前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇医院网络安全管理办法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
尊敬的领导:
2018年,xx严格按照集团公司“稳中提质、改革创新”总要求,围绕安全生产、经营管控、风险防控等工作重点,从信息化管控、系统建设、应用推广、运行维护等方面开展信息化工作,较好的发挥了信息系统在生产监控、过程管理和辅助决策方面的作用。现将主要工作情况汇报如下:
第一部分 信息化管控
一、信息化管理制度建设情况
公司共制定有《xx信息化管理办法》、《xx网络安全管理制度》、《xx计算机管理办法》、《xx软件正版化管理办法》、《xx办公自动化系统使用管理办法》、《xx应用系统数据管理办法》等有关规划、项目、基础设施、应用系统和运行维护的信息化管理制度18项,较好的指导和规范了公司信息化建设。
2018年重新修订完善了硬件资产管理办法、应用系统运维管理办法、信息化管理办法、微信、QQ群组管理办法、报废计算机和计算机耗材废旧污染物品管理办法、网络信息安全管理办法等6项信息化管理制度。
二、信息化资本支出计划情况
(一)2018年信息化资本支出计划完成情况。
按《xx关于下达2018年度资本支出计划(信息化专项)的通知》要求,严格监控审核各类信息化资本支出项目的执行情况,督导各单位资本支出计划按进度完成。2018年各类信息化计划资本支出费用为537.2万元,截至10月底,完成了346.43万元,预计11-12月份完成122.13万元,全年总计完成468.56万元,计划完成率为87.22%。
1、审核类项目
xx审核类项目共计8项,分别为工艺动画展示软件、SaaS门户网站防护软件、龙软地测空间信息管理系统、病案管理系统、生化检验血库管理软件、预防保健数字化门诊系统、远程控制软件、综合管理系统(二期)。
(1)综合管理系统(二期),合同额120万,2018年计划完成80万元,按合同约定,已完成第一阶段付款36万元,按照开发进度及合同约定,12月份将完成第二阶段付款36万元,完成了预算目标。
(2)山不拉煤矿龙软地测空间信息管理系统,预算金额为30万元,实际支出30万元,完成了预算目标。
(3)职工医院病案管理系统预算金额为15万元,计划12底前购置完成。
(4)职工医院生化检验血库管理软件预算金额4万元,实际支出4万元,完成了软件的购置。
(5)职工医院预防保健数字化门诊系统软件预算金额为8万元,实际支出为7.51万元,完成了系统软件的购置。
(6)特凿公司工艺动画展示软件预算金额为15万元,实际支出15万元,完成了软件的购置。
(7)特凿公司SaaS门户网站防护软件预算金额为8万元,计划12月底前购置完成。
(8)培训中心远程控制软件预算金额为2万元,计划12月底前购置完成。
2、备案类项目
备案类重点项目有3项,分别为笔记本电脑购置38台,24.58万元,台式机购置116台,74.89万元,打印机购置71台,23.43万元,合计占备案总预算的62.48%。
3、费用类项目
重点费用类项目有1项,为线路租赁费用,公司共有广域网专线9条,互联网线路13条,年租赁费用为87.64万元。
(二)2019年信息化资本支出计划情况。
1、基本情况。2019年各类信息化资本支出费用预计为1261.9419万元,其中审核类费用预计773.15万元,备案类费用预计320.78万元,费用类预计168.0119万元。
审核类中,BIM分中心建设项目318.55万元,BIM分中心配套机房及网络改造项目139.6万元,山不拉煤矿安全监控系统升级改造项目186万元(说明:地方政府要求在2018年底完成,专项请示在2018年增列计划,由于时间太紧,只能将计划在2019年列支)。
第二部分 信息系统建设应用
三、综合管理系统(二期)建设应用
(一) 建设目标:流程固化、数据共享、全程追溯。
(二) 建设原则:围绕资金、业务主导、横向到边、纵向到底。
(三) 保障措施:
1、成立了综合管理系统应用推进领导小组,公司主要领导亲自抓。明晰系统应用推进中的职责、责任到人。
2、定期不定期的召开项目协调例会,及时协调解决系统开发、应用过程中的各类问题。
3、全员培训。已开展用户培训12场次,培训用户2200余人次,涵盖公司领导、部门负责人、关键用户和业务人员。
4、日常指导。通过电话、QQ群、远程桌面、面对面交流等方式解答系统使用中的各类问题,平均日处理各类解答300余人次。
5、督导考核。从组织机构、用户培训、系统操作、数据质量四方面对各单位、各项目部已上线业务开展督导考核。通过督导考核来看,数据质量基本可靠。
(四)开发进度:
自7月份正式开发以来,完成了物资、技术质量、科技、安全、党建、市场开发、法律事务和监察审计业务的开发上线,完成了财务、人力、经营、机电业务部分功能(资金、税务、人事、薪酬、结算、分包、租赁等)的开发上线,完成了整体开发计划的80%。
(五)应用效果
1、用户可通过手机APP,企业微信处理系统业务。
2、用户日平均登录2000余人次,7日上线率为54.7%(系统注册用户数2558人)。
3、打通了从业务到财务的各个环节,财务核算与业务过程互相约束、互相校验,实现了业务过程可控、资金流向可控。
4、提高了工作效率、提升了管理水平。流程平均审批效率29小时,较之前的以周计算或以月计算,工作效率成倍提高。管理模式逐渐从结果导向转变为过程控制,建筑行业的粗放型管理得到明显改观。
四、云视频会议系统建设应用
云视频会议系统采用SaaS模式建设,省却了基础设施、网络安全、系统运维等方面的工作。
系统可以通过PC、手机、硬件终端召开会议。系统有三个会议室,一个100账号和两个25账号,一个账号在一台设备中使用,一台设备可以在实体会议室供多人参会。
