第一篇：醫(yī)院信息系統(tǒng)安全的重要性

醫(yī)院信息系統(tǒng)安全的重要性

來源：康巨瀛，張文麗 編輯：xiaoliang 時(shí)間：2010-3-1

【摘要】醫(yī)院信息系統(tǒng)安全防護(hù)措施的制定和實(shí)施是保證醫(yī)院信息系統(tǒng)的穩(wěn)定性、可靠性、安全性、可用性的利器。醫(yī)院信息系統(tǒng)的安全性直接關(guān)系到醫(yī)院醫(yī)療工作的正常運(yùn)行，一旦網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失，將會給醫(yī)院和病人帶來巨大的災(zāi)難和難以彌補(bǔ)的損失，因此，醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全工作非常重要，我院制定了周密的網(wǎng)絡(luò)安全維護(hù)措施，以確保醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)持久、穩(wěn)定、高效、安全地運(yùn)行。

【關(guān)鍵詞】醫(yī)院信息系統(tǒng);安全;重要性

醫(yī)院信息系統(tǒng)安全防護(hù)措施的制定和實(shí)施是保證醫(yī)院信息系統(tǒng)的穩(wěn)定性、可靠性、安全性、可用性的利器。我院是省屬大型三級甲等醫(yī)院，信息化建設(shè)從1988年開始，目前已經(jīng)是基本成型的數(shù)字化醫(yī)院，在醫(yī)院信息管理系統(tǒng)(HIS)、臨床信息系統(tǒng)(CIS)、醫(yī)學(xué)影像存儲與管理系統(tǒng)(PACS)、檢驗(yàn)信息管理系統(tǒng)(LIS)……投入運(yùn)行后，幾大系統(tǒng)縱橫交錯(cuò)，構(gòu)成了龐大的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。我院網(wǎng)絡(luò)系統(tǒng)覆蓋全院的每個(gè)部門，涵蓋病人來院就診的各個(gè)環(huán)節(jié)，600多臺計(jì)算機(jī)同時(shí)運(yùn)行，支持各方面的管理，成為醫(yī)院開展醫(yī)療服務(wù)的業(yè)務(wù)平臺，醫(yī)院信息系統(tǒng)的安全性直接關(guān)系到醫(yī)院醫(yī)療工作的正常運(yùn)行，一旦網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失，將會給醫(yī)院和病人帶來巨大的災(zāi)難和難以彌補(bǔ)的損失。因此，醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全工作非常重要，我院制定了周密的網(wǎng)絡(luò)安全維護(hù)措施，以確保醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)持久、穩(wěn)定、高效、安全地運(yùn)行。

1中心機(jī)房及網(wǎng)絡(luò)設(shè)備的安全維護(hù)

1.1環(huán)境要求中心機(jī)房作為醫(yī)院信息處理中心，其工作環(huán)境要求嚴(yán)格，我們將溫度置于22℃左右，相對濕度為45%～65%，且機(jī)房內(nèi)無人員流動、無塵、半封閉。機(jī)房安裝了可靠的避雷設(shè)施、防雷設(shè)備。

1.2電源管理機(jī)房采用兩路供電系統(tǒng)，保證了中心機(jī)房供電的穩(wěn)定和連續(xù)，配有不間斷電源可12小時(shí)延時(shí)，并安裝有抗磁場干擾等裝置。

1.3網(wǎng)絡(luò)設(shè)備信息系統(tǒng)中的數(shù)據(jù)是靠網(wǎng)絡(luò)來傳輸?shù)?，網(wǎng)絡(luò)的正常運(yùn)行是醫(yī)院信息系統(tǒng)的基本條件，所以網(wǎng)絡(luò)設(shè)備的維護(hù)至關(guān)重要。我科每天查看路由器、交換機(jī)、集線器、光纖收發(fā)器等設(shè)備的指示燈狀態(tài)是否正常，各種插頭是否松動，注意除垢、防水等。

2服務(wù)器的安全維護(hù)

服務(wù)器是醫(yī)院信息系統(tǒng)的核心，它在醫(yī)院信息系統(tǒng)安全運(yùn)行中起著主導(dǎo)作用，如果服務(wù)器發(fā)生故障，要么數(shù)據(jù)丟失，要么系統(tǒng)癱瘓，為確保服務(wù)器的穩(wěn)定、可靠、高效地運(yùn)行，我院每個(gè)系統(tǒng)都采用雙服務(wù)器，無論主服務(wù)器何時(shí)出問題，從服務(wù)器都可自動替代主服務(wù)器的所有服務(wù)功能，間隔時(shí)間不超過5分鐘。3工作站的安全維護(hù)

由于工作站分布在醫(yī)院的各個(gè)角落，工作站本地不保存數(shù)據(jù)，工作站一律不安裝軟驅(qū)、光驅(qū)，屏蔽USB口，有效地杜絕了病毒的侵入。工作站都安裝遠(yuǎn)程監(jiān)控系統(tǒng)，監(jiān)控用戶行為，能夠做到在工作室可以看到客戶機(jī)器屏幕顯示，實(shí)現(xiàn)遠(yuǎn)程安裝、管理、殺毒，達(dá)到與用戶本地機(jī)器操作相同的效果。

4防病毒措施

安裝瑞星網(wǎng)絡(luò)版殺毒軟件，使用殺毒軟件在網(wǎng)絡(luò)安全中起著重要的作用。它對網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，防止計(jì)算機(jī)病毒入侵破壞網(wǎng)絡(luò)，保證醫(yī)院信息系統(tǒng)在無病毒狀態(tài)下安全運(yùn)行。每周六全院統(tǒng)一升級。

5數(shù)據(jù)庫的安全

備份數(shù)據(jù)安全是醫(yī)院信息系統(tǒng)安全的核心部分。硬盤損壞、偶然或惡意的數(shù)據(jù)破壞、病毒入侵、自然災(zāi)害等都會引起數(shù)據(jù)丟失，因此需要實(shí)時(shí)對數(shù)據(jù)進(jìn)行備份。我院采用異地容災(zāi)的方式進(jìn)行數(shù)據(jù)的實(shí)時(shí)鏡像，這樣不但保證了系統(tǒng)的正常運(yùn)轉(zhuǎn)，同時(shí)也確保了數(shù)據(jù)的完整性，將數(shù)據(jù)的損失減少到最小量。

