第一篇：醫院信息系統安全的重要性

醫院信息系統安全的重要性

來源：康巨瀛，張文麗 編輯：xiaoliang 時間：2010-3-1

【摘要】醫院信息系統安全防護措施的制定和實施是保證醫院信息系統的穩定性、可靠性、安全性、可用性的利器。醫院信息系統的安全性直接關系到醫院醫療工作的正常運行，一旦網絡癱瘓或數據丟失，將會給醫院和病人帶來巨大的災難和難以彌補的損失，因此，醫院計算機網絡系統的安全工作非常重要，我院制定了周密的網絡安全維護措施，以確保醫院計算機網絡系統持久、穩定、高效、安全地運行。

【關鍵詞】醫院信息系統;安全;重要性

醫院信息系統安全防護措施的制定和實施是保證醫院信息系統的穩定性、可靠性、安全性、可用性的利器。我院是省屬大型三級甲等醫院，信息化建設從1988年開始，目前已經是基本成型的數字化醫院，在醫院信息管理系統(HIS)、臨床信息系統(CIS)、醫學影像存儲與管理系統(PACS)、檢驗信息管理系統(LIS)……投入運行后，幾大系統縱橫交錯，構成了龐大的計算機網絡系統。我院網絡系統覆蓋全院的每個部門，涵蓋病人來院就診的各個環節，600多臺計算機同時運行，支持各方面的管理，成為醫院開展醫療服務的業務平臺，醫院信息系統的安全性直接關系到醫院醫療工作的正常運行，一旦網絡癱瘓或數據丟失，將會給醫院和病人帶來巨大的災難和難以彌補的損失。因此，醫院計算機網絡系統的安全工作非常重要，我院制定了周密的網絡安全維護措施，以確保醫院計算機網絡系統持久、穩定、高效、安全地運行。

1中心機房及網絡設備的安全維護

1.1環境要求中心機房作為醫院信息處理中心，其工作環境要求嚴格，我們將溫度置于22℃左右，相對濕度為45%～65%，且機房內無人員流動、無塵、半封閉。機房安裝了可靠的避雷設施、防雷設備。

1.2電源管理機房采用兩路供電系統，保證了中心機房供電的穩定和連續，配有不間斷電源可12小時延時，并安裝有抗磁場干擾等裝置。

1.3網絡設備信息系統中的數據是靠網絡來傳輸的，網絡的正常運行是醫院信息系統的基本條件，所以網絡設備的維護至關重要。我科每天查看路由器、交換機、集線器、光纖收發器等設備的指示燈狀態是否正常，各種插頭是否松動，注意除垢、防水等。

2服務器的安全維護

服務器是醫院信息系統的核心，它在醫院信息系統安全運行中起著主導作用，如果服務器發生故障，要么數據丟失，要么系統癱瘓，為確保服務器的穩定、可靠、高效地運行，我院每個系統都采用雙服務器，無論主服務器何時出問題，從服務器都可自動替代主服務器的所有服務功能，間隔時間不超過5分鐘。3工作站的安全維護

由于工作站分布在醫院的各個角落，工作站本地不保存數據，工作站一律不安裝軟驅、光驅，屏蔽USB口，有效地杜絕了病毒的侵入。工作站都安裝遠程監控系統，監控用戶行為，能夠做到在工作室可以看到客戶機器屏幕顯示，實現遠程安裝、管理、殺毒，達到與用戶本地機器操作相同的效果。

4防病毒措施

安裝瑞星網絡版殺毒軟件，使用殺毒軟件在網絡安全中起著重要的作用。它對網絡系統進行實時監控，防止計算機病毒入侵破壞網絡，保證醫院信息系統在無病毒狀態下安全運行。每周六全院統一升級。

5數據庫的安全

備份數據安全是醫院信息系統安全的核心部分。硬盤損壞、偶然或惡意的數據破壞、病毒入侵、自然災害等都會引起數據丟失，因此需要實時對數據進行備份。我院采用異地容災的方式進行數據的實時鏡像，這樣不但保證了系統的正常運轉，同時也確保了數據的完整性，將數據的損失減少到最小量。