系统上线以来,平均月召开云视频会议10余次,平均参会人数200余人/次,年节省差旅费、油费、会议费约120万元(按每项目部每次节省1000元计算,10x12x1000x10=1200000)。
系统的成功应用,不但提高了会议效率,降低了费用,还减少了路途中的安全风险。
五、BIM技术应用情况
在建设集团、集团公司的领导和统一部署下,xx有条不紊的开展了BIM系统的应用和推广工作。完成了与建设集团BIM云平台对接和公司BIM平台建设;完成了各专业族库的建立、施工工艺视频的制作及BIM5D平台学习与试用。截至目前,公司BIM平台已经具备了质量、安全和进度管理、匹配成本信息和施工进度模拟等功能,能够实现数据和信息的有效共享。
六、安全监控监测系统
按照国家煤矿安监局及内蒙古煤矿安监局相关文件要求,配合山不拉煤矿完成了瓦斯监控系统升级改造方案制定、预算编制和前期筹备工作,协调完成了专项费用计划增列的申报工作。
按照集团公司要求,配合山不拉煤矿完成了工业视频监控高清改造方案的调研、方案制定、预算编制工作。
完成了小回沟项目部瓦斯监控系统升级改造后的数据联网上传工作。
七、推进各应用系统的使用
(一)年度考核系统应用。开展考核系统的配置、值守等工作,协助人力资源部完成年度考核工作。
(二)OA系统应用。继续优化涉及办公、财务、经营、人力、机电等各方面各类电子签章审批工作流,指导各单位梳理建立使用OA签章审批工作流。截至目前,优化、修改工作流程50个,制作电子签章100余人次。
(三)视频会议系统的应用。截至目前,公司召开视频会议121次,参会人数12000多人次;召开云视频会议100余次,参会人数20000余人次。保障了会议精神实时、全面、有效的传达,节约了大量交通、住宿、会议等费用。
(四)安全培训系统的应用。协助公司职工教育培训中心开展特种作业人员和项目部安管人员的取证培训、岗位复训,使用系统进行培训、考核10场次,参培人员800余人次。
(五)推进集团公司ERP等系统的应用。定期跟踪各部门对集团财务、采购、库存、人力资源、合同管理、安全管理等系统的应用情况。定期收集相关部门对系统的使用意见和建议,督促系统实施进度和培训。
第三部分 基础设施建设应用
八、数据中心机房建设情况
公司数据中心机房建于2009年,安装有门禁、供电、UPS、制冷、新风、消防、监测等机房系统,其中UPS按照供电8小时设计,现由于电池组老化,仅能满足供电2小时。机房内有服务器14台,分别承载OA、综合项目管理、档案管理、安管培训模拟、视频会议、用友财务等使用中的应用系统;有存储设备1台,承担综合项目管理系统的数据存储任务;有核心交换机、IDS、防火墙、路由器、网络行为管理、VPN等网络设备14台,分别承载公司局域网和广域网的数据传输和网络安全任务。
九、广域网建设情况
公司广域网连接的单位有10处、31处、49处、特凿处、南阳坡分公司、内蒙古分公司、山不拉煤矿和两级集团公司。到南阳坡分公司和内蒙古分公司广域网带宽为2Mbps,到集团公司的广域网带宽为8Mbps,其余为4Mbps。广域网主要承载视频会议系统、ERP系统等需要专线连接的应用系统。
十、局域网建设情况
局域网采用星型拓扑,接入交换机到电脑终端为百兆带宽,接入交换机汇聚到核心交换机为千兆带宽。
公司局域网包括公司办公楼、培训中心和物业管理公司丛台基地,共有电脑终端200余台。电脑按楼层、部门划分为10个VLAN,起到疏导流量、隔离广播风暴和防止病毒大范围扩散的作用。
根据具体实际,对各单位机房和局域网的建设提出了最基本的标准,并指导各单位信息专业人员逐步完善。
十一、互联网建设
公司机关及各单位均有互联网接入线路。公司机关接入带宽为中国电信的50Mbps互联网专线,31处、49处、特凿公司和山不拉矿今年均变更为100Mbps,其他各单位互联网接入带宽为50Mbps。
十二、BIM分中心基础设施建设情况
配合建设集团完成了BIM中心建设总体方案的制定工作和xxBIM分中心建设方案的制定工作,围绕BIM分中心建设方案,结合公司机房及网络现状,制定了BIM分中心机房、网络配套设施改造方案。
第四部分 信息化运维
开展桌面运维,定期对用户计算机安装的软件进行维护,监督正版软件的使用。定期维护计算机硬件,保障计算机正常工作。
开展网络运维,定期检查网络设备的配置、日志,保障设备运行正常。定期对网络线路巡检,及时排除断网隐患。不定期开展用户网络排错培训,提高用户常见网络故障的自我解决能力。
开展应用系统运维,督促或组织制定应用系统管理办法,从系统用户、系统运行、系统安全等方面加强日常检查,保障各系统安全运行。
开展机房运维,严格执行每日巡检制度,明确了机房温度、湿度、供电等环境要素标准。加强运维人员操作系统、服务器组成等软硬件知识学习,每日必须登录服务器分析运行日志,及时发现问题、解决问题。
第五部分 信息安全
网络与信息安全方面管控主要从安全制度、安全技术、安全教育和安全评测等方面进行,力保信息的可信性、可用性和完整性。
安全制度方面。公司成立有保密与网络安全委员会,领导公司的网络安全工作。下发了《党委网络安全责任制实施细则》、《网络安全管理制度》、《信息安全岗位职责管理办法》等制度,明确了安全职责、任务、措施等内容,经常性的在用户中宣传网络安全的重用性、必要性,指导用户使用常用网络安全技术措施。
安全技术方面。遵照ISO七层网络模型,针对每层容易暴露的安全问题,采取有针对的防护措施。在网络边界部署了防火墙、入侵检测、上网行为管理等安全设备。在服务器区部署了防火墙,并在服务器中安装了杀毒软件和终端防护软件。在用户端按楼层划分了VLAN、IP地址和MAC地址进行了登记并绑定,用户计算机也安装了杀毒软件、软件防火墙。
