医院信息安全保护制度
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇医院信息安全保护制度范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
医院信息安全保护制度范文第1篇
关键词:计算机党务档案;信息安全;保护方法
研究中,我们首先从各医疗机构中的党务档案管理中筛选出使用计算机管理的信息系统;接着,从使用计算机党务档案信息管理系统的医疗机构中寻找信息系统安全保护的方法,分析各种方法的实施难易程度及实际应用效果,找出优秀的安全保护方法;最后,总结汇总,形成最佳实践方案[1-2]。
1 医疗机构计算机党务档案信息系统普遍存在安全性问题
我们对惠州市卫生系统17家医疗单位(其中,有三级甲等医院2家,二级甲等医院4家,县级医院3家,乡镇卫生院3家,妇幼保健院5家)的党务档案使用情况进行了调查,调查这些单位电子信息化的使用及对电子信息档案的安全保护情况。结果显示,大部分医疗机构党务档案信息化程度不高,党务档案配备的计算机安全系数也较低。在使用党务电子档案的医院中,大部分党务档案信息管理功能简单,应用单一,信息资源共享的基础较差。在安全性能方面,大部分都是使用单机版,只有个别单位使用了网络版,配置的电脑设备也不是高稳定性、高性能的计算机。使用单位对党务档案数据的安全性要求缺乏必要的认识。
2 实施计算机党务档案信息系统安全保护的总体路线
计算机党务档案信息系统带来了服务面广,容量大,便于利用和管理等优点的同时,也存在网络的不安全,容易泄密,计算机故障、数据丢失等问题。其中,信息的安全保护问题最为突出,也最为迫切,能否找到好的信息安全保护方法直接关系到计算机党务档案信息系统推广使用。因此,我们需要全方位的信息安全保护方案,体现在物理安全、网络安全、系统安全、应用安全等多个层面上,这些层面的安全目标各不相同但互相关联,构成系统的安全策略,这些安全策略的实施应确保信息的可用性、机密性、完整性、可审查性、不可抵赖性和可控性。
3 实施计算机党务档案信息系统安全保护的分级路线
3.1更新观念,增强档案管理文员信息安全保护意识 在实现档案管理现代化的过程中,档案工作人员要牢固树立依靠科技进步和科学管理的观念,增强信息安全意识,提高个人防护能力。调查表明,大多数信息泄露事件源于内部员工的无心之过或故意为之,并且,此类事件一旦发生,对单位、个人所造成的危害也是最直接、最严重的。因此,加强信息安全首先要从档案工作人员抓起,从源头上把好信息安全关,具体措施可以包括:对敏感岗位员工进行信息安全背景审查,防止不适当人员接触敏感系统和数据;进行全员信息安全教育,了解信息安全威胁、掌握信息安全技能等。
3.2规范管理,持续优化信息安全管理制度和流程体系 在信息安全领域有这么一个说法:"三分技术,七分管理"。可见,"管理"在信息安全保护方面的重要作用,而"管理"的落实自然离不开相应的管理制度和操作流程,有章可循是做好信息安全管理工作的前提条件。构建有效的信息安全管理制度及相应操作流程体系首先应充分借鉴相关行业标准,如:国际的ISO27000系列标准(信息安全管理体系)和国家的《信息安全等级保护管理办法》。其次,结合本单位实际情况制定出行之有效的信息安全保护方法,推广到日常的工作当中,并通过绩效考核机制使管理制度真正落到实处。最后,我们还应该根据外部因素(如:组织因素、技术因素、社会因素等)的变化,定期对制度、流程的执行情况进行审计,并根据审计结果对制度进行修订,对操作流程进行优化,使之满足实际工作的需要。
3.3有备无患,不断加强计算机档案的安全保护
3.3.1加强计算机档案管理系统网络安全保护 计算机网络让我们能够方便地传输和获取各种信息,但网络这种具有开放性、共享性的特点就对计算机网络安全提出了挑战。数字化、网络化后的档案资源不可避免的也要面对来自网路的入侵、攻击、渗透等诸多威胁。做好网络安全防范和保护是实施计算机党务档案信息系统安全保护方法的第一步,可使用的主要对策包括:
3.3.2防火墙技术是保证网络资源不被非法使用和访问,保证网络安全最重要的核心策略之一。防火墙在内部网和外部网之间、专用网与公共网之间构造的保护屏障,只有符合安全策略的数据流才能通过防火墙,从而保护内部网免受非法用户的侵入。
3.3.3入侵检测技术是一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门。
3.3.4加密技术通过对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容,是提高信息系统及数据的安全性和保密性,防止秘密数据被外部窃取的主要手段之一。能够有效防止机密信息的泄漏,确保网络的安全可靠。
3.3.5反病毒技术通过安装病毒防火墙,对所有的系统应用软件进行监控,由此来保障用户的系统不被病毒所感染。