6網絡訪問控制的安全措施

在醫院的計算機網絡中，訪問控制主要是主體訪問客體的權限控制。根據MicrosotSQLServer特性，運用系統軟件和應用軟件的相應功能，合理設置系統的使用權限。醫院網絡用戶的特點是分散處理、高度共享，用戶涉及醫生、護士、醫療技術、管理人員等，根據這個特點，通過設定權限控制用戶對特定數據的使用，使每個用戶在整個系統中只具有唯一的帳號，既方便靈活地操作自己的程序和調用數據，又禁止用戶對無關目錄進行讀寫。這樣保證了數據的共享和數據的安全，防止了非法用戶侵入網絡，確保網絡運行安全。

7合理的網絡管理制度

7.1建立服務器管理制度服務器是整個信息系統的核心，必須對服務器進行有效的管理，每天記錄服務器的各種操作，包括機房溫度、濕度、設備的檢查記錄、服務器的啟停記錄、對數據庫的日常維護記錄、服務器運行情況和對用戶的監控記錄等。

7.2專人維護進入數據庫的密碼由專人掌握，并且定期更換，所有子系統的程序由專人修改、更新，以保證程序的統一性和完整性。

7.3建立嚴格的操作規程系統中的所有信息來源于工作站的操作人員，為使采集的數據真實有效，制定了工作站入網操作規程，以提高信息的準確性。總之，醫院網絡安全涉及的范圍廣，在實際工作中，網絡管理人員只有不斷更新知識、積累經驗，才能未雨綢繆，扼殺網絡癱瘓，把危害降到最低。因此醫院的網絡管理人員更要加強自身素質的培養，加強網絡管理，確保醫院網絡安全運行。

第二篇：信息系統安全防護的重要性

信息系統安全建設重要性

1.信息安全建設的必然性

隨著信息技術日新月異的發展，近些年來，各企業在信息化應用和要求方面也在逐步提高，信息網絡覆蓋面也越來越大，網絡的利用率穩步提高。利用計算機網絡技術與各重要業務系統相結合，可以實現無紙辦公。有效地提高了工作效率，如外部門戶網站系統、內部網站系統、辦公自動化系統、營銷管理系統、配網管理系統、財務管理系統、生產管理系統等。然而信息化技術給我們帶來便利的同事，各種網絡與信息系統安全問題也主見暴露出來。信息安全是企業的保障，是企業信息系統運作的重要部分，是信息流和資金流的流動過程，其優勢體現在信息資源的充分共享和運作方式的高效率上，其安全的重要性不言而喻，一旦出現安全問題，所有的工作等于零，2.重要信息系統的主要安全隱患及安全防范的突出問題

依據信息安全事件發生后對重要系統的業務數據安全性和系統服務連續性兩個方面的不同后果，重要信息系統頻發的信息安全事件按其事件產生的結果可分為如下四類：數據篡改、系統入侵與網絡攻擊、信息泄露、管理問題。

2.1數據篡改

導致數據篡改的安全事件主要有一下集中情況：

2.1.1管理措施不到位、防范技術措施落后等造成針對靜態網頁的數據篡改

據安全測試人員統計，許多網站的網頁是靜態頁面，其網站的后臺管理及頁面發布界面對互聯網開放，測試人員使用簡單的口令暴力破解程序就破解了后臺管理的管理員口令，以管理員身份登錄到頁面發布系統，在這里可以進行頁面上傳、刪除等操作。如果該網站的后臺管理系統被黑客入侵，整個網站的頁面都可以被隨意修改，后果十分嚴重。一般導致靜態網頁被篡改的幾大問題為： 1)后臺管理頁面對互聯網公開可見，沒有啟用加密措施對其實施隱藏保護，使其成為信息被入侵的重要入口；

2)后臺管理頁面沒有安全驗證機制，使得利用工具對登錄頁面進行管理員賬戶口令暴力破解成為可能；

3)后臺管理頁面登陸口令強度偏弱，使暴力軟件在有限的時間內就猜解出了管理員賬戶口令；

4)沒有使用網頁防篡改產品，使得網頁被篡改后不能及時發現問題并還原網頁。

2.1.2 程序漏洞、配置文件不合理等造成針對動態網頁、網站數據庫的篡改

經過安全測試人員的統計，大部分網站存在SQL 注入。SQL注入并不是唯一的網頁程序安全漏洞、配置文件不合理問題而導致的。由此，一般導致重要信息系統動態網頁、網站數據庫篡改的幾大問題，分別是：