安全教育方面。通过专题讲座、发放宣传资料、安全事件案例等多种形式开展信息安全知识普及工作,提高员工的安全防范意识,减少安全事件的发生。要求用户口令长度不小于8位,且必须由大写、小写字母与数字共同组成,并定期提醒用户更换密码,必要时强制更改密码。要求用户不得将账号密码转借他人。
安全评测方面。定期开展应用系统和基础网络自评,加强了计算机终端、局域网络、服务器主机、服务器操作系统、应用系统等安全制度、安全策略和安全行为管理,进一步提高了公司信息系统的安全水平。定期委托专业公司开展安全评测,按照评测整改报告及时完成整改。对新开发的应用系统,需通过安全测评后才允许验收。
第六部分 对外网站
制定了《xx门户网站管理办法》,明确了网站管理的权利、责任。
要求各单位对外网站需完成备案工作、安装政府网站防护软件、在国家重大活动期间强化安全监控,必要时关闭网站。
公司网站采用PaaS模式建设,采用的阿里云平台的专有云,并采购了安骑士云盾、WAF防火墙和态势感知安全服务,还安装了公安部网防G01 V3.0防护软件。专有云提供安全风险短信预警功能,能动态提醒操作系统、网站系统、恶意攻击等安全风险事件。
第七部分 存在的问题和不足
一、专业人才短缺。软件、网络、安全和数据库等方面相关专业人才短缺,制约了应用系统自主运维和开发。
二、系统集成难度大。系统种类多、功能重合多,系统间数据集成共享难度大,造成了业务和数据的割裂,形成了实际上的信息孤岛,有违信息化建设的初衷。建议能有系统建设和系统集成的顶层设计,形成标准规范。
第八部分 2019年重点工作
信息安全等级保护建设背景
信息安全等级保护制度是我们国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
2011年,原卫生部了《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)。针对医疗卫生行业的信息系统,原卫生部办公厅于2011年下发了《卫生行业信息安全等级保护工作的指导意见》(卫发办〔2011〕85号)要求三级甲等医院的核心业务信息系统信息安全等级保护定级不低于第三级,并且要求2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
医疗行业面临的主要风险
1.医疗行业特点
随着我国医疗卫生事业的迅速发展,医学科学的不断进步,医药卫生事业体制改革的逐步深入,医院生存和发展的外部环境和内部机制都发生了很大的变化。当今计算机信息和网络通信技术的深入发展为提高医院管理水平创造了良好的条件,医院信息化建设也因此逐渐在我国各级医院中迅猛发展。目前医疗行业信息化有如下特点:系统运行连续性要求高,要求7×24小时不间断服务;网络间断时间不允许超过2小时;信息高度集成,所有信息需要集中使用;异构系统多,系统复杂度高;系统间接口复杂,涉及厂家多;系统内存储资料价值较高,存储着医院大量运用数据,其中包含大量患者隐私;存储的数据内容本身具备法律效力;核心网络采用网络物理隔离。
2.信息系统的威胁来源
信息系统的威胁来源主要可以分为两个方面,一个是环境因素造成的威胁,另一个方面是人为因素造成的威胁,而人为因素所带来的损失往往是不可估量的。
在环境因素方面,威胁主要来自于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障。
在人员因素方面又可以分为有意和无意两种情况,对于有意而为之的人,通常指恶意造成破坏的人,怀不满情绪的或有预谋的内部人员对信息系统进行恶意破坏,采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。而外部人员也可以利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力。对于无意的情况来说,通常指管理人员没有意识到问题或者没有尽心尽责的工作。例如,内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。
3.信息系统负面影响
医院内部的信息系统如果受到威胁、入侵或被破坏等,会给国家、医院以及人民的利益带来严重的影响。
系统如果出现宕机的现象,首先会造成患者情绪激动,耽误治疗流程,甚至会威胁到患者生命的安危。其次会造成门诊业务人员、主治医生、护士等工作人员的工作慌乱,甚至成为情绪激动患者的放矢对象。门诊办主任、主管院领导、医院院长电话问询,信息中心则会电话不断、手忙脚乱。医院业务停顿,从经济上受损失,而媒体也会曝光医院,使得医院信誉受损。
如果医院信息系统的内部信息丢失,则会造成员工信息被公开、患者信息泄露等风险。例如,据《劳动报》报道,一名负责开发、维护市卫生局出生系统数据库的技术部经理利用工作之便,在2011年至2012年4月期间,每月两次非法进入该院数据库,偷偷下载新生儿出生信息并进行贩卖,累计达到了10万条,给医疗卫生行业带来了严重的负面影响。
信息安全等级保护建设体系
由于医院信息系统复杂的特点、面临的威胁及产生负面影响的严重性,医院开展信息安全等级保护建设工作就尤为重要,急需一套适合医院的等级保护安全防御体系。
信息安全等级保护体系主要包括技术与管理两方面,在安全技术方面包括:物理安全、网络安全、主机安全、应用安全、数据安全;在安全管理方面包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。这10个方面里每一项都有若干控制项,顺利通过测评至少要达到控制项的80%以上(表1)。
如表1所示,控制项中G表示基本要求类,三级必须达到G3标准;S表示业务信息安全类,A表示系统服务保证类,三级标准中S与A任选一项达到三级即可。
根据信息安全等级保护标准,我院主要建设经验如下:
1.信息安全技术