3.4加强党务档案数据备份 数据备份是最有效地防止数据丢失或者遭受破坏的最有效手段,各个单位要根据自己的实际情况来制定不同的备份策略,目前被采用最多的备份策略主要有以下三种:
3.4.1完全备份(full backup) 对所有数据完全备份。好处是当发生数据丢失的灾难时,只要进行一次恢复即可。不足之处是备份的数据有大量重复。
3.4.2增量备份(incremental backup) 只对当天新增的或被修改过的数据进行备份。缺点在于,当灾难发生时,数据的恢复很繁琐,且可靠性也比较差。
3.4.3差分备份(differential backup) 对前一次完全备份后新增的或被修改过的数据进行备份。这种策略避免了以上两种策略的缺陷的同时,又具有了它们的所有优点。不需每天都对系统进行完全备份,缩短了备份时间也节省了磁带空间,而且,它的灾难恢复也很方便。
其次,数据备份的根本目的是重新利用,也就是说备份工作的核心是恢复,一个无法恢复的备份对任何系统来说都是毫无意义的。验证备份的数据是否有效,最好也是最直接的方法就是进行数据的恢复测试[3-4]。
数据备份确保了数据的安全性问题,但它没有很好地解决信息系统的可用性问题。例如,当计算机党务档案管理系统出现故障,通常的处理方法是先重建系统(包括网络、服务器、操作系统、应用系统等的重建),再恢复数据。在整个恢复过程中计算机党务档案管理系统无法对外提供服务,也就是说档案管理工作无法开展,这是不可接受的。因此,除了保障数据的完整性外,我们还需要进一步考虑计算机单点故障,区域性、毁灭性灾难等情况下,实时性更强的灾难恢复能力。档案系统最短在多少时间内要恢复?多长时间的数据丢失是允许的?上述两个问题是各单位在选择灾备方案时需要重点考虑的,根据不同的回答我们可以选择从简单的硬件冗余,到双机热备,再到集群技术等不同解决方案。
总之,档案信息数字化、网络化为档案信息资源的综合利用带来前所未有的机遇的同时,也带来了诸如信息泄露、数据安全、网路攻击等挑战。因此,在开展党务档案管理过程中,要将信息安全保护方法切实落实到工作中的各个环节,严格做好数据的备份和保密,加强访问控制和安全审计,并坚持定期检查,持续改进。
参考文献:
[1]方金艳.计算机档案保护方法浅析[J].中小企业管理与科技,2007,(10): 259-260
[2]成纯,俞宏知.计算机档案管理信息系统的保护问题研究[J].浙江档案,2002,(8):34-35.
医院信息安全保护制度范文第2篇
关键词:医院;信息化建设;障碍因素;发展对策
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2015)06-0235-02
医院管理信息系统,通常是指利用计算机软硬件技术、网络通信技术等现代化信息手段,将医院及其所属各部门的物流、人流、财流进行综合性的管理,对在医疗活动各阶段产生的数据进行采集、储存、处理、提取、传输、汇总、加工生成各种信息,从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。因为二十一世纪是信息数字化发展的时代,从而使医院的诊疗水平在不断地提高,为了从整体上提高医院的综合能力与竞争水平,从而将建设医院信息化设置为当前的首要任务。本文将会对医院信息化建设中所面临的困难进行分析,并对此提出解决方案。
1 医院信息化建设中出现的问题
信息技术的迅速发展以及医疗事业的改革为我国医院信息化建设工作提供了巨大的帮助,不仅是从整体上提升了医院的管理水平,也相对地提高医院工作人员的工作效率。但是,这其中还是存在着诸多问题,从而影响了医院的持续性发展[1]。
1)缺乏信息化专才
根据相关数据表明,在医院的信息管理部门中,绝大多数工作人员是计算机专业人员,很少部分是从医院的其他部门调过来的专业人员。大多数信息工作人员只懂得如何操作计算机而对于医院的事务不太了解,知识背景比较单一。而医疗专业人员虽然对于医院事务了如指掌,但是对于计算机方面的知识却是一窍不通。所谓的信息化专才,就是指既能够了解医院的相关事务,又能够熟练地掌握计算机信息技术,将收集到的信息进行综合分析。从目前的情况来看,只有科学的引进质量与数量并存的医院信息专才,才能有利于医院信息化建设的稳定发展。
2)信息安全问题
在医院的信息化建设过程中最重要的问题就是信息安全问题。要想医院开启正常的工作模式,保证医院信息系统数据的安全和保密的工作极其重要。因为医院的这些信息数据中都包含着患者的个人以及健康隐私、药品及医疗设备的采购资料、医生用药量等信息资料,一旦发生泄漏,不仅会使患者因个人隐私泄漏造成诸多不便,还会导致医院无法正常运营[2]。相关资料表明,在我国,有相当一部分医院的信息安全管理体制不够完善;其中涉及的相关人员也没有签订信息安全方面的保证书与责任书;没有严格地按照国家标准对访问权限、密码管理与第三方访问控制等方面进行规范;不能及时地更新信息安全防护软件与安全保护设备;医院疏忽对于信息安全的宣传与教育活动,导致了医院的工作人员对于信息安全的保护意识不强。