1)存在SQL注入點，使攻擊者可以利用該漏洞得知網站數據庫的基本信息； 2)使用第三方開源軟件，未進行嚴格的代碼審查，致使軟件中存在的漏洞信息可以被攻擊者輕易獲得；

3)網站數據庫配置文件的配置不合理，是攻擊者可以遍歷到整個網站文件目錄，進而找到后臺管理頁面；

4)后臺管理頁面使用默認登錄名和口令，使攻擊者可以輕易上傳后門程序，并最終利用后門程序控制整個網站、篡改網站數據。

2.1.3安全意識淡薄、管理層措施不到位等造成內部人員篡改數據

內部人員篡改數據往往是由于安全意識淡薄、管理層措施不到位等問題造成的。總結出重要信息系統中，導致內部人員篡改數據的幾大問題：

1)數據庫訪問權限設置不合理，沒有劃分角色，沒有根據不同角色分配不同權限，導致用戶可越權訪問數據庫；

2)安全審計和監控不到位。內部人員實施犯罪的過程沒有被安全審計系統捕捉，到時候無法追查。在犯罪實施過程中也沒有很好的監控機制對犯罪行為進行監控，不能及時阻斷進一步的犯罪行為，因此造成了更嚴重的后果； 3)人員離職后沒有及時變更系統口令等相關設置，也沒有刪除與離職人員相關的賬戶等。

2.1.4 軟件代碼安全造成軟件產品漏洞或后門安全隱患 軟件產品漏洞或后門安全隱患往往是由于軟件代碼安全等問題造成的。一般在重要信息系統中導致軟件產品漏洞或后門安全隱患的幾大問題是： 1)軟件設計階段沒有考慮來自互聯網的安全威脅； 2)軟件開發階段缺少針對源代碼安全質量的監控； 3)軟件在交付使用前沒有進行源代碼安全分析。

2.2系統入侵與網絡攻擊

導致系統入侵與網絡攻擊的安全事件主要有以下幾種情況：

2.2.1技術手段落后造成針對系統的遠程節點的入侵

目前任然有重要系統服務器的管理員使用Telnet遠程登錄協議來維護系統，有的管理員甚至將服務器的Telnet遠程登錄協議端口映射到外網，以便自己在家中就能維護服務器和網絡設備。而針對系統的遠程節點入侵的幾大問題，分別是： 1)使用明文傳輸的遠程登錄軟件； 2)沒有設置安全的遠程登錄控制策略。

2.2.2保護措施不到位造成針對公共網站的域名劫持

由于系統或網站保護措施不到位，導致域名被劫持。特別是政府網站、大型門戶網站、搜索引擎成為了域名劫持的主要對象。針對公共網站的域名劫持往往是由于保護措施不到位等問題造成的?？偨Y出重要信息系統中，針對大型公共網站的域名劫持的幾大問題，它們是： 1)域名提供商的程序有漏洞；

2)域名注冊信息可見，特別是用于域名更改的確認郵件可見。這也是重大安全問題。一旦這個郵件賬戶被劫持，就可以冒充合法用戶修改網站域名。

2．2．3抗DOoS攻擊的安全措施不到位造成針對公共服務網站被DDoS攻擊

缺少專門針對DDoS攻擊的技術段等現象在所測評的信息系統中普遍存在。有些系統甚至沒有冗余帶寬和服務器。其中發現，許多重要信息系統是單鏈路；20％的重要信息系統服務器沒有冗余或集群；即便是在正常訪問突發的情況下也會造成系統可用性的下降，更不要說承受來自黑客組織的DDoS攻擊了?？偨Y出重要信息系統中，針對公共服務網站被DDoS攻擊的幾大問題，它們是： 1)缺少專門的針對抗DDoS攻擊的安全措施； 2)網絡帶寬及服務器冗余不足。