(1)物理安全:数据中心机房是物理安全的核心,机房的装修工程、动力配电系统、空调新风系统、消防系统、综合布线系统等均需按照A级机房标准进行建设。此外,日常的管理工作也尤为重要,在物理权限控制方面应配备门禁系统,并且应做到两种或两种以上的身份识别机制,如指纹加密码或IC卡加密码等。环境监控方面除了每天定时的人员巡检还应在机房及各设备间部署监控系统,利用传感器监控温湿度、漏水、电压、设备状态等信息,一旦发生异常通过短信及时告知机房管理人员。
(2)网络安全:按照等级保护思路进行安全域的划分,将不同级别的信息系统通过防火墙和网闸进行隔离,根据每个安全域的特点设定不同的安全策略。服务器安全域制定细粒度访问控制列表,仅开放必要的端口,并在旁路架设网络流量审计设备和入侵检测系统,对所有流量进行记录及审计,能够及时发现攻击行为;客户端安全域制定网络准入和非法外联策略,禁止未经授权的计算机随意接入医院网络,并且通过管理软件和网闸控制内网的计算机随意访问外网或互联网;架设安全管理域,该区域主要用于对网络设备、服务器、安全设备的管理,并集中收集设备的日志,及时通过分析日志发现安全隐患。
(3)安全:服务器进行统一安全策略的制定,部署网络版杀毒系统、补丁分发系统、入侵防范系统等,并结合服务器承载的业务特点制定详细的资源控制列表,按照最小授权原则,授予最低资源访问权限。
(4)应用安全:部署数据库审计系统,对所有流经数据库的网络流量进行数据分析,制定审计策略,发生违规数据操作及时通过短信报给安全审计人员;同时部署CA数字签名系统,医生通过USBKEY进行系统登录,并对其所有操作进行数字签名,有效保证了应用系统的安全性及数据的不可抵赖性。
(5)数据安全:利用专业的数据备份软件在异地部署数据备份中心,对各系统数据库和文件继续高频率集中加密备份,并且应至少六个月进行一次数据还原演练,保证在出现问题是可以有效进行恢复。
2.信息安全管理
(1)安全管理制度:从医院层面制定信息安全管理制度,对信息安全制度进行重新整理修改,规定信息安全的各方面应遵守的原则、方法和指导策略,指定具体管理规定、处罚措施。制度应具备可操作性,同时应由专人负责随时进行修正,并由信息安全领导小组进行评审,最终进行。
(2)安全管理机构:组织建立信息安全工作领导小组,设置信息安全管理岗位,设立独立的系统管理员、网络管理员、安全管理员、安全审计员等岗位,制定各岗位的工作职责,与各岗位相关人员签署保密协议。同时制定沟通协作机制,内部定期组织会议进行信息安全工作部署,外部每日向公安局上报备案信息系统的安全情况,与数据库、存储、网络设备、安全设备等厂商签署协议,提供所有设备的备机备件,每月进行设备巡检,并要求在发生紧急事件时及时到场提供技术支持。
(3)人员安全管理:在人员录用方面,严格审查人员的背景、身份,并签署保密协议,人员离岗时执行离岗流程,各部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理离职手续。同时定期对人员进行相关培训,每周进行一次内部培训,每年进行两次外部培训。对于外部厂商人员,其对设备的相关操作均需进行审批流程,并通过技术手段记录所有操作行为,做好操作记录,并不定期进行行为审计。
关键词:信息安全;等级保护;技术方案
中图分类号:TP393.092
随着采供血业务对信息系统的依赖程度越来越高,信息安全问题日益突现,各采供血机构对信息安全保障工作给予了高度重视,各方面的信息安全保障工作都在逐步推进。《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)指出[1],依据国家信息安全等级保护制度,遵循相关标准规范,全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急能力,做好信息安全等级保护工作,对于促进采供血机构信息化发展,维护公共利益、社会秩序和国家安全具有重要意义。
1 信息安全等级保护概述
1994年国务院147号令《中华人民共和国计算机信息系统保护条例》,规定我国实行“计算机信息安全等级保护制度”[2]。根据147号令的要求,公安部制定了《计算机信息等级划分标准》(GB17859-1999以下简称GB17859),该标准是我国最早的信息安全等级标准。
当前实施的信息安全等级保护制度是由公安部等四部委联合发文《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)及《信息安全等级保护管理办法》(公通字[2007]43号),文件明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划,为信息安全工作提供了规范保障。这些信息安全的有关政策法规主要是从管理角度划分安全等级的要求。
2006年,国家信息安全技术标准化技术委员会以GB17859为基本依据,提出并制定了一系列信息安全国家标准(GB/T20269-2006《信息安全技术 信息系统安全管理要求》等)。这一系列规范性文件体现了从技术角度划分信息安全等级的要求,主要以信息安全的基本要素为单位,对实现不同安全要求的安全技术和机制提出不同的要求。本文主要讨论以GB17859为依据从技术角度探讨信息安全等级保护技术在采供血机构中的实践。
2 等级保护技术方案
信息安全等级保护制度明确了信息安全防护方案,要求确保信息系统安全稳定运行,确保信息内容安全。保证业务数据在生成、存储、传输和使用过程中的安全,重要业务操作行为可审计,保证应用系统可抵御黑客、恶意代码、病毒等造成的攻击与破坏,防范恶意人员对信息系统资源的非法、非授权访问。
2.1 实现要求。三级安全应用平台安全计算环境的安全目标是保护计算环境的终端、重要服务器、乃至上层的应用安全和数据安全,并对入侵事件进行检测/发现、防范/阻止和审计/追查。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络、安全管理中心及四个部分,形成“一个中心”三重保障体系[3]。