3)系统规划是否完善
医院的信息化建设是一个循序渐进的、分步实施的过程,但是由于多数的医院缺乏相关的经验,所以在进行信息化建设时会出现盲目投资、毫无科学性地建设、不能将医院的自身发展情况与实际情况相结合、甚至会将其他医院的信息系统直接生搬硬套。一味追求系统的先进性而忽视实用性和先进性的有机结合,导致在新的项目出台后,就会发现从前的旧制度是不利于信息化建设的,所以就会从头开始规划,不仅浪费了资源,也对医院的信息化建设造成了不良的影响。
4)数据标准化问题
目前,由于我国的医院信息标准化工作才刚刚起步,还有待提高,因此没有将医院信息标准和编码进行统一化。不同医院使用的是不同厂商生产的信息体系,因此不同医院使用的信息编码也就不同。可是当医院之间开通了网络连接后,由于各个医院的信息格式各不相同,就无法使数据进行交换共享,信息也无法更好的得以应用,容易形成信息的“孤岛现象”。
5)经费问题
根据相关数据表明,医院的信息化建设要想稳定长久的发展下去,不仅仅需要知识与技术上的支撑,还必须要有大量的资金作为辅助工具。但是当前的形势就是,很多家医院之所以信息化的建设举步艰难,就是因为缺乏资金[3]。现在很多医院的普遍做法就是,在信息化建设前期,给予大量资金进行规划,但是当信息化建设到一定规模时,就会将投入的资金逐渐削减,严重地制约了医院信息化建设向纵深发展,可见信息化建设的重要性及长久性并没有得到足够的重视,所以在一定程度上也是制约了医院的发展。
2 发展对策
2.1 转变思想观念,加强对信息意识的思想觉悟
正确的思想观念对行为方式起到积极的指导作用。首先要从思想上进行转变,把信息化建设作为医院信息现代化建设的基础性工程。信息技术作为现代化发展建设的奠基石,对医院的信息现代化建设发挥着举足轻重的作用,并日益成为医院现代化建设的衡量标准。其次,社会主义市场经济带来发展的同时,也加剧了各大医院之间的竞争,信息化建设使医院在行业竞争中处于不败之地,有利于提高医院的综合竞争实力[4]。作为管理者,加强对信息技能的掌握能力,提高自身的综合素质和专业素质,制定符合医院发展的信息现代化决策方式。决策者制定信息现代化建设的相关规范,应该与医院的医疗行为、行政组织和后勤工作相结合,做到衔接无漏点,合理有序。最后,加强各个应用系统的有机结合,通过运用多媒体技术、虚拟现实技术、网络信息技术等,实现细心现代化的合理有效建设,为医院的信息现代化建设提供坚实有力的技术支持保障。
2.2 制定正确的发展战略,加强医院信息现代化建设的进程
正确的发展战略对医院的信息现代化建设起到积极的引导作用。第一,加强对信息现代化建设的合理规划,要针对医院的实际发展情况做出具体的战略规划,使信息现代化建设具有具体性、合理性、规划性和竞争性的特点,符合时展潮流,从而实现信息的合理利用功效的最大化。第二,对信息现代化建设进行合理定位,这就要求信息建设与医院发展的总体目标相辅相成。医院本着以救治病人的声明为主要目标和宗旨,因此要考虑到病人在医院的主体作用和地位,医院信息化建设应紧紧地抓住病人这一核心点和出发点,满足病人的需求,为病人提供优质服务,增强医院的服务意识,提高医院在病人心目中的地位。第三,医院的信息现代化建设要与医院的科技水平相结合,信息科技水平在现代建设中处于基础性地位,如果没有良好的计算机科技水平、广泛而详实的信息资源,信息现代化建设进程则会处于滞后层面。因此,要加大对医院信息现代化建设的科技投入,保证其建设的进程不断前进。
2.3 增强信息化建设的监管力度,杜绝医院信息泄露
为确保医院内患者的个人以及健康隐私、药品及医疗设备的采购资料、医生用药量等信息资料不会发生泄漏,应在医院信息化体系建设初期,设计出安全科学的信息化系统,并增强医院内工作人员的安全意识。在医院信息化体系建设完成后,应测评体系是否安全,能否正常的投入到医院信息化建设中。对于医院现有的安全保护系统,应该进行加固防护,避免信息的泄漏[5]。另外,医院加强对信息安全保护制度的建设,制定出完善的信息安全管理系统以及应对突发状况的应急预案,并对工作人员实施信息安全责任制,定期对安全系统检查并更新,以增强信息安全系统的网络使用能力。建立科学稳定的信息安全运行制度,可确保医院信息体系稳定,增强数据资料的安全性。
2.4 建立健全有效的制度体系,实现工作流程的规范化
严格、合理、有序的医院规章制度体系是医院进行合理规划的基础,同样,信息现代化建设也必须建立在医院规章制度的基础上。以医院操作流程的规范化、工作流程的严谨化合理化、系统管理的全面化和系统应用的落实化为前提条件,将信息现代化建设合理进行。信息处理的基本环节包括信息采集、传输、加工、存储、输入和输出,因此,要进行这些处理流程,必须要有一套行之有效、完善、全面的制度体系,保证操作流程的规范化和严谨化,以此来实现对工作流程的优化重组,与医院信息现代化建设进程相符合。