2.3信息泄漏

導致信息泄漏的安全事件主要有以下幾種情況：

2.3.1軟件漏洞和安全意識淡薄造成的內部郵件信息泄露

內部郵件信息泄露往往是由于軟件漏洞和安全意識淡薄等問題造成的?？偨Y出重要信息系統中，導致內部郵件信息泄露的幾大問題： 1)沒有及時刪除測試用戶賬戶，且測試賬戶的口令強度很弱； 2)使用存在已知安全漏洞的第三方郵件系統； 3)郵件系統沒有做安全加固；

4)郵件系統使用者安全意識淡薄，對內部文件信息不加密。

2.3.2終端安全問題造成互聯網終端用戶個人或內部文件信息泄露

1)專機不專用，沒有為專門任務配置專用終端；

2)網絡劃分不合理，重要管理終端所在分區不在專網內。跨網段管理存在巨大安全風險；

3)終端管理技術手段不完備，使終端操作系統安全風險較高； 4)安全意識淡薄，對內部信息保管不善。

2.4管理問題

在信息安全領域有句話叫“三分技術，七分管理”，如果沒有科學完備的一整套管理體系支撐，技術也發揮不了它應有的作用。管理問題主要有以下幾種情況：

1)管理制度不落實造成工作流程不規范； 2)管理措施不配套造成管理效能未達預期效果； 3)應急預案可操作性差造成安全事件處置不當。

綜上所述，管理體系的建立健全，是一個系統而龐大的工程。這需要多方配合和努力。一個好的管理體系可以支撐甚至彌補技術措施的欠缺。

3.從信息安全等級保護方面加強信息安全 3.1 信息安全技術層面 3.1.1物理方面

物理安全保護的目的主要是使存放計算機、網絡設備的機房以及信息系統的設備和存數數據的介質等免受物理環境、自然災難，以及人為操作失誤和惡意操作等各種威脅所產生的攻擊。物理安全是防護信息系統安全的最底層，缺乏物理安全，其他任何安全措施都是毫無意義的。

根據自然災害可能因對火、水、電等控制不當或因人為因素而導致的后果，物理安全要求包括了針對人員威脅的控制要求（如物理訪問控制、防盜竊和防破壞、電磁防護等），以及針對自然環境威脅的控制要求（如防火、防水、防雷擊等）。

3.1.2 網絡方面

網絡安全為信息系統在網絡環境的安全運行提供支持。一方面，確保網絡設備的安全運行，提供有效的網絡服務；另一方面，確保在網上傳輸數據的保密性、完整性和可用性等。由于網絡環境是抵御外部攻擊的第一道防線，因此必須進行各方面的防護。對網絡安全的保護，主要關注兩個方面：共享和安全。開放的網絡環境便利了各種資源之間的流動、共享，但同時也打開了“罪惡”的大門。因此，必須在二者之間尋找恰當的平衡點，是的在盡可能安全的情況下實現最大程度的資源共享，這是實現網絡安全的理想目標。

由于網絡具有開放等特點，相比其他方面的安全要求，網絡安全更需要注重整體性，及要求從全局安全角度關注網絡整體結構和網絡邊界（網絡邊界包括外部邊界和內部邊界），也需要從局部角度關注網絡設備自身安全等方面。

網絡安全要求中對廣域網絡、城域網絡等通信網絡的要求由構成通信網絡的網絡設別、安全設備等的網絡管理機制提供的功能來滿足。對局域網安全的要求主要通過采用防火墻、入侵檢測系統、惡意代碼防范系統、邊界完整性檢查系統及安全管理中心等安全產品提供的安全功能來滿足。而結構安全是不能夠由任何設備提供的，它是對網絡安全結構設計的整體要求。

3.1.3主機安全

主機是由服務器、終端/工作站等引硬件設備與設備內運行的操作系統、數據庫系統及其他系統級軟件共同構成。主機安全要求通過操作系統、數據庫管理系統及其他安全軟件（包括防病毒、防入侵、木馬檢測等軟件）實現了安全功能來滿足。信息系統內的服務器按其功能劃分，可分為應用服務器、數據庫服務器、安全服務器、網絡管理服務器、通信服務器、文件服務器等多種服務器。終端可分為管理終端、業務中斷、辦公終端等。