图1 三级安全应用平台TCB模型
2.2 安全计算机环境。安全计算机环境是由安全局域通信网络连接的各个安全的计算资源所组成的计算环境,其工作方式包括客户/服务器模式;主机/终端模式;服务器/工作站模式。
2.3 安全区域边界。是安全计算环境通过安全通信网络与外部连接的所有接口的总和,包括防火墙、防病毒网关及入侵检测等共同实现。
2.4 安全通信网络。实现信息系统中各个安全计算机环境之间互相连接的重要设施。包括安全性检测、安全审计病毒防杀、备份与故障恢复以及应急计划与应急反应。
2.5 安全管理中心。针对安全计算机环境、安全区域边界和安全通信网络三个部分的安全机制的集中管理设施。针对安全审计网络管理、防病毒等技术的安全集中管理。
3 采供血机构信息系统等级保护建设
3.1 定级。采供血机构为地市级公益卫生事业单位,信息管理系统受到破坏会严重损害社会秩序,采供血业务停滞会严重损害公共利益,信息泄露则会严重影响公众利益,按信息系统安全等级保护定级指南,确定采供血信息系统安全保护等级为第三级。
3.2 系统分析。采供血信息系统覆盖采供血业务和相关服务过程,包括献血者档案、血液采集、制备、检验和发放等信息记录必须妥善保存并保持可溯性。艾滋病疫情信息根据国家相关法律法规的要求,必须防止泄露,以免产生对国家安全及社会稳定的负面影响。
信息系统核心由两台双机热备服务器、磁盘阵列柜组成,采用硬件VPN、硬件防火墙作为网络安全设备。应用VPN技术将远离采供血机构本部的献血屋、移动采血车及医院输血科使用的业务计算机与站内的服务器联网。
3.3 等级保护建设。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络和安全管理中心四部分。构建“一个中心”管理下的“三重保障体系”,实现拓朴图如下:
图2 采供血机构拓扑图
3.3.1 安全计算环境。系统层主要进行身份认证及用户管理、访问控制、安全审计、审恶意代码防范,补丁升级及系统安全性检测分析。安全计算环境主要依靠在用户终端或是服务器中充分挖掘完善现有windows/Linux操作系统本身固有的安全特性来保证其安全性。在应用系统实现身份鉴别、访问控制、安全审计等安全机制。
3.3.2 安全区域边界。在网络边界处以网关模式部署深信服下一代防火墙AF-1320,电信及联通两条线路都接入其中,达到以下防护目的:(1)区域边界访问控制:逻辑隔离数据、透明并严格进行服务控制,隔离本单位网络和互联网,成为网络之间的边界屏障,单位内部电脑上网,实施相应访问控制策略,设置自主和强制访问控制机制;(2)区域边界包过滤:通过检查数据包源地址、过滤与状态检测提供静态的包过滤和动态包过滤功能;(3)区域边界安全审计:由内置数据中心和独立数据中心记录各类详细事件,并产生统计报表。还可根据管理者定义的风险行为特征自动挖掘并输出风险行为智能报表;(4)完整性保护:保护计算机网络免受非授权人员的骚扰与黑客的入侵,过滤所有内部网和外部网之间的信息交换。该防火墙具有IPS入侵防护,防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;具有网络应用层防护,识别及清杀恶意代码功能。
3.3.3 安全通信网络。当用户跨区域访问时,根据三级标准要求,需要进行数据传输保护。通过部署VPN安全设备构建安全隧道,实施机密性和完整性保护,实现对应用数据的网络传输保护。(1)本单位用采两台深信服VPN网关为跨区域边界的通信双方建立安全的通道。一台为IPsec VPN用于连接采供血机构的分支机构如大型献血屋,另一台为SSL VPN用于小型捐血屋、流动采血车、各医院与采供血机构的数据通信。VPN设备可为采供血机构内部网络与外部网络间信息的安全传输提供加密、身份鉴别、完整性保护及控制等安全机制。另外,VPN安全网关中设计了审计功能来记录、存储和分析安全事件,可为安全管理员提供有关追踪安全事件和入侵行为的有效证据;(2)在防火墙下端部署华为S5700系列三层核心交换机,并在网络中划分VLAN,设置部门应用终端的访问权限,规定哪些部门可以访问哪些服务器等以减少网络中的广播风暴,提高网络效率;(3)在行政办公区域利用深信服上网行为管理(Sinfor-M5000-AC)有效管理与利用互联网资源,合理封堵非业务网络应用。
3.3.4 安全管理中心。信息安全等级保护三级的信息系统,应建立安全管理中心,主要用于监视和记录信息系统中比较重要的服务器、网络设备等环节,以及所有应用系统和主要用户的安全状况。本单位目前安全管理中心由两部分组成,配置赛门铁克赛门铁克SEP12.1,采用分布式的体系结构部署了防病毒系统中心、防病毒服务器端、防病毒客户端、防病毒管理员控制台。防病毒软件与防火墙、VPN及上网行为管理协同完成通信线路、主机、网络设备、应用软件的运行等监测和报警,并形成相关报表。对设备状态、恶意代码、补丁升级及安全审计等相关事项进行集中管理。
4 结束语
按照等级保护的相关规范和技术要求,结合采供血机构具体网络和系统应用,设计三级信息安全等级保护方案并建设,保证采供血机构网络的安全、稳定、通畅,保障了整个采供血业务的正常运转,更好地服务于广大患者。
参考文献:
[1]网神信息技术(北京)股份有限公司[J].信息网络安全,2012(10):28.
[2]郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013(01):206.
[3]胡志昂,范红.信息系统等级保护安全建设技术方案设计实现与应用[M].北京:电子工业出版社,2011:98-104.