2.5 加强素质教育,建设积极的文化氛围
现今社会是人才的教育,素质的教育,行业间的竞争本质是人才竞争,因此加强人才的素质教育势在必行。提高医院信息工作人员的素质和自身的专业技能,建设信息现代化人才队伍,不仅要培养计算机知识技能强、实际应用能力强的应用型人才,还要培养人才具有敏锐的洞察力、对信息化程序进行系统规划、注重开发创新的能力,对相关人员进行定期有序的培训,并且建立完善业绩考核评估机制,加强信息人员的专业技能和素质教育,提高其学习的主动性和积极性,提高医院信息现代化建设的水平。同时,创建积极浓厚的文化氛围,文化的氛围对人有着潜移默化的影响,积极的文化氛围更会引导其上进。加强医院的文化信息化建设,引导正确的信息行为,形成积极的信息意识,并且树立正面的信息形象,传播正能量[6]。让更多的医务人员参与并融入到信息化建设中,改变“以软件替代管理”的局面;加强医院的文化信息化建设,创办信息化海报,定期举行有关信息现代化的知识问答活动,以活泼生动的教育传播方式打造积极的信息文化氛围。
在当今社会中,为提高医院之间的竞争力,需要加强医院信息化的建设与管理。医院的管理人员作为行政管理的决策者、执行者和监督者,应该在思想上意识到信息现代化建设对医院的行政管理有着积极影响,在制定相关的行政管理体制时,做到实事求是、务实创新,在行政管理上做到符合信息全球化的时代浪潮,实现医院信息现代化的合理发展。加强医院对行政管理、医疗卫生、教研教学活动等环节的有效管理,将信息进行优化处理整合,实现新时期下的资源共享,使医院朝着现代化、系统化的方向发展,不断提高医院的综合实力,增加行业之间的竞争力。虽然在信息化建设中仍然存在了很多的问题,而且和发达国家相比也有很大的差距,但是通过本文的阐述,了解了对于这些问题提出的发展对策,会为医院信息化建设发展提供很多的帮助,使医院可持续发展。
参考文献:
[1] 王斌,杜方冬.医院信息化的相关理论问题研究[J].中国现代医学杂志,2013(21):516-520.
[2] 朱晓勃.我国医院信息化建设现状与发展对策研究[J].现代仪器与医疗,2015(1):76-79.
[3] 王利辉,牛静丽.医院信息化建设面临的难题和解决对策[J].中国外资,2013(24):113.
[4] 李杨,孟繁纯.医院信息化建设面临的困境与对策分析[J].哈尔滨医药,2014(6):390-391.
医院信息安全保护制度范文第3篇
信息安全等级保护建设背景
信息安全等级保护制度是我们国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
2011年,原卫生部了《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)。针对医疗卫生行业的信息系统,原卫生部办公厅于2011年下发了《卫生行业信息安全等级保护工作的指导意见》(卫发办〔2011〕85号)要求三级甲等医院的核心业务信息系统信息安全等级保护定级不低于第三级,并且要求2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
医疗行业面临的主要风险
1.医疗行业特点
随着我国医疗卫生事业的迅速发展,医学科学的不断进步,医药卫生事业体制改革的逐步深入,医院生存和发展的外部环境和内部机制都发生了很大的变化。当今计算机信息和网络通信技术的深入发展为提高医院管理水平创造了良好的条件,医院信息化建设也因此逐渐在我国各级医院中迅猛发展。目前医疗行业信息化有如下特点:系统运行连续性要求高,要求7×24小时不间断服务;网络间断时间不允许超过2小时;信息高度集成,所有信息需要集中使用;异构系统多,系统复杂度高;系统间接口复杂,涉及厂家多;系统内存储资料价值较高,存储着医院大量运用数据,其中包含大量患者隐私;存储的数据内容本身具备法律效力;核心网络采用网络物理隔离。
2.信息系统的威胁来源
信息系统的威胁来源主要可以分为两个方面,一个是环境因素造成的威胁,另一个方面是人为因素造成的威胁,而人为因素所带来的损失往往是不可估量的。
在环境因素方面,威胁主要来自于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障。
在人员因素方面又可以分为有意和无意两种情况,对于有意而为之的人,通常指恶意造成破坏的人,怀不满情绪的或有预谋的内部人员对信息系统进行恶意破坏,采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。而外部人员也可以利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力。对于无意的情况来说,通常指管理人员没有意识到问题或者没有尽心尽责的工作。例如,内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。
