医院信息设备,不 得破坏计算机网络设备。
(十).未经计算机使用人许可,禁止外单位人员使用本医院计算机。 一旦发生故障,由计算机使用人负责。
(十一).禁止设置计算机开机BOIS密码,发现有设置者,办公室有权 在不通知使用者的情况下给予清除。
(十二). 在工作用机上请勿下载、安装、试用不明软件,禁止登录非 法网站,以免造成系统故障。如需使用和安装外来文件或下载互联网上
的文件,请联系网络管理员申请审核。
(十三). 外出、午休、下班等不使用电脑时请及时按照正常关机方法关机,不得强行关闭电源。并检查外配设备是否关闭(显示器、打印机等)。以减少电磁辐射、节约用电、延长电脑使用寿命、保护自己及他人的身体健康。
第七章 处罚措施
第二十二条
有以下情况之一者,视情节严重程度处以50元以上500元以下罚款。构成犯罪的,依法追究刑事责任。
(一) 制造或者故意输入、传播计算机病毒以及其他有害数据的;
(二) 非法复制、截收、篡改计算机信息系统中的数据危害计算机信息系统安全的;
(三) 对网络和服务器进行恶意攻击,侵入他人网络和服务器系统,利用计算机和网络干扰他人正常工作;
(四) 访问未经授权的文件、系统或更改设备设置;
(五)擅自与他人更换使用计算机或相关设备;
(六)擅自调整部门内部计算机的安排且未备案;
(七)工作时间外使用医院计算机做与工作无关的事务;
(八)相同故障出现三次以上(包括三次)仍无法自行处理的;
(九)因工作需要长时间(五个小时以上)离开办公位置或下班后无故未将计算机关闭;
第二十三条
计算机终端用户因主观操作不当对设备造成破坏两次以上或蓄意对设备造成破坏的,视情节严重,按所破坏设备市场价值的20%~80%赔偿。
第八章 附则
第二十四条
计算机终端用户应积极配合信息中心共同做好计算机信息系统安全管理工作
第二十五条
本制度适用于全医院范围,由办公室负责解释、修订。
第二十六条
本制度自发布之日起实施,凡原制度与本制度不相符的,照本制度执行。
推荐阅读:
医院信息系统安全论文04-17
医院信息安全责任制06-14
医院信息系统安全管理06-11
医院信息网络安全论文04-18
医院信息系统安全建设论文04-22
医院信息安全解决方案11-05
医院信息系统信息安全等级保护的实施探讨09-12
医院信息网络安全论文提纲11-15
医院信息系统安全建设论文提纲11-15
医院信息系统的管理和安全维护09-12