6網(wǎng)絡(luò)訪問控制的安全措施

在醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)中，訪問控制主要是主體訪問客體的權(quán)限控制。根據(jù)MicrosotSQLServer特性，運(yùn)用系統(tǒng)軟件和應(yīng)用軟件的相應(yīng)功能，合理設(shè)置系統(tǒng)的使用權(quán)限。醫(yī)院網(wǎng)絡(luò)用戶的特點(diǎn)是分散處理、高度共享，用戶涉及醫(yī)生、護(hù)士、醫(yī)療技術(shù)、管理人員等，根據(jù)這個(gè)特點(diǎn)，通過設(shè)定權(quán)限控制用戶對特定數(shù)據(jù)的使用，使每個(gè)用戶在整個(gè)系統(tǒng)中只具有唯一的帳號，既方便靈活地操作自己的程序和調(diào)用數(shù)據(jù)，又禁止用戶對無關(guān)目錄進(jìn)行讀寫。這樣保證了數(shù)據(jù)的共享和數(shù)據(jù)的安全，防止了非法用戶侵入網(wǎng)絡(luò)，確保網(wǎng)絡(luò)運(yùn)行安全。

7合理的網(wǎng)絡(luò)管理制度

7.1建立服務(wù)器管理制度服務(wù)器是整個(gè)信息系統(tǒng)的核心，必須對服務(wù)器進(jìn)行有效的管理，每天記錄服務(wù)器的各種操作，包括機(jī)房溫度、濕度、設(shè)備的檢查記錄、服務(wù)器的啟停記錄、對數(shù)據(jù)庫的日常維護(hù)記錄、服務(wù)器運(yùn)行情況和對用戶的監(jiān)控記錄等。

7.2專人維護(hù)進(jìn)入數(shù)據(jù)庫的密碼由專人掌握，并且定期更換，所有子系統(tǒng)的程序由專人修改、更新，以保證程序的統(tǒng)一性和完整性。

7.3建立嚴(yán)格的操作規(guī)程系統(tǒng)中的所有信息來源于工作站的操作人員，為使采集的數(shù)據(jù)真實(shí)有效，制定了工作站入網(wǎng)操作規(guī)程，以提高信息的準(zhǔn)確性?？傊?，醫(yī)院網(wǎng)絡(luò)安全涉及的范圍廣，在實(shí)際工作中，網(wǎng)絡(luò)管理人員只有不斷更新知識、積累經(jīng)驗(yàn)，才能未雨綢繆，扼殺網(wǎng)絡(luò)癱瘓，把危害降到最低。因此醫(yī)院的網(wǎng)絡(luò)管理人員更要加強(qiáng)自身素質(zhì)的培養(yǎng)，加強(qiáng)網(wǎng)絡(luò)管理，確保醫(yī)院網(wǎng)絡(luò)安全運(yùn)行。

第二篇：信息系統(tǒng)安全防護(hù)的重要性

信息系統(tǒng)安全建設(shè)重要性

1.信息安全建設(shè)的必然性

隨著信息技術(shù)日新月異的發(fā)展，近些年來，各企業(yè)在信息化應(yīng)用和要求方面也在逐步提高，信息網(wǎng)絡(luò)覆蓋面也越來越大，網(wǎng)絡(luò)的利用率穩(wěn)步提高。利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與各重要業(yè)務(wù)系統(tǒng)相結(jié)合，可以實(shí)現(xiàn)無紙辦公。有效地提高了工作效率，如外部門戶網(wǎng)站系統(tǒng)、內(nèi)部網(wǎng)站系統(tǒng)、辦公自動化系統(tǒng)、營銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等。然而信息化技術(shù)給我們帶來便利的同事，各種網(wǎng)絡(luò)與信息系統(tǒng)安全問題也主見暴露出來。信息安全是企業(yè)的保障，是企業(yè)信息系統(tǒng)運(yùn)作的重要部分，是信息流和資金流的流動過程，其優(yōu)勢體現(xiàn)在信息資源的充分共享和運(yùn)作方式的高效率上，其安全的重要性不言而喻，一旦出現(xiàn)安全問題，所有的工作等于零，2.重要信息系統(tǒng)的主要安全隱患及安全防范的突出問題

依據(jù)信息安全事件發(fā)生后對重要系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全性和系統(tǒng)服務(wù)連續(xù)性兩個(gè)方面的不同后果，重要信息系統(tǒng)頻發(fā)的信息安全事件按其事件產(chǎn)生的結(jié)果可分為如下四類：數(shù)據(jù)篡改、系統(tǒng)入侵與網(wǎng)絡(luò)攻擊、信息泄露、管理問題。

2.1數(shù)據(jù)篡改

導(dǎo)致數(shù)據(jù)篡改的安全事件主要有一下集中情況：

2.1.1管理措施不到位、防范技術(shù)措施落后等造成針對靜態(tài)網(wǎng)頁的數(shù)據(jù)篡改

據(jù)安全測試人員統(tǒng)計(jì)，許多網(wǎng)站的網(wǎng)頁是靜態(tài)頁面，其網(wǎng)站的后臺管理及頁面發(fā)布界面對互聯(lián)網(wǎng)開放，測試人員使用簡單的口令暴力破解程序就破解了后臺管理的管理員口令，以管理員身份登錄到頁面發(fā)布系統(tǒng)，在這里可以進(jìn)行頁面上傳、刪除等操作。如果該網(wǎng)站的后臺管理系統(tǒng)被黑客入侵，整個(gè)網(wǎng)站的頁面都可以被隨意修改，后果十分嚴(yán)重。一般導(dǎo)致靜態(tài)網(wǎng)頁被篡改的幾大問題為： 1)后臺管理頁面對互聯(lián)網(wǎng)公開可見，沒有啟用加密措施對其實(shí)施隱藏保護(hù)，使其成為信息被入侵的重要入口；