3.信息系统负面影响
医院内部的信息系统如果受到威胁、入侵或被破坏等,会给国家、医院以及人民的利益带来严重的影响。
系统如果出现宕机的现象,首先会造成患者情绪激动,耽误治疗流程,甚至会威胁到患者生命的安危。其次会造成门诊业务人员、主治医生、护士等工作人员的工作慌乱,甚至成为情绪激动患者的放矢对象。门诊办主任、主管院领导、医院院长电话问询,信息中心则会电话不断、手忙脚乱。医院业务停顿,从经济上受损失,而媒体也会曝光医院,使得医院信誉受损。
如果医院信息系统的内部信息丢失,则会造成员工信息被公开、患者信息泄露等风险。例如,据《劳动报》报道,一名负责开发、维护市卫生局出生系统数据库的技术部经理利用工作之便,在2011年至2012年4月期间,每月两次非法进入该院数据库,偷偷下载新生儿出生信息并进行贩卖,累计达到了10万条,给医疗卫生行业带来了严重的负面影响。
信息安全等级保护建设体系
由于医院信息系统复杂的特点、面临的威胁及产生负面影响的严重性,医院开展信息安全等级保护建设工作就尤为重要,急需一套适合医院的等级保护安全防御体系。
信息安全等级保护体系主要包括技术与管理两方面,在安全技术方面包括:物理安全、网络安全、主机安全、应用安全、数据安全;在安全管理方面包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。这10个方面里每一项都有若干控制项,顺利通过测评至少要达到控制项的80%以上(表1)。
如表1所示,控制项中G表示基本要求类,三级必须达到G3标准;S表示业务信息安全类,A表示系统服务保证类,三级标准中S与A任选一项达到三级即可。
根据信息安全等级保护标准,我院主要建设经验如下:
1.信息安全技术
(1)物理安全:数据中心机房是物理安全的核心,机房的装修工程、动力配电系统、空调新风系统、消防系统、综合布线系统等均需按照A级机房标准进行建设。此外,日常的管理工作也尤为重要,在物理权限控制方面应配备门禁系统,并且应做到两种或两种以上的身份识别机制,如指纹加密码或IC卡加密码等。环境监控方面除了每天定时的人员巡检还应在机房及各设备间部署监控系统,利用传感器监控温湿度、漏水、电压、设备状态等信息,一旦发生异常通过短信及时告知机房管理人员。
(2)网络安全:按照等级保护思路进行安全域的划分,将不同级别的信息系统通过防火墙和网闸进行隔离,根据每个安全域的特点设定不同的安全策略。服务器安全域制定细粒度访问控制列表,仅开放必要的端口,并在旁路架设网络流量审计设备和入侵检测系统,对所有流量进行记录及审计,能够及时发现攻击行为;客户端安全域制定网络准入和非法外联策略,禁止未经授权的计算机随意接入医院网络,并且通过管理软件和网闸控制内网的计算机随意访问外网或互联网;架设安全管理域,该区域主要用于对网络设备、服务器、安全设备的管理,并集中收集设备的日志,及时通过分析日志发现安全隐患。
(3)安全:服务器进行统一安全策略的制定,部署网络版杀毒系统、补丁分发系统、入侵防范系统等,并结合服务器承载的业务特点制定详细的资源控制列表,按照最小授权原则,授予最低资源访问权限。
(4)应用安全:部署数据库审计系统,对所有流经数据库的网络流量进行数据分析,制定审计策略,发生违规数据操作及时通过短信报给安全审计人员;同时部署CA数字签名系统,医生通过USBKEY进行系统登录,并对其所有操作进行数字签名,有效保证了应用系统的安全性及数据的不可抵赖性。
(5)数据安全:利用专业的数据备份软件在异地部署数据备份中心,对各系统数据库和文件继续高频率集中加密备份,并且应至少六个月进行一次数据还原演练,保证在出现问题是可以有效进行恢复。
2.信息安全管理
(1)安全管理制度:从医院层面制定信息安全管理制度,对信息安全制度进行重新整理修改,规定信息安全的各方面应遵守的原则、方法和指导策略,指定具体管理规定、处罚措施。制度应具备可操作性,同时应由专人负责随时进行修正,并由信息安全领导小组进行评审,最终进行。
(2)安全管理机构:组织建立信息安全工作领导小组,设置信息安全管理岗位,设立独立的系统管理员、网络管理员、安全管理员、安全审计员等岗位,制定各岗位的工作职责,与各岗位相关人员签署保密协议。同时制定沟通协作机制,内部定期组织会议进行信息安全工作部署,外部每日向公安局上报备案信息系统的安全情况,与数据库、存储、网络设备、安全设备等厂商签署协议,提供所有设备的备机备件,每月进行设备巡检,并要求在发生紧急事件时及时到场提供技术支持。