刚才各位专家的精彩演讲给我们许多启迪,未来信息化将给我们工作和生活带来巨大变化。吴市长将从战略和全局的高度对我市信息化工作提出要求。按照会议安排,我先就我市信息化工作讲几点具体意见。
一、我市信息化建设呈现良好的发展态势
(一)初步理顺了管理体制,制度和人才队伍建设取得初步成效。
长期以来,由于观念、体制、历史等多方面原因,我市的信息化工作存在着多头管理、统筹规划不足、重复建设严重、信息孤岛大量存、资源共享程度低等问题。为了解决这些突出问题,促进信息化工作的良性发展,年底,市委、市政府决定,专门成立了市信息化工作办公室,具体负责全市信息化工作的统筹管理。
为了规范全市信息化工作的管理,市政府先后制定了《市信息化“十二五“专项规划》、《网上听证管理办法》、《12345市民热线管理暂行办法》、《市信息化专家咨询委员会管理暂行办法》、《信息化建设项目管理审核暂行办法》等信息化工作的规范性文件,为我市信息化工作的科学化、规范化、制度化、奠定了基础。
坚持“请进来“与“走出去“相结合的方式,加强信息技术和管理人才队伍的锻炼和培训;初步组建了一支由省内外知名专家学者和本地优秀信息技术人才组成的信息化专家咨询队伍,为我市信息化工作的科学决策、项目实施提供了智力和人才支持。
(二)搭建了“两网一站“的信息化框架,为各项应用系统建设提供了基础平台。
党政网(电子政务内网)经过8年的不断发展、壮大,形成了覆盖市、县、乡镇及市、区县级部门、企事业单位的宽带网络。
电子政务外网平台经过两期建设,完成了与省电子政务外网的对接,接入了市级部门81个、区县10个,划分40多个单独虚拟专网,为我市开展电子化业务延伸、搭建商务平台提供了网络平台,有效降低了网络运行成本。
市政府门户网站(市公众网)是市政府信息公开、便民服务、政民互动的门户,自年底开通以来,整合了70多个部门、企事业单位、10个区县政府信息资源,网站的信息量和信息内容日益丰富,功能不断完善,年被评为全国地级市优秀政府门户网站。
(三)信息化的领域不断拓宽。
教育信息化成效明显,计算机辅助教育蓬勃开展,优质教育资源初步实现共享;医疗卫生领域实现了医院信息化管理、城镇职工基本医疗保险网络化管理;金融系统实现银行卡跨行联网通用,实现了电子汇兑计算机联网和票据清算自动化;税务部门在税收管理、税收会计的核算、稽查、发票管理、与银行进行数据交换等方面实现了计算机管理;公安、审计、人事、海关、财政、社保等系统信息化建设也取得很大进展,先后建成了西南人才网、科技信息网、农经网、教育信息网等专业网络。党政公文网上交换系统、政府部门电子邮件系统、政府网上采购系统、网上招商系统、政务信息交换系统、人大建议政协提案网上办理系统、空间地理数据共享平台等应用系统已经建成或正式启动;完成了“数字“工程中的示范系统建设。特别值得一提的是,“12345市民热线“、“网上听证“、“市民议政“等网上互动栏目建设取得明显成效。据统计,“12345市民热线“今年年初开通以来,共受理群众和基层单位有效信件15000余件,办理回复信件14000余件,总办结率达到96.5%,得到了广大市民的认可和支持,有力推进了决策和管理的民主化、科学化、法制化。
二、我市信息化工作存在的主要问题
近年来,我市信息化工作虽然取得了一些成绩,但我们要清醒地认识到我们存在的差距和不足:
一是全市上下对信息化工作重视程度不够,全民信息化意识和全市信息化水与时展的要求有相当大的差距。
二是信息化管理体制还需要进一步完善,条块分割、各自为政、重复建设、低效运营、资源分散、“信息孤岛“等突出问题没有得到根本解决。
三是信息产业发展相对滞后。信息制造业品种较少,科技含量不高;软件开发业薄弱;信息服务业基本没起步;信息技术的研发和推广应用还没有形成大气候。特别是一些干部认为没有发展信息产业的基础和优势,这种思想观念严重制约了我市以信息产业为引导的产业结构升级。
四是信息安全存在隐患。在网络和网站安全硬件和软件上,特别是信息安全管理上还有较大的差距。
五是投入机制还有缺陷。信息化建设资金投入跟不上发展的需要,政府引导、市场运作、多元化投资机制尚未形成。
三、坚定信心,加快发展,强力推进经济社会信息化进程
党的十七大为信息化发展指明了方向,我们要坚决贯彻和落实科学发展观,顺应社会发展的历史潮流,把信息化建设各项工作作为刚性任务抓好落实。
(一)进一步理顺信息化管理体制。全市信息化工作在市委、市政府和市信息化工作领导小组领导下,由市信息办具体负责统筹。在体制调整的过程中,各部门必须顾全大局,割舍部门利益,服从统一安排。
(二)进一步完善基础设施建设。
一是要紧密跟踪新的信息技术发展和应用,适时实施通信基础网络的更新改造和升级换代,完善政务网络平台。建成具有高速率、智能化、综合性、广覆盖、出口流畅的城域网络通信平台,使网络平台能有效支持电子政务、电子商务、应急联动指挥、高清晰视频电视会议等应用和多终端、全网络接入。加强网络设备配置,提高网络安全性和可靠性。在确保网络安全的前提下,要充分利用各通信运营商已经建成的网络。在投入方面,原则上今后凡是市本级公共网络建设由市级财政按照统一规划集中投入建设,凡是不符合统一规划的条条系统和部门网络市财政不予支持;区县参照这种办法处理。
二是完善基础数据库建设。加快数据管理中心、自然资源与空间数据库、法人单位基础信息数据库、人口基础信息数据库、党政信息资源库、宏观经济社会发展数据库建设,为“数字“各项信息系统建设提供统一的数据支撑平台。对已经建设的各类数据库,要在现有技术的条件下实现数据共享,任何部门不得以任何理由抵制。凡是新建设的数据库,一律统一在数据中心扩展,市财政对今后自行建设的数据库一律不予支持。要通过数据共享,为全面实行网上行政许可和行政审批奠定基础。要加快建设容灾备份系统。
(三)全面推进电子政务建设工作
要把电子政务工作作为整个信息化工作的突破口,带动信息化的全面发展。重点抓好以下几方面的工作。