主機是網絡上的單個節點，因此主機安全是分散在各個主機系統上的，不像網絡安全需要考慮安全功能的整體效果。

3.1.4 應用安全

應用安全是繼網絡、主機系統的安全防護之后，信息系統整體防御的最后一道防線。但應用系統安全與網絡、主機安全不同，應用系統一般需要根據業務流程、業務需求由用戶定制開發。因此，應用系統安全的實現機制更具靈活性和復雜性。

應用系統是直接面向最終的用戶，為用戶提供所需的數據和處理相關信息、因此應用系統可以提供更多與信息保護相關的安全功能。

應用安全要求通過應用系統、應用平臺系統等實現的安全功能來滿足。如果應用系統是多層結構的，一般不同層的應用都需要實現同樣強度的身份鑒別，訪問控制、安全審計、剩余信息保護及資源控制等，但通信保密性、完整性一般在同一個層面實現。

3.1.5數據安全及備份恢復

信息系統處理的各種數據（用戶數據、系統數據、業務數據等）在維持系統正常運行上起著至關重要的作用。一旦數據遭到破壞（泄露、修改、毀壞），都會在不同程度上造成影響，從而危害到系統的正常運行。由于信息系統的各個層面（網絡、主機系統、應用等）都對各類數據進行傳輸、存儲和處理，因此對數據的保護需要物理環境、網絡、數據庫和操作系統、應用程序等提供支持。

3.2信息安全管理方方面 3.2.1安全管理制度

在信息安全中，最活躍的因素是人，對人的管理包括法律、法規與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施以及企業文化的熏陶，這些功能的實現都是以完備的安全管理政策和制度為前提。這里所說的安全管理制度包括信息安全工作的總體方針、政策和規范，各種安全管理活動的管理制度，以及管理人員或操作人員日常的操作規程。

安全管理制度的制定與正確實施西信息系統安全管理起著非常重要的作用，不僅促使全體員工參與到保證信息安全的行動中來，而且能有效降低由于管理實務所造成的對系統安全的損害。通過制定安全管理制度，能夠使責權明確，保證工作的規范性和可操作性。

3.2.2安全管理機構

安全管理的重要事實條件就是要建立一個統一指揮、協調有序、組織有力的安全管理機構，這是信息安全管理得以實施、推廣的基礎。通過構建從單位信息安全決策層、到管理層及執行層或具體業務運營層的組織體系，明確各個崗位的安全職責，為安全管理提供組織上的保證。

3.2.3人員安全管理

人員是信息安全中最關鍵的因素，同時也是信息安全中最薄弱的環節。很多重要的信息系統安全問題都涉及用戶、涉及人員、實施人員，以及管理人員。如果這些人員有關的安全問題沒有得到很好的解決，任何一個信息系統都不可能達到真正的安全。只有對人員進行了正確、完善的管理，才有可能降低人為錯誤、盜竊、詐騙和誤用設備而引發的風險，從而減小信息系統因人員錯誤而造成損失的概率。

3.2.4系統建設管理

信息系統的安全管理貫穿系統的整個生命周期，系統建設管理主要關注的是生命周期中的前三個階段（即初始、采購、實施）中的各項安全管理活動。系統建設有其自身的規律性，需要經歷信息系統工程的必要過程，《基本要求》對系統建設管理的要求就是以這些工程過程為主線，增加了按等級保護管理引入的系統定級、定級備案和等級測評等屬于國家管理要求的環節，其他環節服從系統工程的一般規律。

信息系統在建設過程中，要經過系統定級、方案設計、產品采購、軟件開發、工程實施、測試驗收、系統交付等若干階段，每個階段都涉及很多活動，只有對這些活動實施科學和規范的管理，才能保證系統建設的進度和質量。3.2.5系統運維管理

當信息系統建設完成且投入運行之后，接下來的工作就是如何維護和管理信息系統了。系統運行設計很多管理方面，主要包括系統的環境和相關資源的管理、系統運行過程中個組件的維護和監控管理、網絡和系統的安全管理、密碼管理、系統變更的管理、惡意代碼防護管理、安全世家處置以及應急響應管理等。同時，還要監控系統由于一些原因發生的重大變化，安全措施也要進行相應的修改，以維護系統始終處于相應安全保護等級的安全狀態中。對系統實施有效、完善的維護管理是保證系統運行階段安全的基礎。