2)后臺管理頁面沒有安全驗(yàn)證機(jī)制，使得利用工具對登錄頁面進(jìn)行管理員賬戶口令暴力破解成為可能；

3)后臺管理頁面登陸口令強(qiáng)度偏弱，使暴力軟件在有限的時(shí)間內(nèi)就猜解出了管理員賬戶口令；

4)沒有使用網(wǎng)頁防篡改產(chǎn)品，使得網(wǎng)頁被篡改后不能及時(shí)發(fā)現(xiàn)問題并還原網(wǎng)頁。

2.1.2 程序漏洞、配置文件不合理等造成針對動態(tài)網(wǎng)頁、網(wǎng)站數(shù)據(jù)庫的篡改

經(jīng)過安全測試人員的統(tǒng)計(jì)，大部分網(wǎng)站存在SQL 注入。SQL注入并不是唯一的網(wǎng)頁程序安全漏洞、配置文件不合理問題而導(dǎo)致的。由此，一般導(dǎo)致重要信息系統(tǒng)動態(tài)網(wǎng)頁、網(wǎng)站數(shù)據(jù)庫篡改的幾大問題，分別是：

1)存在SQL注入點(diǎn)，使攻擊者可以利用該漏洞得知網(wǎng)站數(shù)據(jù)庫的基本信息； 2)使用第三方開源軟件，未進(jìn)行嚴(yán)格的代碼審查，致使軟件中存在的漏洞信息可以被攻擊者輕易獲得；

3)網(wǎng)站數(shù)據(jù)庫配置文件的配置不合理，是攻擊者可以遍歷到整個(gè)網(wǎng)站文件目錄，進(jìn)而找到后臺管理頁面；

4)后臺管理頁面使用默認(rèn)登錄名和口令，使攻擊者可以輕易上傳后門程序，并最終利用后門程序控制整個(gè)網(wǎng)站、篡改網(wǎng)站數(shù)據(jù)。

2.1.3安全意識淡薄、管理層措施不到位等造成內(nèi)部人員篡改數(shù)據(jù)

內(nèi)部人員篡改數(shù)據(jù)往往是由于安全意識淡薄、管理層措施不到位等問題造成的?？偨Y(jié)出重要信息系統(tǒng)中，導(dǎo)致內(nèi)部人員篡改數(shù)據(jù)的幾大問題：

1)數(shù)據(jù)庫訪問權(quán)限設(shè)置不合理，沒有劃分角色，沒有根據(jù)不同角色分配不同權(quán)限，導(dǎo)致用戶可越權(quán)訪問數(shù)據(jù)庫；

2)安全審計(jì)和監(jiān)控不到位。內(nèi)部人員實(shí)施犯罪的過程沒有被安全審計(jì)系統(tǒng)捕捉，到時(shí)候無法追查。在犯罪實(shí)施過程中也沒有很好的監(jiān)控機(jī)制對犯罪行為進(jìn)行監(jiān)控，不能及時(shí)阻斷進(jìn)一步的犯罪行為，因此造成了更嚴(yán)重的后果； 3)人員離職后沒有及時(shí)變更系統(tǒng)口令等相關(guān)設(shè)置，也沒有刪除與離職人員相關(guān)的賬戶等。

2.1.4 軟件代碼安全造成軟件產(chǎn)品漏洞或后門安全隱患 軟件產(chǎn)品漏洞或后門安全隱患往往是由于軟件代碼安全等問題造成的。一般在重要信息系統(tǒng)中導(dǎo)致軟件產(chǎn)品漏洞或后門安全隱患的幾大問題是： 1)軟件設(shè)計(jì)階段沒有考慮來自互聯(lián)網(wǎng)的安全威脅； 2)軟件開發(fā)階段缺少針對源代碼安全質(zhì)量的監(jiān)控； 3)軟件在交付使用前沒有進(jìn)行源代碼安全分析。

2.2系統(tǒng)入侵與網(wǎng)絡(luò)攻擊

導(dǎo)致系統(tǒng)入侵與網(wǎng)絡(luò)攻擊的安全事件主要有以下幾種情況：

2.2.1技術(shù)手段落后造成針對系統(tǒng)的遠(yuǎn)程節(jié)點(diǎn)的入侵

目前任然有重要系統(tǒng)服務(wù)器的管理員使用Telnet遠(yuǎn)程登錄協(xié)議來維護(hù)系統(tǒng)，有的管理員甚至將服務(wù)器的Telnet遠(yuǎn)程登錄協(xié)議端口映射到外網(wǎng)，以便自己在家中就能維護(hù)服務(wù)器和網(wǎng)絡(luò)設(shè)備。而針對系統(tǒng)的遠(yuǎn)程節(jié)點(diǎn)入侵的幾大問題，分別是： 1)使用明文傳輸?shù)倪h(yuǎn)程登錄軟件； 2)沒有設(shè)置安全的遠(yuǎn)程登錄控制策略。

2.2.2保護(hù)措施不到位造成針對公共網(wǎng)站的域名劫持

由于系統(tǒng)或網(wǎng)站保護(hù)措施不到位，導(dǎo)致域名被劫持。特別是政府網(wǎng)站、大型門戶網(wǎng)站、搜索引擎成為了域名劫持的主要對象。針對公共網(wǎng)站的域名劫持往往是由于保護(hù)措施不到位等問題造成的。總結(jié)出重要信息系統(tǒng)中，針對大型公共網(wǎng)站的域名劫持的幾大問題，它們是： 1)域名提供商的程序有漏洞；

2)域名注冊信息可見，特別是用于域名更改的確認(rèn)郵件可見。這也是重大安全問題。一旦這個(gè)郵件賬戶被劫持，就可以冒充合法用戶修改網(wǎng)站域名。

2．2．3抗DOoS攻擊的安全措施不到位造成針對公共服務(wù)網(wǎng)站被DDoS攻擊

缺少專門針對DDoS攻擊的技術(shù)段等現(xiàn)象在所測評的信息系統(tǒng)中普遍存在。有些系統(tǒng)甚至沒有冗余帶寬和服務(wù)器。其中發(fā)現(xiàn)，許多重要信息系統(tǒng)是單鏈路；20％的重要信息系統(tǒng)服務(wù)器沒有冗余或集群；即便是在正常訪問突發(fā)的情況下也會造成系統(tǒng)可用性的下降，更不要說承受來自黑客組織的DDoS攻擊了?？偨Y(jié)出重要信息系統(tǒng)中，針對公共服務(wù)網(wǎng)站被DDoS攻擊的幾大問題，它們是： 1)缺少專門的針對抗DDoS攻擊的安全措施； 2)網(wǎng)絡(luò)帶寬及服務(wù)器冗余不足。