一是加大资源整合力度。先期是做好全市市级财政供养网站的整合工作,要运用先进的网站集群管理模式,整合现有部门网站,建设统一的政府门户网站。市委、市政府已决定,以后市级财政供养网站中除极少数业务需要并经批准的外,都要整合归并到市政府门户网站,市财政将不再单独安排经费,请市信息办和市财政局共同把好这个关。网络的整合按照国家和省上的统一安排部署逐步推进。各部门各单位要站在全局的高度,积极配合,打破部门利益格局,消除信息孤岛,真正实现互联互通和资源共享。
二是强力推进全市政府系统公文无纸化办理及传输平台建设。此项工作涉及我市的所有部门和10个区县政府及部门,希望各级政府和部门积极支持配合,特别是各级领导干部要带好头,下大力气推进。要通过应用现代办公手段促进管理理念的创新和工作效能的提高。市政府办公室和市信息办在制订建设方案时,要把这个系统的科学性、先进性、合理性和规范性有机结合,同时要把全市电子政务系统建设统筹考虑。
三是认真做好政府信息公开工作。要按照国务院、省政府的要求,严格按《政府信息公开指南》、《政府信息公开目录》规范政府信息公开工作,确保《中华人民共和国政府信息公开条例》的全面、正确、有效施行。此项工作任务重、时间紧,各区县、各部门主要领导要亲自过问,大力协调和支持,安排专门的人员把政府信息公开有关工作抓紧、抓好。同时要做到有人管、有人做,做到机构落实、人员落实、责任落实、经费落实。
四是继续加强“12345市民热线“办理工作。当前市民热线办理工作存在的主要问题是:少数单位主要领导重视不够,办理中推诿扯皮、敷衍塞责、走过场等现象还不少,比较集中的是城市管理、违章建筑、噪声污染、西区卫生等问题。各区县、各部门都要认真办理批转的每一封信,努力多为市民群众办实事。今年是市民热线开通的第一年,对办理工作的考核要严格逗硬,对办理成绩突出的要重奖,对长期办理不落实的要严惩。
五是抓好应急管理系统建设。目前技术设计方案正在加紧制作,待经有关专家评审通过,并经市委、市政府批准后,加快推进。各区县、各应急管理建设部门要组织本地区、本部门积极投入到应急信息系统建设的准备工作中来,要抓好应急信息系统基础数据清理、收集、整理,进一步完善应急预案,配合做好相关工作。
(四)加快电子商务建设
积极探索利用现有资源,运用市场化运作模式,加快电子商务发展。一是要积极思考怎样利用现有的网络资源,搭建我市统一的电子商务平台,探索市场化的电子商务运营模式和发展模式;二是要尽快建立电子商务门户网站,及时、更新商务信息,促进招商引资工作的开展,并作为网上交易的统一窗口;三是与各大金融机构积极协调资金结算问题,积极推动我市电子商务网的形成,带动企业信息化发展;四是建立企业诚信管理机制,促进电子商务健康快速有序发展。
(五)深入推进农村信息化建设
农村信息化建设是最薄弱而需求又是最大的信息化领域,推进农村信息化建设是统筹城乡发展和建设社会主义新农村的重要依托和重要内容。目前我市农村信息化建设已经开始试点,当前要重点抓好以下工作:一是各级领导干部要深入调查研究,找准信息化新农村建设示范点,按照“先试点,再推开“的工作思路,认真做好农村信息化建设试点示范工作的前期调查工作;二是夯实硬件基础,加强信息化网络设施建设,努力提升示范点网络覆盖面和网络质量,解决“最后一公里“问题,最终实现“村村通电话,乡乡能上网,信息入万家“。三是各级政府和部门要加大对农村信息化的投入和技术支持,解决农村“用不起“和“用不来“的问题,把“支农“、“惠农“政策通过信息化建设切实体现好;四是加强信息整合,建立统一的农村信息数据指标体系、信息采集指标体系,增强信息的互通性、共享性和公用性,为农村提供最丰富、便捷的信息服务;五是健全保障体系,确保农村信息化建设快速持续发展,加强服务体系、技术队伍的建设,通过“政府扶持、多元参与、市场推动“等模式,保障发展资金的投入。
(六)加强信息化人才队伍建设
我认为,信息化人才队伍建设至少应该包括管理人才队伍、技术人才队伍、经营人才队伍这三支队伍建设。目前,我市的实际状况是,无论哪支队伍都明显与信息化发展要求不相适应。解决信息化人才问题,要多渠道想办法。一是尽快成立本地区的信息化协会或专家咨询委员会,把分布在各部门、企事业单位、社会各界的信息化人才组织起来形成合力,服务本地区和本部门的信息化建设,壮大信息化人才队伍,解决人员紧缺问题,我市市一级已经成立了专家咨询委员会、计算机学会等组织,在信息化建设项目咨询上发挥出了很好的作用,值得大家学习借鉴;二是积极争取上级业务部门的技术支持,弥补人才技术实力不足;三是在编制许可的前提下提倡面向社会公开招考信息化人才;四是要有计划地加强人才培训,信息技术发展日新月异,学习和培训要作为经常性的工作。
(七)切实抓好信息安全工作
随着信息网络技术的广泛运用和深入发展,信息安全越来越成为一个战略性的课题。我们要严格按照信息安全的管理规定,把这项工作摆在突出的位置来抓。一是各级领导干部要充分认识到我市信息安全防范体系还没有建成这一严峻形势,切实提高安全防范意识,加大对信息安全设备和软件的投入,完善安全防范体系;二是要结合信息资源的整合,尽量建设统一的安全防范体系,降低成本,提高效果;三是要建立健全网络信息管理制度,层层审核,严格把关,防止失泄密事件的发生;四是要制订和完善信息安全应急预案,及时、有效处置信息安全事故;五是加强经常性的检查、督查工作,及时发现安全管理上的漏洞,切实加以解决。
[关键词]医院工作;医疗设备;管理问题;现状分析;应对措施
[DOI]10.13939/ki.zgsc.2017.09.181
对于医院工作而言,医疗设备的质量以及数量均是医院发展现代化的标志之一,更是医院工作顺利开展的基础。另外,为了满足医疗工作需求,医院不断引进更为先进的技术设备。想要保证医疗设备的有效使用,延长设备使用寿命,必须做好设备的管理工作。但是,当前医疗设备管理工作仍旧存在诸多的问题(管理制度不完善、管理人员观念意R较差等),严重影响医院工作的执行情况以及长远的发展,规范医院医疗设备管理工作是当前医院管理人员重点工作之一。
1 医院医疗设备管理的问题
具体分析医疗设备管理问题,主要表现在四个方面:管理人员本身观念上的局限性、管理体制的不健全、管理手段的落后、会计核算工作的不规范。下面就医疗设备管理问题进行逐一说明。
1.1 管理人员观念上的局限性