第三篇：醫院網絡信息系統安全制度

醫院網絡信息系統安全制度

一、信息系統安全管理措施

（一）硬件方面

為保證系統數據安全，醫院網絡信息系統核心設備均采用雙機、并行架構，在保證系統穩定性的同時提高主機利用效率。網絡設備采用雙核心，并行方式；網絡鏈路雙冗余，安裝有IDS入侵檢測系統、防火墻檢測和過濾網絡信息。同時建有災備機房，在主機房發生火災及其他災害時快速接管醫院主要業務系統。

（二）軟件方面

數據方面，定期對HIS、PACS等系統數據進行全備份?？蛻舳伺鋫渥烂婀芾碥浖?，管理外接存儲設備和監控。客戶端配備網絡防病毒軟件，定期升級病毒庫、查殺全網病毒。

（三）管理方面

計算機中心設24小時專人值班，監控網絡運行，每天檢查主機硬件及附屬設備運行情況，及時排除各種安全隱患。一旦發現問題，及時處理并迅速向科室領導報告。故障排除后，完成相關記錄。信息系統、數據庫、服務器、網絡設備密碼由專人進行管理，不得外泄。新人院職工必須經過系統培訓、考試合格后方可上機操作。

二、信息系統安全管理制度

（一）敏感數據（指涉及醫院藥品、財務運營、消耗材料的數據）統計

1．申請人或部門（包括院外單位）提出書面申請，科室負責人簽字并蓋章確認，提交醫務部。2．醫務部審核無誤，簽字并蓋章，提交紀檢部門。3．紀檢部門審核無誤，簽字并蓋章，提交計算機中心。4．計算機中心審核無誤，簽字確認，安排相關人員進行數據統計，統計人員要做到對統計結果不擴散、不泄密、不修改。

5．計算機中心將申請歸檔保存。

（二）普通數據統計

1．申請人或科室（包括院外單位）提出書面申請，科室負責人蓋章并簽字后，提交醫務部。

2．醫務部審核無誤，簽字蓋章，提交計算機中心。

3．計算機中心負責人審核無誤，簽字確認，安排相關人員進行數據統計，統計人員要做到對統計結果不擴散、不泄密、不修改。

4．計算機中心將申請歸檔保存。

（三）系統用戶賬戶管理

1．用戶注冊流程。開通信息系統賬戶，由個人或部門提出書面申請（需提供人員信息：姓名、工資號、性別、出生年月、職稱、人員類型等），經科室負責人簽字，醫務部、護理部、財務科、人力資源部等主管部門審核蓋章后，交由計算機中心完成信息注冊。

2．用戶轉科流程。轉科流程參照注冊流程，送交的信息中需注明原科室和更換科室的名稱?？剖覂炔空{整，經科室負責人簽字并蓋章后，報送醫務部。

3．退休流程。干部科、人勞辦以書面形式通知醫務部，注銷或變更退休人員在信息系統中的權限。

（四）信息系統權限管理 1．用戶賬號管理。登錄系統須有用戶賬號，相當于身份標識。進修人員由醫務部統一編號。

2．用戶密碼管理。第一次登錄信息系統時，由管理員分配用戶初始密碼。登錄信息系統后，由使用人員自行設定，系統每三個月強制用戶修改一次密碼。用戶密碼遺失，須持工作證、胸牌或科室證明文件由本人到計算機中心重置密碼。

3．用戶權限管理。按照操作功能與訪問數據的限制，授予不同用戶、不同角色一定級別的應用功能，保證信息系統安全運行。

4.部門所屬權限。財務科擁有財務部分系統權限；護理部擁有病區護士管理系統權限；醫務部擁有醫生工作站管理系統權限；藥學部擁有藥師工作站管理系統權限；系統管理員擁有系統用戶新增、變更、注銷等系統維護權限。