2.3信息泄漏

導(dǎo)致信息泄漏的安全事件主要有以下幾種情況：

2.3.1軟件漏洞和安全意識淡薄造成的內(nèi)部郵件信息泄露

內(nèi)部郵件信息泄露往往是由于軟件漏洞和安全意識淡薄等問題造成的?？偨Y(jié)出重要信息系統(tǒng)中，導(dǎo)致內(nèi)部郵件信息泄露的幾大問題： 1)沒有及時(shí)刪除測試用戶賬戶，且測試賬戶的口令強(qiáng)度很弱； 2)使用存在已知安全漏洞的第三方郵件系統(tǒng)； 3)郵件系統(tǒng)沒有做安全加固；

4)郵件系統(tǒng)使用者安全意識淡薄，對內(nèi)部文件信息不加密。

2.3.2終端安全問題造成互聯(lián)網(wǎng)終端用戶個(gè)人或內(nèi)部文件信息泄露

1)專機(jī)不專用，沒有為專門任務(wù)配置專用終端；

2)網(wǎng)絡(luò)劃分不合理，重要管理終端所在分區(qū)不在專網(wǎng)內(nèi)?？缇W(wǎng)段管理存在巨大安全風(fēng)險(xiǎn)；

3)終端管理技術(shù)手段不完備，使終端操作系統(tǒng)安全風(fēng)險(xiǎn)較高； 4)安全意識淡薄，對內(nèi)部信息保管不善。

2.4管理問題

在信息安全領(lǐng)域有句話叫“三分技術(shù)，七分管理”，如果沒有科學(xué)完備的一整套管理體系支撐，技術(shù)也發(fā)揮不了它應(yīng)有的作用。管理問題主要有以下幾種情況：

1)管理制度不落實(shí)造成工作流程不規(guī)范； 2)管理措施不配套造成管理效能未達(dá)預(yù)期效果； 3)應(yīng)急預(yù)案可操作性差造成安全事件處置不當(dāng)。

綜上所述，管理體系的建立健全，是一個(gè)系統(tǒng)而龐大的工程。這需要多方配合和努力。一個(gè)好的管理體系可以支撐甚至彌補(bǔ)技術(shù)措施的欠缺。

3.從信息安全等級保護(hù)方面加強(qiáng)信息安全 3.1 信息安全技術(shù)層面 3.1.1物理方面

物理安全保護(hù)的目的主要是使存放計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備的機(jī)房以及信息系統(tǒng)的設(shè)備和存數(shù)數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然災(zāi)難，以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。物理安全是防護(hù)信息系統(tǒng)安全的最底層，缺乏物理安全，其他任何安全措施都是毫無意義的。

根據(jù)自然災(zāi)害可能因?qū)?、水、電等控制不?dāng)或因人為因素而導(dǎo)致的后果，物理安全要求包括了針對人員威脅的控制要求（如物理訪問控制、防盜竊和防破壞、電磁防護(hù)等），以及針對自然環(huán)境威脅的控制要求（如防火、防水、防雷擊等）。

3.1.2 網(wǎng)絡(luò)方面

網(wǎng)絡(luò)安全為信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運(yùn)行提供支持。一方面，確保網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)；另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。由于網(wǎng)絡(luò)環(huán)境是抵御外部攻擊的第一道防線，因此必須進(jìn)行各方面的防護(hù)。對網(wǎng)絡(luò)安全的保護(hù)，主要關(guān)注兩個(gè)方面：共享和安全。開放的網(wǎng)絡(luò)環(huán)境便利了各種資源之間的流動、共享，但同時(shí)也打開了“罪惡”的大門。因此，必須在二者之間尋找恰當(dāng)?shù)钠胶恻c(diǎn)，是的在盡可能安全的情況下實(shí)現(xiàn)最大程度的資源共享，這是實(shí)現(xiàn)網(wǎng)絡(luò)安全的理想目標(biāo)。

由于網(wǎng)絡(luò)具有開放等特點(diǎn)，相比其他方面的安全要求，網(wǎng)絡(luò)安全更需要注重整體性，及要求從全局安全角度關(guān)注網(wǎng)絡(luò)整體結(jié)構(gòu)和網(wǎng)絡(luò)邊界（網(wǎng)絡(luò)邊界包括外部邊界和內(nèi)部邊界），也需要從局部角度關(guān)注網(wǎng)絡(luò)設(shè)備自身安全等方面。

網(wǎng)絡(luò)安全要求中對廣域網(wǎng)絡(luò)、城域網(wǎng)絡(luò)等通信網(wǎng)絡(luò)的要求由構(gòu)成通信網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)別、安全設(shè)備等的網(wǎng)絡(luò)管理機(jī)制提供的功能來滿足。對局域網(wǎng)安全的要求主要通過采用防火墻、入侵檢測系統(tǒng)、惡意代碼防范系統(tǒng)、邊界完整性檢查系統(tǒng)及安全管理中心等安全產(chǎn)品提供的安全功能來滿足。而結(jié)構(gòu)安全是不能夠由任何設(shè)備提供的，它是對網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)的整體要求。

3.1.3主機(jī)安全

主機(jī)是由服務(wù)器、終端/工作站等引硬件設(shè)備與設(shè)備內(nèi)運(yùn)行的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)及其他系統(tǒng)級軟件共同構(gòu)成。主機(jī)安全要求通過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)及其他安全軟件（包括防病毒、防入侵、木馬檢測等軟件）實(shí)現(xiàn)了安全功能來滿足。信息系統(tǒng)內(nèi)的服務(wù)器按其功能劃分，可分為應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、安全服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器、通信服務(wù)器、文件服務(wù)器等多種服務(wù)器。終端可分為管理終端、業(yè)務(wù)中斷、辦公終端等。

主機(jī)是網(wǎng)絡(luò)上的單個(gè)節(jié)點(diǎn)，因此主機(jī)安全是分散在各個(gè)主機(jī)系統(tǒng)上的，不像網(wǎng)絡(luò)安全需要考慮安全功能的整體效果。

