《医院信息系统安全制度(共12篇).docx》由会员分享,可在线阅读,更多相关《医院信息系统安全制度(共12篇).docx(37页珍藏版)》请在优知文库上搜索。
1、医院信息系统安全制度(共12篇)目录第一篇:医院信息系统安全事件管理制度2第二篇:医院信息系统安全保护制度6第三篇:医院信息安全等级保护制度7第四篇:医院信息系统安全管理制度10第五篇:医院信息安全管理制度12第六篇:医院信息安全等级保护制度17第七篇:医院信息安全检查制度20第八篇:医院信息安全管理制度21第九篇:医院信息安全管理制度27第十篇:医院信息安全管理制度28第十一篇:医院信息安全检查制度34第十二篇:医院信息安全管理制度35第一篇:医院信息系统安全事件管理制度(一)信息安全事件分类网络与信息安全事件一般可以分为攻击类、故障类和灾害类等,可能造成的后果是业务中断、系统宕机、网络瘫痪
2、、信息破坏等。根据专网的网络与信息安全事件的发生原因、性质和机理,网络与信息安全事件主要分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障和灾害性事件五类:1、有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。2、网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。3、信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。4、设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他
3、设备设施故障。5、灾害性事件是指自然灾害等其他突发事件导致的网络和信息系统故障。(二)信息安全事件分级根据信息安全事件的分级考虑要素,并结合当地的工作特点,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。1、特别重大事件,是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:全部或大部分主要信息系统瘫痪,造成本单位全部业务长时间无法正常进行;数据由于各种原因遭受特别严重损坏,导致核心数据无法恢复;对公众发布信息功能受到特别严重破坏,或者所发布信息被篡改,引起社会不良影响。2、重大事件,是指能够导致严重影响或破坏的信息安全事件,包括以下情况:核心业务信息系统遭受严
4、重的系统损失,导致业务工作在一段时间内无法正常进行;或核心业务信息系统的数据遭受严重损失,数据库需要作恢复备份操作。3、较大事件,是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:核心业务信息系统局部遭受较严重的系统损失,但不影响整体业务正常开展;核心业务数据局部遭到严重破坏,但不影响整体数据质量。4、一般事件,是指能够导致较小影响或破坏的信息安全事件,包括以下情况:业务系统运行维护过程中,出现的常见故障,能够及时恢复,损失在可控范围内,不会影响业务数据的完整性和正确性。(三)信息安全事件的通报突发事件具有突发性、不可预测性和紧急性,信息系统及运行环境遇突发事件时应及时通报,可通过IT
5、服务台、邮箱、电话、短信等通知形式,向突发事件领导小组及时通报,提高突发事件的预警管理水平。业务系统恢复正常后,*医院信息科负责通过IT服务台公告、手机短信等方式通知突发事件领导小组及相关业务部门。(四)信息安全事件的预防必须积极贯彻预防为主、严格管理的原则,评价事件发生的潜在因素和可能程度;组织制定和监督实施预防措施、操作规程或工作标准;配置必要资源;开展教育培训I、检查、考核和整改活动,控制或消除可能导致事件发生的各种因素。预防措施应下达至直接相关的层次和岗位。信息科应根据事件发生可能造成的危害、损失,组织制定不同级别的应急预案,并对应急预案的可靠性进行评价。应急预案应当受控和备案,并发放