(3)人员安全管理:在人员录用方面,严格审查人员的背景、身份,并签署保密协议,人员离岗时执行离岗流程,各部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理离职手续。同时定期对人员进行相关培训,每周进行一次内部培训,每年进行两次外部培训。对于外部厂商人员,其对设备的相关操作均需进行审批流程,并通过技术手段记录所有操作行为,做好操作记录,并不定期进行行为审计。
医院信息安全保护制度范文第4篇
一、研究背景
网络个人信息泄露,是指网民在互联网上提供的个人信息没有得到良好的保密,而导致某些不法分子得以对其进行收集、倒卖以获利的现象。2014年12月25日第三方漏洞平台“乌云”曝出12306网站现用户数据泄露漏洞,包括用户账号、明文密码、身份证、邮箱等个人信息。对此,中国铁路客户服务中心回应称,网上泄露的用户信息系是经由其他网站或渠道流出。
当前,网上个人信息泄露事件频发,信息安全问题较以往显得更为突出,网上个人信息成为不法分子争抢的“香饽饽”,或被直接出卖非法获利,或被犯罪分子利用进行电信诈骗、非法讨债甚至绑架勒索等犯罪活动。网上信息泄漏事件严重损害了社会和个人的利益,也让更多的网民对信息安全有了更直接、更深刻的认识,因此网络信息安全建设与维护日显重要[1]。
二、网上信息泄露现状及原因
我国网民数量急剧增长,网络购物发展迅速,互联网在给人们的生活带来便利的同时也带来了很多安全隐患。近年来,泄露和侵害公民个人信息包括隐私的事件频频发生,个人信息成了随意买卖的“商品”,近年来,兜售房主信息、股民信息、商务人士信息、车主信息、患者信息等似乎已形成了新的产业。
网络信息技术的发展也方便了对个人信息的监控和搜索,大型数据库使得搜集、整理、传输、加工信息等过程变得更加简单,几乎可以永久保存,不断再现。因此,一些商业公司具备了大规模收集个人和企业信息的技术条件,若安全机制不完善,其所收集的用户信息被泄露或滥用,后果不堪设想。随着全社会对信息安全的日益关注,信息安全刻不容缓。
个人安全意识薄弱。目前,我国手机网民用户规模达5亿。与传统通信工具、社交网站相比,以社交为基础的综合服务平台不仅拥有着更强的通信功能,还为用户提供了诸如支付、金融等内容的综合服务,增加了信息分享等社交类应用。同时也增加了个人信息泄露的潜在危险,特别是在问卷调查、就医、求职、买房、买保险、买车、办理各种会员卡或银行卡时缺乏个人信息安全意识[2]。网络填写个人信息的非正常退出,微博、QQ空间等社交网络成为泄露日常信息的主要原因。
个人信息保护机制不健全。对个人信息保护的立法研究从上世纪70年代开始,在上世纪末达到一个研究和立法保护的加速阶段[3]。美国,澳大利亚,加拿大,以色列等国家将个人信息归入本国隐私法“Privacy Act”的保护范围,通过《隐私权法》来保护个人信息[4]。我国的个人信息保护法自2003年起已部署起草,但一直未能进入正式的立法程序。据统计,我国目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,然而法律界人士认为,这些针对个人信息的法律法规内容较为分散、法律法规层级偏低,约束力明显不足。单从网站用户个人信息保护安全而言,刑法修正案、侵权责任法乃至居民身份证法等相关内容均有涉及,但相关规定条款过于分散,可操作性差,时效性低。对于“个人信息”、“违反规定”等关键概念的界定尚不清楚,故执法过程易形成执法困境。尤其是对信息泄露案件,在追究责任的时也存在举证难等问题,诉讼成本高、收益低,受害人依法维权。
网络实名制从某种程度而言,也加大了个人信息泄漏的风险。例如不法分子收集实名制火车票或手机办理的登记信息,可从中获取当事人的身份信息制作假身份证,或者办理信用卡、设计欺诈活动等。
监管存在漏洞。 在信息高度发达的现代社会,某些个人信息时刻处于被泄露的状态。由于个人网上信息安全保护机制的不完善,导致执法过程没有坚实的盾牌。某些网站的服务商对个人信息没有尽到妥善保管的义务,在使用过程当中泄露了个人隐私。机动车销售、房产中介、医院、通信等行业及其从业人员往往有机会接触、掌握大量公民个人信息,这些行业虽均有系统内部出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见,但由于部分从业人员法律意识不强,且内部管理执行不到位,利用公民个人信息管理上存在的漏洞,因此这些行业成为个人信息泄露的“重灾区”。
三、建立个人信息安全机制的对策
堵住个人信息泄露的缺口,完善相关法律法规。我国首个关于个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》于2013年2月1日起正式实施,个人信息保护工作正式进入“有标可依”阶段,指导和规范利用信息系统处理个人信息的活动。但国家标准、行业标准的法律效力远远不能保护群众个人信息安全,而针对信息安全保护的相关规定已难以满足信息安全的需求,同时维权过程法律依据较少[5]。