3.1.4 應(yīng)用安全

應(yīng)用安全是繼網(wǎng)絡(luò)、主機(jī)系統(tǒng)的安全防護(hù)之后，信息系統(tǒng)整體防御的最后一道防線。但應(yīng)用系統(tǒng)安全與網(wǎng)絡(luò)、主機(jī)安全不同，應(yīng)用系統(tǒng)一般需要根據(jù)業(yè)務(wù)流程、業(yè)務(wù)需求由用戶定制開發(fā)。因此，應(yīng)用系統(tǒng)安全的實(shí)現(xiàn)機(jī)制更具靈活性和復(fù)雜性。

應(yīng)用系統(tǒng)是直接面向最終的用戶，為用戶提供所需的數(shù)據(jù)和處理相關(guān)信息、因此應(yīng)用系統(tǒng)可以提供更多與信息保護(hù)相關(guān)的安全功能。

應(yīng)用安全要求通過應(yīng)用系統(tǒng)、應(yīng)用平臺系統(tǒng)等實(shí)現(xiàn)的安全功能來滿足。如果應(yīng)用系統(tǒng)是多層結(jié)構(gòu)的，一般不同層的應(yīng)用都需要實(shí)現(xiàn)同樣強(qiáng)度的身份鑒別，訪問控制、安全審計(jì)、剩余信息保護(hù)及資源控制等，但通信保密性、完整性一般在同一個(gè)層面實(shí)現(xiàn)。

3.1.5數(shù)據(jù)安全及備份恢復(fù)

信息系統(tǒng)處理的各種數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等）在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞（泄露、修改、毀壞），都會在不同程度上造成影響，從而危害到系統(tǒng)的正常運(yùn)行。由于信息系統(tǒng)的各個(gè)層面（網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用等）都對各類數(shù)據(jù)進(jìn)行傳輸、存儲和處理，因此對數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。

3.2信息安全管理方方面 3.2.1安全管理制度

在信息安全中，最活躍的因素是人，對人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓(xùn)、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實(shí)現(xiàn)都是以完備的安全管理政策和制度為前提。這里所說的安全管理制度包括信息安全工作的總體方針、政策和規(guī)范，各種安全管理活動的管理制度，以及管理人員或操作人員日常的操作規(guī)程。

安全管理制度的制定與正確實(shí)施西信息系統(tǒng)安全管理起著非常重要的作用，不僅促使全體員工參與到保證信息安全的行動中來，而且能有效降低由于管理實(shí)務(wù)所造成的對系統(tǒng)安全的損害。通過制定安全管理制度，能夠使責(zé)權(quán)明確，保證工作的規(guī)范性和可操作性。

3.2.2安全管理機(jī)構(gòu)

安全管理的重要事實(shí)條件就是要建立一個(gè)統(tǒng)一指揮、協(xié)調(diào)有序、組織有力的安全管理機(jī)構(gòu)，這是信息安全管理得以實(shí)施、推廣的基礎(chǔ)。通過構(gòu)建從單位信息安全決策層、到管理層及執(zhí)行層或具體業(yè)務(wù)運(yùn)營層的組織體系，明確各個(gè)崗位的安全職責(zé)，為安全管理提供組織上的保證。

3.2.3人員安全管理

人員是信息安全中最關(guān)鍵的因素，同時(shí)也是信息安全中最薄弱的環(huán)節(jié)。很多重要的信息系統(tǒng)安全問題都涉及用戶、涉及人員、實(shí)施人員，以及管理人員。如果這些人員有關(guān)的安全問題沒有得到很好的解決，任何一個(gè)信息系統(tǒng)都不可能達(dá)到真正的安全。只有對人員進(jìn)行了正確、完善的管理，才有可能降低人為錯(cuò)誤、盜竊、詐騙和誤用設(shè)備而引發(fā)的風(fēng)險(xiǎn)，從而減小信息系統(tǒng)因人員錯(cuò)誤而造成損失的概率。

3.2.4系統(tǒng)建設(shè)管理

信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個(gè)階段（即初始、采購、實(shí)施）中的各項(xiàng)安全管理活動。系統(tǒng)建設(shè)有其自身的規(guī)律性，需要經(jīng)歷信息系統(tǒng)工程的必要過程，《基本要求》對系統(tǒng)建設(shè)管理的要求就是以這些工程過程為主線，增加了按等級保護(hù)管理引入的系統(tǒng)定級、定級備案和等級測評等屬于國家管理要求的環(huán)節(jié)，其他環(huán)節(jié)服從系統(tǒng)工程的一般規(guī)律。

信息系統(tǒng)在建設(shè)過程中，要經(jīng)過系統(tǒng)定級、方案設(shè)計(jì)、產(chǎn)品采購、軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付等若干階段，每個(gè)階段都涉及很多活動，只有對這些活動實(shí)施科學(xué)和規(guī)范的管理，才能保證系統(tǒng)建設(shè)的進(jìn)度和質(zhì)量。3.2.5系統(tǒng)運(yùn)維管理

當(dāng)信息系統(tǒng)建設(shè)完成且投入運(yùn)行之后，接下來的工作就是如何維護(hù)和管理信息系統(tǒng)了。系統(tǒng)運(yùn)行設(shè)計(jì)很多管理方面，主要包括系統(tǒng)的環(huán)境和相關(guān)資源的管理、系統(tǒng)運(yùn)行過程中個(gè)組件的維護(hù)和監(jiān)控管理、網(wǎng)絡(luò)和系統(tǒng)的安全管理、密碼管理、系統(tǒng)變更的管理、惡意代碼防護(hù)管理、安全世家處置以及應(yīng)急響應(yīng)管理等。同時(shí)，還要監(jiān)控系統(tǒng)由于一些原因發(fā)生的重大變化，安全措施也要進(jìn)行相應(yīng)的修改，以維護(hù)系統(tǒng)始終處于相應(yīng)安全保護(hù)等級的安全狀態(tài)中。對系統(tǒng)實(shí)施有效、完善的維護(hù)管理是保證系統(tǒng)運(yùn)行階段安全的基礎(chǔ)。

第三篇：醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全制度

醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全制度

一、信息系統(tǒng)安全管理措施

（一）硬件方面

為保證系統(tǒng)數(shù)據(jù)安全，醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)核心設(shè)備均采用雙機(jī)、并行架構(gòu)，在保證系統(tǒng)穩(wěn)定性的同時(shí)提高主機(jī)利用效率。網(wǎng)絡(luò)設(shè)備采用雙核心，并行方式；網(wǎng)絡(luò)鏈路雙冗余，安裝有IDS入侵檢測系統(tǒng)、防火墻檢測和過濾網(wǎng)絡(luò)信息。同時(shí)建有災(zāi)備機(jī)房，在主機(jī)房發(fā)生火災(zāi)及其他災(zāi)害時(shí)快速接管醫(yī)院主要業(yè)務(wù)系統(tǒng)。