5．責任承擔。賬號所有者應對該賬號在系統中所做的操作及結果負全部責任。

（五）終端安全管理

1．安裝到位的網絡工作站作為醫院統一專用內網終端設備，使用者不得擅自安裝軟件或外接硬件，如需安裝必須由計算機中心監督安裝或授權使用科室安裝使用硬件。

2．新入網的工作站必須由計算機中心統一安裝醫院正版HIS系統和網絡安全管理軟件、殺毒軟件后按人醫院內網。

3．網絡工作站外接硬件，須由計算機中心統一管理驅動程序。4．連接醫用儀器設備的網絡工作站必須由計算機中心監督安裝，統一管理。5．嚴禁在醫院內網網絡終端使用U盤和外接存儲設備，或使用其他用途私人外接設備。

6．嚴禁人為破壞網絡終端設備。

7．網絡終端設備報修，應及時聯系儀器維修室。

8．使用網絡終端前，由計算機中心統一組織培訓，合格后方能上崗。

9．操作人員要熟練掌握用戶入網口令，并注意嚴格保密。10．每次使用時需記錄用機時間、工作內容和機器運轉情況，機器運行期間操作人員不得擅自離開。

11．使用時如發現運行故障，應及時向計算機中心值班人員報告并做好記錄。

12．工作站配置的電腦、打印機等設備須指定專人使用、保管和維護，轉交他人保管時需嚴格交接，并報請計算機中心批準備案。

13．操作人員要保證工作站電腦正常運行、數據及時錄入和提取。14．操作人員須嚴格遵守操作規程，工作完畢時，必須切斷電源，蓋好機罩，鎖盤。

三、信息安全問題處置措施

一旦網絡出現安全問題，計算機中心值班人員或發現人應立即向計算機中心信息安全負責人報告，檢查信息系統的日志等資料，確定問題來源，并迅速采取適當措施，保證信息系統盡可能不影響終端和數措安全。若事態嚴重，應立即向主管領導報告，組織院內相關部門處理。

四、設備安全處理措施

（一）交換機等關鍵設備損壞后，應立即查明原因．并向有關部門 或單位報修。

（二）如果能夠白行恢復，應立即用備件替換受損部件。

（三）如果不能自行恢復，應立即與設備提供商聯系，請求派遣維護人員前來維修。

（四）如果設備不能立即修復，應向科室負責人報告，如有需要，向院領導報告。

五、設備密碼安全緊急處置措施

交換機等設備密碼保存在計算機中心，緊急情況下值班人員經計算機中心主任授權方可使用，不得隨意更改密碼。

第四篇：信息系統安全檢查工作報告(醫院)

醫院信息系統安全檢查報告

為認真貫徹落實縣政府及衛生局布置工作要求，做好我院“兩節”及“十八大”期間安全生產工作，我科組織人員對全院范圍內的信息系統工作站進行了一次全面的自查工作。現將自查情況報告如下：

一．信息安全狀況總體評價：

1、領導重視，機構健全。我院信息安全管理工作由分管信息科領導，信息科負責具體執行。

2、制定方案，加強檢查。我院使用信息系統作為辦公工具已有十余年的歷史，在信息安全管理方面已擁有一整套完善規范合理的信息安全制度。為了保證我院應用系統信息的安全、完整和保密，保證各應用系統穩定、高效運行，我科制定了醫院信息系統安全管理制度、醫院內網防病毒制度、數據備份及服務器應急方案等一系列信息安全規范和制度。

二．信息安全自查情況：

1、我院信息系統采取內外網物理隔離的方式，從根本上了防止醫院業務信息系統遭到外部的攻擊和竊取，充分保護涉及醫院和患者信息的安全。

2、嚴格把關接入內網電腦接口。我院所有內網電腦一律禁止使用U盤、光盤等外接存儲設備，所有需要進入內網的數據一律在信息科確定其安全性后方能存入。

3、對醫院信息系統各操作員權限進行嚴格控制。按操作者的職務和專業分配使用醫院業務系統的權限。醫院的各工作人員只能獲取與其工作相關和與其職稱職務相關的信息，充分保護了醫院機密和患者隱私。

4、全院電腦安裝國產專業殺毒軟件，并及時更新病毒庫，做到病毒防護軟件等的補丁及時升級。

5、建立了完善的信息設備安全監控手段和值班制度。我科定期對軟件進行測試，對檢測和用戶反應的問題進行研究，制定相應的措施，并做好版本的備案。對服務器，殺毒軟件，安全策略，系統安全日志，進行定期安全檢測保證其在安全的前提下，確保數據傳輸和信息的安全。