因此,我国应尽快完善在个人信息安全方面的相关法律法规,加强行业监管力度,严厉打击不法行为,建立以民法保护为重心,其他法律为辅助的完善的法律体系,具体来说:应在民法典中确立隐私权独立人格权的法律地位[6]。加快立法,加强执法,依法保护个人信息安全,跟上信息高速发展及安全的潮流。对窃取、多次泄露他人信息的个人和单位,要制订严厉的追责和处罚措施,增大违法成本。
加大网络信息安全监管力度,加强行业自律,从源头预防和遏制对个人信息的侵害。社会舆论的监督作用一向对违法行为具有强大的震慑力,因此要充分发挥社会舆论的监督作用,及时曝光侵害行为,广泛地引起民众的注意,使其迅速提高警觉性,自觉加强对个人网络信息的管理。行政执法部门应加大执法力度,及时监督制止侵权行为。当然,这种行政监管必须以维护网络的健康发展为前提、以保护公民个人隐私权等人身权利为目的。这种社会舆论与行政监管共同作用的方式,也能在一定程度上保护公民的网络隐私权,促进网络健康发展。
企业行业应加强自律,完善对企业、行业的管理,设立相应的企业安全制度,采取相应的监管措施,加大违规处罚的力度,保障客户信息的安全性。通过岗位、行业培训,提升员工的职业操守,自觉保护客户个人资料。
(3)不断加强公民对网络隐私的自我保护意识
网络隐私权与公民的利益息息相关,因此要培养网络用户形成隐私权自我保护的意识,能促其采取积极的防范措施。一旦用户有效利用相关技术加强对网络环境下个人信息的管理,就会在很大程度上降低成本,更有效的保护网络隐私权。
网民个人应主动接受信息安全教育,安装杀毒软件或防火墙,定期进行木马程序的扫描,及时更新安全软件。仔细阅读社交网络运营商的安全隐私协议,熟悉相应的隐私设置方式,主动防护自身的信息安全,定期更改网站密码。使用微博、微信等网络应用时勿上传有关自己及亲友的个人信息,尽量不要使用定位功能,定期删除浏览器上的cookies信息[7]。网络、电视、报纸等媒介应该肩负社会责任,对个人信息安全的重要性和信息泄露的危害性宣教,宣传维护个人信息安全的方法,使广大民众得到个人信息安全保护方面的教育。
中国软件评测中心也将继续以国家信息安全标准体系为基础,建立个人信息保护标准体系。在参考国际相关研究成果的基础上,结合我国实际需求,对信息系统个人信息保护管理办法和技术手段进行专项研究,研究制定体系框架中急需的关键标准,对标准进行验证以支持标准的进一步修订和改进。
我国2013年2月1日起实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》[8],标志着我国将告别针对个人信息处理行为“无标可依”的历史,公民对个人信息保护的诉求将得到有效解决。相关监管部门可以依据国家标准引导企业进行个人信息保护自律,并对企业个人信息处理行为进行监督规范,逐步形成以“企业自律为主导,联盟约束为辅助,政府监督配合”的我国个人信息保护模式。
同时,目前我国个人网络信息安全存在很多安全隐患,尤其是个人数据信息的泄漏造成的影响十分广泛,主要由于个人安全意识薄弱、个人信息保护机制不健全、监管存在漏洞等原因造成的。因此,构建安全稳定的网络环境显得日益重要。政府、企业及公民个人应加强网络信息安全意识,在新兴保护技术的广泛应用下,推动安全保护技术的开发与应用,较好的保护个人信息安全。
(作者单位:湖北城市建设职业技术学院)
作者简介:刘志(1981-),男,硕士,湖北城市建设职业技术学院讲师,主要从事计算机及相关专业教学
作者联系方式:
地址:武汉市东湖新技术开发区藏龙岛科技园区藏龙大道28号
湖北城市建设职业技术学院
邮编:430205
医院信息安全保护制度范文第5篇
关键词:医院信息网络;数据安全;问题;维护;对策
中图分类号:TP309.2 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
Hospital Information Network and Security Management
Sun Xiuzhi
(Zibo WanJie Tumor Hospital Information Center,Zibo255213,China)
Abstract:In this paper,the current hospital information network systems and data security,there are some general safety hazards,from the perspective of safety management are described and elaborate hair and make conventional solutions.