6、至直接相关层次和岗位,保存相关记录。应急预案应定期进行演练和培训,必要时组织修订。(五)信息安全事件的应对1、事件发生时,*医院信息科应立即启动应急预案或采取有效措施,组织相关人员全力而有序地组织抢救抢修,防止事件扩大,消除各种危险,尽快恢复系统,将损失减到最低程度。2、相关人员应在事发或接到事发报告后尽快到达事发现场,开展事件处理工作。发生重大信息安全事件,在迅速进行应急处理或者请求其他力量支援进行应急处理的同时,尽可能保存好原始证据,保护好现场;如涉及违法犯罪的,还应当同时依法报告公安、安全等部门。3、在应急处理过程中,应当采取手工记录、截屏、文件备份和影像设备记录等多种手段,对应急处理的
7、步骤和结果进行详细记录。(六)信息安全事件的事后处理对于信息安全事件,在故障排除或采取必要措施后,信息科应做出事故评定报告,存档备案。必要时,可邀请托维护单位以外有能力的机构做出技术鉴定;信息科应在事后了解事件发生经过,收集相关资料,查明事件发生的原因、危害程度及造成的损失等情况,检查预防和控制事件发生的措施以及事件发生后应急预案是否得当并得到落实,确定事件的级别和性质,查明相关责任并提出处理建议,提出防止类似事件再次发生的措施和建议。(七)信息安全事件的整改信息科应在事件调查结束后迅速组织制定和下达事件整改措施,明确措施内容、完成期限和检查方式,并监督实施。在规定的期限内,完成相应的整改工作
8、,防止同类事件的再次发生。(八)事件备案事后应当及时登记存档备案,对事件发生原因,造成损失,处理方法,解决时间,最终结果等相关信息详细记录。并为相关问题处理提出方案,防止事件再次发生。第二篇:医院信息系统安全保护制度一、信息系统的建设和应用,应遵守医院行政法规、医院信息系统管理制度等。二、信息系统实行安全等级保护和用户使用权限划分。用户使用权限以及用户口令密码的划分、设置由信息部负责制定和实施。三、在信息系统设施附近进行维修、改变及其他活动,不得危害信息系统的安全。影响信息系统设施安全的作业,须事先通知信息部,经负责人同意,采取保护措施后,方可实施作业。四、信息系统的使用科室和个人,必须遵守信
9、息系统安全使用操作规程和制度,信息系统中发生的问题,科室负责人应向信息部报告。五、信息系统软件、设备、设施的安装、调试、排除故障、病毒防护等由信息部负责,科室或个人不得自行拆卸、安装任何软、硬件设施。六、所有内网计算机绝对禁止与国际联网或院外其他公共网络联接。七、医院中心机房应当符合国家标准和国家规定,关键业务用电脑(如护办、住院处、收费处等)须专机专用,不得用作其他用途。八、信息部不定期监督、检查、指导信息系统安全维护工作,发现影响信息安全系统的隐患时,立即采取各种有效措施予以制止。九、信息系统(大面积或者全部局域网电脑)或供电系统一旦出现故障,迅速启动应急预案。第三篇:医院信息安全等级保护
10、制度随着医院信息化的发展,医院在用数据库数量不断增多,数据量也飞速增长,数据库内部关系变得更加复杂,为保证医院数据库内部数据的完整性和严谨性,以及保证与财务报表的统一性,特制定本制度。1、医院信息数据是指在医院现有信息系统运行过程中产生的各类医嘱、药品、材料、价格、费用等信息的数字化表现形式。2、医院信息数据的安全性直接关系到医院决策和患者的利益,任何人在未经授权的情况下不得擅自改动和查询医院的信息数据。3、信息数据产生错误的原因主要有两种:系统升级、变更、数据库死锁、软件设计缺陷等系统原因引起的信息数据丢失、关联错误。对于以上原因引起的信息错误,经临床科室反映后,信息科人员及时做出调整和修改