（二）軟件方面

數(shù)據(jù)方面，定期對HIS、PACS等系統(tǒng)數(shù)據(jù)進(jìn)行全備份?？蛻舳伺鋫渥烂婀芾碥浖芾硗饨哟鎯υO(shè)備和監(jiān)控?？蛻舳伺鋫渚W(wǎng)絡(luò)防病毒軟件，定期升級病毒庫、查殺全網(wǎng)病毒。

（三）管理方面

計(jì)算機(jī)中心設(shè)24小時(shí)專人值班，監(jiān)控網(wǎng)絡(luò)運(yùn)行，每天檢查主機(jī)硬件及附屬設(shè)備運(yùn)行情況，及時(shí)排除各種安全隱患。一旦發(fā)現(xiàn)問題，及時(shí)處理并迅速向科室領(lǐng)導(dǎo)報(bào)告。故障排除后，完成相關(guān)記錄。信息系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備密碼由專人進(jìn)行管理，不得外泄。新人院職工必須經(jīng)過系統(tǒng)培訓(xùn)、考試合格后方可上機(jī)操作。

二、信息系統(tǒng)安全管理制度

（一）敏感數(shù)據(jù)（指涉及醫(yī)院藥品、財(cái)務(wù)運(yùn)營、消耗材料的數(shù)據(jù)）統(tǒng)計(jì)

1．申請人或部門（包括院外單位）提出書面申請，科室負(fù)責(zé)人簽字并蓋章確認(rèn)，提交醫(yī)務(wù)部。2．醫(yī)務(wù)部審核無誤，簽字并蓋章，提交紀(jì)檢部門。3．紀(jì)檢部門審核無誤，簽字并蓋章，提交計(jì)算機(jī)中心。4．計(jì)算機(jī)中心審核無誤，簽字確認(rèn)，安排相關(guān)人員進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，統(tǒng)計(jì)人員要做到對統(tǒng)計(jì)結(jié)果不擴(kuò)散、不泄密、不修改。

5．計(jì)算機(jī)中心將申請歸檔保存。

（二）普通數(shù)據(jù)統(tǒng)計(jì)

1．申請人或科室（包括院外單位）提出書面申請，科室負(fù)責(zé)人蓋章并簽字后，提交醫(yī)務(wù)部。

2．醫(yī)務(wù)部審核無誤，簽字蓋章，提交計(jì)算機(jī)中心。

3．計(jì)算機(jī)中心負(fù)責(zé)人審核無誤，簽字確認(rèn)，安排相關(guān)人員進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，統(tǒng)計(jì)人員要做到對統(tǒng)計(jì)結(jié)果不擴(kuò)散、不泄密、不修改。

4．計(jì)算機(jī)中心將申請歸檔保存。

（三）系統(tǒng)用戶賬戶管理

1．用戶注冊流程。開通信息系統(tǒng)賬戶，由個(gè)人或部門提出書面申請（需提供人員信息：姓名、工資號、性別、出生年月、職稱、人員類型等），經(jīng)科室負(fù)責(zé)人簽字，醫(yī)務(wù)部、護(hù)理部、財(cái)務(wù)科、人力資源部等主管部門審核蓋章后，交由計(jì)算機(jī)中心完成信息注冊。

2．用戶轉(zhuǎn)科流程。轉(zhuǎn)科流程參照注冊流程，送交的信息中需注明原科室和更換科室的名稱?？剖覂?nèi)部調(diào)整，經(jīng)科室負(fù)責(zé)人簽字并蓋章后，報(bào)送醫(yī)務(wù)部。

3．退休流程。干部科、人勞辦以書面形式通知醫(yī)務(wù)部，注銷或變更退休人員在信息系統(tǒng)中的權(quán)限。

（四）信息系統(tǒng)權(quán)限管理 1．用戶賬號管理。登錄系統(tǒng)須有用戶賬號，相當(dāng)于身份標(biāo)識。進(jìn)修人員由醫(yī)務(wù)部統(tǒng)一編號。

2．用戶密碼管理。第一次登錄信息系統(tǒng)時(shí)，由管理員分配用戶初始密碼。登錄信息系統(tǒng)后，由使用人員自行設(shè)定，系統(tǒng)每三個(gè)月強(qiáng)制用戶修改一次密碼。用戶密碼遺失，須持工作證、胸牌或科室證明文件由本人到計(jì)算機(jī)中心重置密碼。

3．用戶權(quán)限管理。按照操作功能與訪問數(shù)據(jù)的限制，授予不同用戶、不同角色一定級別的應(yīng)用功能，保證信息系統(tǒng)安全運(yùn)行。

4.部門所屬權(quán)限。財(cái)務(wù)科擁有財(cái)務(wù)部分系統(tǒng)權(quán)限；護(hù)理部擁有病區(qū)護(hù)士管理系統(tǒng)權(quán)限；醫(yī)務(wù)部擁有醫(yī)生工作站管理系統(tǒng)權(quán)限；藥學(xué)部擁有藥師工作站管理系統(tǒng)權(quán)限；系統(tǒng)管理員擁有系統(tǒng)用戶新增、變更、注銷等系統(tǒng)維護(hù)權(quán)限。

5．責(zé)任承擔(dān)。賬號所有者應(yīng)對該賬號在系統(tǒng)中所做的操作及結(jié)果負(fù)全部責(zé)任。

（五）終端安全管理

1．安裝到位的網(wǎng)絡(luò)工作站作為醫(yī)院統(tǒng)一專用內(nèi)網(wǎng)終端設(shè)備，使用者不得擅自安裝軟件或外接硬件，如需安裝必須由計(jì)算機(jī)中心監(jiān)督安裝或授權(quán)使用科室安裝使用硬件。

2．新入網(wǎng)的工作站必須由計(jì)算機(jī)中心統(tǒng)一安裝醫(yī)院正版HIS系統(tǒng)和網(wǎng)絡(luò)安全管理軟件、殺毒軟件后按人醫(yī)院內(nèi)網(wǎng)。