Keywords:Hospital information network;Data security;Issues;
Maintenance;Strategy
医院信息网络安全是指医院信息管理系统和信息数据库被来自系统内部故障或者外部故、或偶等因素导致的非授权性的信息泄露、信息更改、信息破坏。一般来说,医院信息系统和数据安全要求必须做到:保障信息的可用性、机密性、完整性、可控性、不可抵赖性。
一、医院信息系统数据安全防范重点
从目前网络发展及计算机软硬件的现状来看,医院信息系统和数据安全,主要从二个方面进行认识。一方面,网络信息共享性,使得通过网络终端都可以得到有用的信息,从而提高了使用数据人员的工作效率;另一方面,正因为数据共享,在增加计算机硬件负担的同时,也增加了网络的复杂性,使得医院的信息系统和数据安全可能会受到来自开放的互联网的各方面的攻入,这里的攻击,包括但不局限于黑客攻击[1]。
正是由于医院信息系统和数据安全的不确定性,在医院信息系统建设中,通常需要作如下重点防范:1.硬件设备老化带来的故障隐患;2.病毒感染带来的系统安全甚至崩溃;3.病毒导致数据被破坏;4.黑客侵入和攻击破坏;5.系统维护人员错误操作;6.不可预测的自然灾害带来的数据丢失或者破坏。
二、医院信息系统数据安全及其保障
(一)DG图文档主动防护
DG采用的是一种主动的安全策略,在从文件创建到删除的整个生命周期都对其进行安全保护,这有别于防火墙等被动的“堵”的安全策略。在安全系统中,DG的安全作用将是不可替代的,DG与防火墙、VPN等安全产品完全不冲突,结合其他的安全系统使用,DG将从“内部控制”的层面对现有安全系统进行重要的补充,为用户构造更严密的信息安全体系,为您企业的文档提供全生命期的安全保护。
(二)全面的风险评价体系
对系统进行全面的风险评价,才可能使得用户对自身系统面临的风险有真正的认识,从而科学决定其所需要的安全服务种类,并科学选择对应的安全机制和防护办法,进而形成全面系统的防范措施。
(三)严格的安全管理
严格管理是网络数据安全的行之有效的办法,在信息网络系统的用户中,除了要加强增长率以外,更要建立简单易行有效的管理机制和办法,如加强宣传教育,加强内容管理,加强保密意识等,在有可能的情况下,应该对信息系统的架构、组成等向有接受能力的用户群体进行普及和宣传。
(四)制订严格的法律法规
互联网是一个新鲜的事物,存在许多新情况和新问题,由于可能衍生出许多无序或者无法可依的安全行为,也是目前许对善良的人们对网络犯罪无计可施的尴尬境界的源头。从长远来看,必须要加大立法力度,对医院内部来讲,可以外请专业的人才,形成一些规定性的办法,从内部加以控制。
(五)安全操作系统
概括起来,医院系统和数据安全的主要技术包括:采用数据备份和归档技术;采用双机热备份技术;采用HSM分级存贮管理技术;采用数据管理技术等,使之能够保障医院信息系统数据的安全。
三、保障网络系统安全的措施
(一)建立统一的管理策略
这一安全策略能为安全管理提供目标和方向,以确保安全管理的协调性和完整性。要确定系统的安全等级和安全管理的范围并制定完备的系统维护制度。维护时要经主管部门批准,并有安全管理人员在场。故障原因、维护内容和维护前后的情况要详细记录。
(二)配备可靠的硬件设备
构成信息网络的硬件设备基本要素,主要包括网络基础设备、软件系统、用户和数据。保证构建网络的基础设备和软件系统安全可信,没有预留后门或逻辑炸弹。保证接入网络的用户是可信的,防止恶意用户对系统的攻击破坏。保证在网络上传输、处理、存储的数据是可信的,防止搭线窃听,非授权访问或恶意篡改。
(三)用户访问行为可控制
要做到保证用户行为可控,即保证本地计算机的各种软硬件资源不被非授权使用或被用于危害本系统或其它系统的安全。保证网络接入可控,即保证用户接入网络应严格受控,用户上网必须得到申请登记并许可。保证网络行为可控,即保证网络上的通信行为受到监视和控制,防止滥用资源、非法外联、网络攻击、非法访问和传播有害信息等恶意事件的发生。
(四)制定可行的应急对策
要制定应对可能的紧急情况下,使系统尽快恢复,减少损失的应急方案,除需要专业人员专业技术外,必要时可考虑双机异地备份数据,有相关应对情况下可聘请的高级专业技术人员等。更重要的是要做好平时的防范工作,保证对医院系统网络上的各类违规事件进行监控记录,确保日志记录的完整性,为安全事件稽查、取证提供依据。
综上所述,在医院信息网络系统的安全,实质就是保护应用系统和数据安全,主要是针对特定应用(如Web服务器、数据管理系统)所建立的安全防护措施,在维护工作中应充分重视网络系统和数据的安全问题,不断加大对医院信息安全的保障力度。
参考文献:
[1]赵锦.医院信息系统的安全防范[J].医疗卫生装备,2009,30:3
[2]杨德文.医院信息安全方案的设计与实现[J].中国医院统计,2006,13:3