在进行医院资产管理工作中,很多人员对于现代化管理的理念均没有形成健全的认识,而这一问题成为影响资产管理工作的障碍。管理人员一般都秉持着传统的管理模式,即对于所需要的设备或者损坏的设备购买即可,不需要在经营方面有过多的关注。最终,导致很多医疗设备出现了闲置或者重复购置的问题,设备管理人员也没有明确的岗位职责,一旦出现问题相互之间推诿的情况明显,影响设备管理工作的有效执行。
1.2 管理体制不完善
分析医院医疗设备管理工作,体制不完善问题表现明显,例如管理机构设置不合理、工作人员职责划分不明确等,所以在医疗设备管理中经常出现使用权、所有权概念模糊以及多头管理交叉的现象。另外,医院中相关部门之间没有进行及时的沟通,导致医疗设备购买的重复性问题,这些问题都集中反映了财务管理部门在医院资产管理上的缺失。就医院中的财务部门而言,存在着工作人员少、业务量大等问题,所以管理上的不足问题突出,也经常出现医疗设备不合理使用或者医疗设备报废不按照规程执行的情况。
1.3 设备管理手段落后
从医院医疗设备的管理现状来看,管理方法上较为落后且缺乏科学性,这些问题都影响到医疗设备管理工作的有效开展。另外,医院中的医疗设备增减问题并未完全遵循资产账进行登记处理以及核算,部分转让或者捐赠的医疗设备也没有办理明确的登记手续,一旦进行资产核查就引发了账实不符、资料不完善的情况。同时,在进行设备管理时手段依旧沿袭手工记账的方法,虽然部分医院进行了计算机管理,但是缺乏统一的管理软件,无法实现数据网络化、共享化。
1.4 会计核算不规范
当前,主要遵循的会计核算原则是历史成本原则,虽然进行了累计折旧,但是在账面情况来看,依旧显现的是设备原则,无法准确且醒目地反映设备的当前价值,所以在对医疗设备进行资产评估时出现了家底不清的情况。在很多地方,受到医疗市场以及技术水平等方面因素的影响,导致设备的运动成本远远超出收益的情况,但是会计账面并未进行明确的反映,所以导致决算工作缺乏依据的问题。另外,在进行医疗设备清查时,受到工作人员人为因素的影响,在进行设备盘查时责任心不强、账务处理不规范,使得部分医疗设备并未进行监督与核算,造成了明显的资产流失。
2 医院医疗设备管理的应对策略
针对当前医疗设备管理工作中的不足,需要从管理人员自身、管理制度等方面加以规范和完善,为医院工作的顺利开展奠定基础,下面就具体医疗设备管理对策进行逐一分析。
2.1 完善医院医疗设备管理制度
想要保证医院设备管理工作的有效开展,制度是一切行为开展的准则。就医疗设备管理现状进行分析,资产管理疏失最为明显的表现就是缺乏有效的管理制度。医院需要结合自身工作开展的实际情况,制定《固定资产管理办法》,在办法中明确资产对应管理的部门以及对应的管理人员,对设备的更新以及维护进行时间上以及资格购置计划要求。借助单项设备的成本核算,对设备的经济以及社会效益进行统计,了解设备报废的可行性,避免出现医疗设备资源浪费的问题。
2.2 实施管理责任制
既往设备管理工作中,之所以管理工作执行不到位,很大的原因是管理人员不明确。所以,在进行医疗设备日常监督以及管理工作中,要安排专门的科室以及固定的人员,科室内成员在划分工作责任制的基础上负责设备的购置以及维修保养工作,并做好记录。另外,医院的财务部分、管理部门、设备使用部门均需要建立设备资产总账以及登记工作,随时完善设备的增减记录以及使用情况。在设备报废处置方面,不但要进行科学的评估,还要逐层进行审批,根据上级的批复对相关部分的资产账进行核销,规避不实账目问题。
2.3 实现设备管理信息化
当前,医院设备管理工作必须实现现代化管理需要,所以转变设备管理手段从粗放型向精细化转变是现实需求。设备管理工作中必须引进计算机管理手段,对于设备的信息、种类、生产批号、厂家、责任人等均可以进行二维码管理,并落实各方的责任关系。另外,综合多个系统以及会计核算系统构建网络数据库,确保设备信息网络管理的实现,使得资产管理以及账目处理一体化,最终保证医院工作中的每一个部分都能够进行数据共享,工作过程的透明化不但方便大家监督,更能够及时发现问题并加以处理,提高医疗设备管理工作的效率。
2.4 强化管理人员业务水平
医院医疗设备管理工作的开展情况,很大程度上取决于管理人员自身,所以对于管理人员的专业水平、业务水平、责任心意识等方面都提出了严格的要求。随着医院工作的开展,为了满足患者疾病治疗需求,医院新增了很多的医疗设备,且设备的技术含量越来越高,所以对于资产管理人员提出的要求更高,要求设备管理人员必须具备较强的综合素质以及管理能力。医院中就t疗设备管理工作的需求情况,推广手册宣传、开办讲座、外派学习等方式进行管理人员的培训教育,目的在于提高管理人员的责任意识、综合管理能力,另外设立了明确的岗位职责以及奖惩制度,保证每一位管理人员都能够按照规章制度开展工作。同时,通过设备维修保养工作的学习,使得设备管理人员变得更为专业,更会管理,更符合设备管理需求。
3 结 论
综合本文内容,对于医院来说医疗设备管理工作执行的好坏,将直接决定医院工作的运行情况以及医院的长期发展、经济效益,但是医疗设备管理工作是长期且艰巨的工作,医院管理人员必须加以重视。但是设备管理中出现了明显的制度不全、工作人员管理理念意识不强、管理手段落后等问题,在现行资产管理体制下,需要不断结合医疗设备管理工作的开展情况,创建新型管理模式,进行管理人员能力以及责任心等方面的培训,进行工作责任制的落实,实现医疗设备的经济效益以及医院社会效益。
参考文献:
[1]肖斐,陈鹏.医院医疗设备管理存在的问题剖析及对策[J].财经界,2015(24):133.
[2]陈畅.医院医疗设备购置流程规范化管理问题探讨[J].中国保健营养:上旬刊,2014,24(7):4561-4562.
[3]庞娜,单率.医院医疗设备管理问题及对策研究[J].河南科技,2013(22):244.
[4]卢伟俊.医院内部医疗设备维修管理问题与处置建议研究[J].中国设备工程,2016(12):16,18.
[5]黄炳梅.浅析医院医疗设备管理存在的问题及对策[J].医疗卫生装备,2005,26(5):36-37.