6、我科已經做好各項準備工作，對可能發生的各類信息安全事件做到心中有數，進一步完善了信息安全應急預案，明確應急處置流程，明確了應急技術支撐隊伍，把信息安全工作落實到位。積極組織開展了應急演練，檢驗了應急預案的可操作性，提高了應急處置能力。

三．檢查發現的主要問題及整改情況

（一）存在的問題及其原因

1、醫院工作人員較多，信息安全意識總體水平較低，且層次不齊。廣大醫務工作者工作繁忙，我科多次對各科室進行信息安全相關培訓，但收效甚微。

（二）下一步工作打算

1、加強信息網絡安全技術人員培訓，使安全技術人員及時更新信息網絡安全管理知識，提高相關管理及法律法規等的認識，不斷地加強信息網絡安全管理和技術防范水平。繼續加強對醫護人員、行政后勤人員的安全意識教育，提高做好信息安全工作的主動性和自覺性。

2、加大網絡安全設備的投入，購買防病毒及防攻擊型網絡交換機，進一步加強網絡安全。

3、切實增強信息安全制度的落實工作，定期不定期的對安全制度執行情況進行檢查，對于導致不良后果的責任人，要嚴肅追究責任，從而提高人員安全防護意識。

4、是要加大對線路、系統等的及時維護和保養，加大設備更新力度。各科室對本科室電腦設備要愛護和保養，定期擦拭清除電腦顯示器、鍵盤及主機上面的灰塵，保持電腦設備的干凈整潔。

第五篇：醫院信息系統安全檢查工作方案

醫院信息系統安全檢查工作方案

為規范和加強我院信息系統安全工作，保證醫院HIS系統的信息內容安全，根據《關于開展XXXX省醫療衛生行業網絡與信息安全檢查行動的通知》要求，結合我院實際情況，制訂本檢查方案。

一、檢查目的

通過開展全面的安全檢查，進行信息系統安全風險評估、安全測評等工作，及時掌握信息系統安全狀況，認真查找隱患，堵塞安全漏洞，落實和完善安全措施，建立健全信息安全保障機制，減少安全風險，提高應急處置能力，確保信息系統持續安全穩定運行。

二、檢查范圍

我院醫院信息管理系統（HIS）、醫院網絡系統。

三、檢查內容

檢查與網絡和信息系統相關的硬件、軟件、服務、信息，對信息系統存在的問題進行查找、分析；對已有安全管理體系、安全措施進行核實，主要包括以下內容：

（一）安全管理制度建立與落實。是否按照要求建立健全了信息安全責任制，做到了機構到位、人員到位、責任到位、措施到位。運維管理、保密管理、密碼管理、等級保護等制度建立和落實情況。

了風險評估和安全評測，開展方式是自行開展還是委托開展，委托開展是否簽訂了安全保密協議。

（九）信息安全經費保障情況。信息安全經費數額、信息安全經費在信息化建設經費中所占比重及信息安全經費是否按預算計劃執行。

（十）物理環境。物理環境的建設是否符合國家的相關標準和規范，是否按照國家的相關規定建立機房安全管理制度，機房安全管控措施、防災措施、供電和通信系統的保障措施是否有效。

（十一）安全隱患排查及整改情況。對以往開展的信息安全檢查、風險評估和安全測評，發現安全隱患和問題的整改情況。

四、檢查步驟及時間安排

（一）時間安排。從2012年9月6日開始至2012年9月13日止，開展醫院信息系統安全檢查工作。

（二）檢查準備及自查。由微機中心負責開展安全檢查工作，并參照本方案對檢查工作進行安排部署并開始自查。

（三）分析總結。根據自查情況，系統分析信息系統的安全狀況和安全隱患，查找問題產生的原因，上報自查報告和附表。

（四）問題整改。對檢查過程中發現的安全問題，短時間內能完成的要及時整改，不能在短時間內整改的要制訂相應整改計劃，盡快完成整改，并提交整改報告。