3．網(wǎng)絡(luò)工作站外接硬件，須由計(jì)算機(jī)中心統(tǒng)一管理驅(qū)動程序。4．連接醫(yī)用儀器設(shè)備的網(wǎng)絡(luò)工作站必須由計(jì)算機(jī)中心監(jiān)督安裝，統(tǒng)一管理。5．嚴(yán)禁在醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)終端使用U盤和外接存儲設(shè)備，或使用其他用途私人外接設(shè)備。

6．嚴(yán)禁人為破壞網(wǎng)絡(luò)終端設(shè)備。

7．網(wǎng)絡(luò)終端設(shè)備報(bào)修，應(yīng)及時(shí)聯(lián)系儀器維修室。

8．使用網(wǎng)絡(luò)終端前，由計(jì)算機(jī)中心統(tǒng)一組織培訓(xùn)，合格后方能上崗。

9．操作人員要熟練掌握用戶入網(wǎng)口令，并注意嚴(yán)格保密。10．每次使用時(shí)需記錄用機(jī)時(shí)間、工作內(nèi)容和機(jī)器運(yùn)轉(zhuǎn)情況，機(jī)器運(yùn)行期間操作人員不得擅自離開。

11．使用時(shí)如發(fā)現(xiàn)運(yùn)行故障，應(yīng)及時(shí)向計(jì)算機(jī)中心值班人員報(bào)告并做好記錄。

12．工作站配置的電腦、打印機(jī)等設(shè)備須指定專人使用、保管和維護(hù)，轉(zhuǎn)交他人保管時(shí)需嚴(yán)格交接，并報(bào)請計(jì)算機(jī)中心批準(zhǔn)備案。

13．操作人員要保證工作站電腦正常運(yùn)行、數(shù)據(jù)及時(shí)錄入和提取。14．操作人員須嚴(yán)格遵守操作規(guī)程，工作完畢時(shí)，必須切斷電源，蓋好機(jī)罩，鎖盤。

三、信息安全問題處置措施

一旦網(wǎng)絡(luò)出現(xiàn)安全問題，計(jì)算機(jī)中心值班人員或發(fā)現(xiàn)人應(yīng)立即向計(jì)算機(jī)中心信息安全負(fù)責(zé)人報(bào)告，檢查信息系統(tǒng)的日志等資料，確定問題來源，并迅速采取適當(dāng)措施，保證信息系統(tǒng)盡可能不影響終端和數(shù)措安全。若事態(tài)嚴(yán)重，應(yīng)立即向主管領(lǐng)導(dǎo)報(bào)告，組織院內(nèi)相關(guān)部門處理。

四、設(shè)備安全處理措施

（一）交換機(jī)等關(guān)鍵設(shè)備損壞后，應(yīng)立即查明原因．并向有關(guān)部門 或單位報(bào)修。

（二）如果能夠白行恢復(fù)，應(yīng)立即用備件替換受損部件。

（三）如果不能自行恢復(fù)，應(yīng)立即與設(shè)備提供商聯(lián)系，請求派遣維護(hù)人員前來維修。

（四）如果設(shè)備不能立即修復(fù)，應(yīng)向科室負(fù)責(zé)人報(bào)告，如有需要，向院領(lǐng)導(dǎo)報(bào)告。

五、設(shè)備密碼安全緊急處置措施

交換機(jī)等設(shè)備密碼保存在計(jì)算機(jī)中心，緊急情況下值班人員經(jīng)計(jì)算機(jī)中心主任授權(quán)方可使用，不得隨意更改密碼。

第四篇：信息系統(tǒng)安全檢查工作報(bào)告(醫(yī)院)

醫(yī)院信息系統(tǒng)安全檢查報(bào)告

為認(rèn)真貫徹落實(shí)縣政府及衛(wèi)生局布置工作要求，做好我院“兩節(jié)”及“十八大”期間安全生產(chǎn)工作，我科組織人員對全院范圍內(nèi)的信息系統(tǒng)工作站進(jìn)行了一次全面的自查工作?，F(xiàn)將自查情況報(bào)告如下：

一．信息安全狀況總體評價(jià)：

1、領(lǐng)導(dǎo)重視，機(jī)構(gòu)健全。我院信息安全管理工作由分管信息科領(lǐng)導(dǎo)，信息科負(fù)責(zé)具體執(zhí)行。

2、制定方案，加強(qiáng)檢查。我院使用信息系統(tǒng)作為辦公工具已有十余年的歷史，在信息安全管理方面已擁有一整套完善規(guī)范合理的信息安全制度。為了保證我院應(yīng)用系統(tǒng)信息的安全、完整和保密，保證各應(yīng)用系統(tǒng)穩(wěn)定、高效運(yùn)行，我科制定了醫(yī)院信息系統(tǒng)安全管理制度、醫(yī)院內(nèi)網(wǎng)防病毒制度、數(shù)據(jù)備份及服務(wù)器應(yīng)急方案等一系列信息安全規(guī)范和制度。

二．信息安全自查情況：

1、我院信息系統(tǒng)采取內(nèi)外網(wǎng)物理隔離的方式，從根本上了防止醫(yī)院業(yè)務(wù)信息系統(tǒng)遭到外部的攻擊和竊取，充分保護(hù)涉及醫(yī)院和患者信息的安全。

2、嚴(yán)格把關(guān)接入內(nèi)網(wǎng)電腦接口。我院所有內(nèi)網(wǎng)電腦一律禁止使用U盤、光盤等外接存儲設(shè)備，所有需要進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)一律在信息科確定其安全性后方能存入。

3、對醫(yī)院信息系統(tǒng)各操作員權(quán)限進(jìn)行嚴(yán)格控制。按操作者的職務(wù)和專業(yè)分配使用醫(yī)院業(yè)務(wù)系統(tǒng)的權(quán)限。醫(yī)院的各工作人員只能獲取與其工作相關(guān)和與其職稱職務(wù)相關(guān)的信息，充分保護(hù)了醫(yī)院機(jī)密和患者隱私。