11、,以保证信息系统的正常运行。人为的错记、漏记等原因引起的信息数据错误。对于以上原因引起的信息错误,经当事科室要求,确实需要修改数据,根据不同情况,按照以下规定进行修改:患者性质属于自费、参考医保:请当事科室护士或者医生(建议由经手人)来信息科办公室详细填写信息数据修改审批记录单,做好各项审批工作,并配合信息数据维护人员完成该项数据的修改工作。患者性质属于医保、新农合:在院病人参照所示规定进行修改;出院病人则按照医保、新农合政策的规定,经该病人所属辖管机构审批后方可进行修改,否则不予以修改,在取得审批同意书后再参照所示规定执行。如涉及跨月数据(所有病人),则必须先上报财务核算部,经过财务核算部审
12、核同意后,方可遵照、所示规定进行修改;修改完成后,信息科应对修改结果形成书面报告,经信息科主任签字确认后,再由当事科室将修改报告送至财务核算部,财务核算部收到报告后及时对该月报表进行调整。信息科信息管理部门每月出具数据修改报表,交由各管理部门,方便各管理部门对我院的信息系统运行情况进行监管。4、信息数据查询统计规定因单位内部工作以及迎接检查等情况的需要,确实需要查询(统计)数据的,信息科人员可由相关部门提交申请单后,由医学工程信息部主任、副主任签字确认后对相关信息数据进行查询、统计以及调整。公安、司法机关等公检法系统需查阅信息数据时,应出具采集证据的法定证明。保险公司在处理保险理赔时,需出具保
13、险公司的介绍信以及其身份证明,经医院医疗质量部或者行政事务部批准后,凭书面通知方可进行查询。病人本人及其近亲属可在医疗质量部批准同意后,查阅医院信息系统中病人的自然信息(病人的基本情况)、入院记录、体温单、医嘱检查、检验单、手术及麻醉记录、护理记录及出院记录、费用信息、医院核实的检查资料、特殊检查(治疗)同意书、手术同意书、病理报告,其他资料不可查阅。5、对我院需要公示的各部分数据,需要行政事务部批准,方可公示。6、信息科内部人员务必以身作则,严格遵守以上规定,保证各项数据的严谨性和准确性。第四篇:医院信息系统安全管理制度1、中心机房安全管理中心机房是医院信息系统的核心所在,服务器、中心交换机
14、等核心设备均放在此处,因此机房采用的是无人员流动、无尘的半封闭机房,温度设置在25左右,相对湿度为40%70%o机房电源采用市电双路备份供电制,一旦一路供电线路停电,另一路供电线路可在短时间内响应并提供供电,并配有20KV的UPS不间断电源,保证机房所有设备长时间的供电。安装防静电地板和防雷设备,机房门口以及走廊多处放置灭火器,安装了防盗门。每天对中心机房进行巡查,做好机房日志。UPS电源有专人定期进行维护。2、服务器的安全管理服务器是医院信息系统的核心设备,它的安全运行关系着整个系统的正常运行。我院采用的是双机热备份+磁盘阵列技术,双机热备份技术是软、硬件结合的高容错应用方案。它由两台服务器
15、系统和一个外接共享磁盘阵列柜组成,一旦主服务器发生故障,备用服务器将对系统资源进行接管,替代主服务器发挥作用,确保网络不间断运行。3、数据库的备份医院信息系统的数据一旦被破坏或者丢失,对医院的影响程度可想而知的。因此必须高度重视数据库的安全,对数据库及时进行备份,采用定时备份和实时备份相结合的方式。定时备份是在医院业务量相对较少的时段将数据库备份在本地磁盘;而实时备份是新增一台PC服务器作为异地容灾备份服务器,采用NetWork备份及恢复软件系统对数据库进行实时备份,并随时监控主从服务器的运行状况,一旦主、从服务器均不能正常工作,利用备份容灾软件系统的接管功能启动接管备份服务器,在不需要重启备
16、份服务器的情况下几十秒内接替主站运行,保证数据库数据的安全性和连续性,极大地提升信息系统的高可用性。4、网络病毒的防范病毒对系统运行危害极大,一定要严格管理,从各途径防止病毒入侵。由于我院内网需要通过移动医保专网与医保中心进行数据通讯,在病毒防范方面主要采取了以下几种措施:(1)除因业务需要连接外网的,其它计算机一律禁止上外网,并对这些计算机进行集中管理,专人负责。(2)安装网络防火墙,采用防火墙技术对所有进出数据进行过滤,以阻止病毒及其它恶意代码、木马程序通过网关进入医院的内部网络。(3)安装杀毒软件,对网络系统进行实时监控,防止计算机病毒入侵破坏网络,保证医院信息系统在无病毒状态下安全运行。及时升