4、全院電腦安裝國產(chǎn)專業(yè)殺毒軟件，并及時(shí)更新病毒庫，做到病毒防護(hù)軟件等的補(bǔ)丁及時(shí)升級。

5、建立了完善的信息設(shè)備安全監(jiān)控手段和值班制度。我科定期對軟件進(jìn)行測試，對檢測和用戶反應(yīng)的問題進(jìn)行研究，制定相應(yīng)的措施，并做好版本的備案。對服務(wù)器，殺毒軟件，安全策略，系統(tǒng)安全日志，進(jìn)行定期安全檢測保證其在安全的前提下，確保數(shù)據(jù)傳輸和信息的安全。

6、我科已經(jīng)做好各項(xiàng)準(zhǔn)備工作，對可能發(fā)生的各類信息安全事件做到心中有數(shù)，進(jìn)一步完善了信息安全應(yīng)急預(yù)案，明確應(yīng)急處置流程，明確了應(yīng)急技術(shù)支撐隊(duì)伍，把信息安全工作落實(shí)到位。積極組織開展了應(yīng)急演練，檢驗(yàn)了應(yīng)急預(yù)案的可操作性，提高了應(yīng)急處置能力。

三．檢查發(fā)現(xiàn)的主要問題及整改情況

（一）存在的問題及其原因

1、醫(yī)院工作人員較多，信息安全意識總體水平較低，且層次不齊。廣大醫(yī)務(wù)工作者工作繁忙，我科多次對各科室進(jìn)行信息安全相關(guān)培訓(xùn)，但收效甚微。

（二）下一步工作打算

1、加強(qiáng)信息網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn)，使安全技術(shù)人員及時(shí)更新信息網(wǎng)絡(luò)安全管理知識，提高相關(guān)管理及法律法規(guī)等的認(rèn)識，不斷地加強(qiáng)信息網(wǎng)絡(luò)安全管理和技術(shù)防范水平。繼續(xù)加強(qiáng)對醫(yī)護(hù)人員、行政后勤人員的安全意識教育，提高做好信息安全工作的主動性和自覺性。

2、加大網(wǎng)絡(luò)安全設(shè)備的投入，購買防病毒及防攻擊型網(wǎng)絡(luò)交換機(jī)，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全。

3、切實(shí)增強(qiáng)信息安全制度的落實(shí)工作，定期不定期的對安全制度執(zhí)行情況進(jìn)行檢查，對于導(dǎo)致不良后果的責(zé)任人，要嚴(yán)肅追究責(zé)任，從而提高人員安全防護(hù)意識。

4、是要加大對線路、系統(tǒng)等的及時(shí)維護(hù)和保養(yǎng)，加大設(shè)備更新力度。各科室對本科室電腦設(shè)備要愛護(hù)和保養(yǎng)，定期擦拭清除電腦顯示器、鍵盤及主機(jī)上面的灰塵，保持電腦設(shè)備的干凈整潔。

第五篇：醫(yī)院信息系統(tǒng)安全檢查工作方案

醫(yī)院信息系統(tǒng)安全檢查工作方案

為規(guī)范和加強(qiáng)我院信息系統(tǒng)安全工作，保證醫(yī)院HIS系統(tǒng)的信息內(nèi)容安全，根據(jù)《關(guān)于開展XXXX省醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)與信息安全檢查行動的通知》要求，結(jié)合我院實(shí)際情況，制訂本檢查方案。

一、檢查目的

通過開展全面的安全檢查，進(jìn)行信息系統(tǒng)安全風(fēng)險(xiǎn)評估、安全測評等工作，及時(shí)掌握信息系統(tǒng)安全狀況，認(rèn)真查找隱患，堵塞安全漏洞，落實(shí)和完善安全措施，建立健全信息安全保障機(jī)制，減少安全風(fēng)險(xiǎn)，提高應(yīng)急處置能力，確保信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行。

二、檢查范圍

我院醫(yī)院信息管理系統(tǒng)（HIS）、醫(yī)院網(wǎng)絡(luò)系統(tǒng)。

三、檢查內(nèi)容

檢查與網(wǎng)絡(luò)和信息系統(tǒng)相關(guān)的硬件、軟件、服務(wù)、信息，對信息系統(tǒng)存在的問題進(jìn)行查找、分析；對已有安全管理體系、安全措施進(jìn)行核實(shí)，主要包括以下內(nèi)容：

（一）安全管理制度建立與落實(shí)。是否按照要求建立健全了信息安全責(zé)任制，做到了機(jī)構(gòu)到位、人員到位、責(zé)任到位、措施到位。運(yùn)維管理、保密管理、密碼管理、等級保護(hù)等制度建立和落實(shí)情況。

了風(fēng)險(xiǎn)評估和安全評測，開展方式是自行開展還是委托開展，委托開展是否簽訂了安全保密協(xié)議。

（九）信息安全經(jīng)費(fèi)保障情況。信息安全經(jīng)費(fèi)數(shù)額、信息安全經(jīng)費(fèi)在信息化建設(shè)經(jīng)費(fèi)中所占比重及信息安全經(jīng)費(fèi)是否按預(yù)算計(jì)劃執(zhí)行。

（十）物理環(huán)境。物理環(huán)境的建設(shè)是否符合國家的相關(guān)標(biāo)準(zhǔn)和規(guī)范，是否按照國家的相關(guān)規(guī)定建立機(jī)房安全管理制度，機(jī)房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施是否有效。

（十一）安全隱患排查及整改情況。對以往開展的信息安全檢查、風(fēng)險(xiǎn)評估和安全測評，發(fā)現(xiàn)安全隱患和問題的整改情況。

四、檢查步驟及時(shí)間安排

（一）時(shí)間安排。從2012年9月6日開始至2012年9月13日止，開展醫(yī)院信息系統(tǒng)安全檢查工作。

（二）檢查準(zhǔn)備及自查。由微機(jī)中心負(fù)責(zé)開展安全檢查工作，并參照本方案對檢查工作進(jìn)行安排部署并開始自查。

（三）分析總結(jié)。根據(jù)自查情況，系統(tǒng)分析信息系統(tǒng)的安全狀況和安全隱患，查找問題產(chǎn)生的原因，上報(bào)自查報(bào)告和附表。

（四）問題整改。對檢查過程中發(fā)現(xiàn)的安全問題，短時(shí)間內(nèi)能完成的要及時(shí)整改，不能在短時(shí)間內(nèi)整改的要制訂相應(yīng)整改計(jì)劃，盡快完成整改，并提交整改報(bào)告。