人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告

人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告PAGE1-ⅩⅩ縣第二人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告接到《ⅩⅩ縣衛(wèi)生局辦公室關(guān)于印發(fā)ⅩⅩ年重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動工作方案的通知》后，我院領(lǐng)導(dǎo)高度重視，立即召開相關(guān)科室負(fù)責(zé)人會議，深入學(xué)習(xí)和認(rèn)真貫徹落實文件精神，充分認(rèn)識到開展網(wǎng)絡(luò)與信息安全自查工作的重要性和必要性，對自查工作做了詳細(xì)部署，由主管院長負(fù)責(zé)安排、協(xié)調(diào)相關(guān)檢查部門、監(jiān)督檢查項目，由信息部門負(fù)責(zé)具體檢查和自查工作，并就自查中發(fā)現(xiàn)的問題認(rèn)真做好相關(guān)記錄，及時整改完善。長期以來，我院在信息化建設(shè)過程中，一直非常重視網(wǎng)絡(luò)與信息安全工作，并采取先進的安全管理規(guī)范、有效的安全管理措施。醫(yī)院成立了網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組，在組長石云生同志的領(lǐng)導(dǎo)下，制定計劃，明確責(zé)任，具體落實，對醫(yī)院HIS、醫(yī)保、合作醫(yī)療系統(tǒng)網(wǎng)絡(luò)與信息安全進行了一次全面的調(diào)查。發(fā)現(xiàn)問題，分析問題，解決問題，確保了網(wǎng)絡(luò)能更好地保持良好運行，根據(jù)互聯(lián)網(wǎng)安全和院內(nèi)局域網(wǎng)安全的相應(yīng)特點，逐項排查，消除安全隱患，現(xiàn)將我院信息安全工作情況匯報如下。一、信息安全工基本情況人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共1頁，當(dāng)前為第1頁。（一）網(wǎng)絡(luò)安全管理：我院的網(wǎng)絡(luò)分為互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)，兩網(wǎng)絡(luò)實現(xiàn)物理隔離，以確保兩網(wǎng)能夠獨立、安全、高效運行。重點抓好“三大安全”排查。人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共1頁，當(dāng)前為第1頁。1.硬件安全，包括防雷、防火、防盜和UPS電源連接等。醫(yī)院HIS服務(wù)器機房嚴(yán)格按照機房標(biāo)準(zhǔn)建設(shè)，工作人員堅持每天巡查，排除安全隱患。HIS服務(wù)器、多口交換機、路由器都有UPS電源保護，可以保證短時間斷電情況下，設(shè)備運行正常，不至于因突然斷電致設(shè)備損壞。2.網(wǎng)絡(luò)安全:包括網(wǎng)絡(luò)結(jié)構(gòu)、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等；網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)絡(luò)結(jié)構(gòu)合理，網(wǎng)絡(luò)連接的穩(wěn)定性，網(wǎng)絡(luò)設(shè)備（交換機、路由器、光纖收發(fā)器等）的穩(wěn)定性。HIS系統(tǒng)的操作員，每人有自己的登錄名和密碼，并分配相應(yīng)的操作員權(quán)限，不得使用其他人的操作賬戶，賬戶施行“誰使用、誰管理、誰負(fù)責(zé)”的管理制度?；ヂ?lián)網(wǎng)和院內(nèi)局域網(wǎng)均施行固定IP地址，由醫(yī)院統(tǒng)一分配、管理，不允許私自添加新IP，未經(jīng)分配的IP均無法實現(xiàn)上網(wǎng)。為保障醫(yī)院互聯(lián)網(wǎng)能夠滿足正常的辦公需要，通過路由器對于P2P等應(yīng)用軟件進行了屏蔽，有效地阻止了有人利用辦公電腦在上班期間在線看視頻、玩游戲等，極大地提高了互聯(lián)網(wǎng)的辦公利用率。人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共2頁，當(dāng)前為第2頁。（二）數(shù)據(jù)庫安全管理：我院目前運行的數(shù)據(jù)庫為oracle10.2.0HIS數(shù)據(jù)庫，是醫(yī)院診療、劃價、收費、查詢、統(tǒng)計等各項業(yè)務(wù)能夠正常進行的基礎(chǔ)，為確保醫(yī)院各項業(yè)務(wù)正常、高效運行，數(shù)據(jù)庫安全管理是極為有必要的。數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對數(shù)據(jù)的技術(shù)防護而言的，包括數(shù)據(jù)安全性、并發(fā)控制、故障恢復(fù)、數(shù)據(jù)庫容災(zāi)備份等幾個方面。我院對數(shù)據(jù)安全性采取以下措施：（1）將數(shù)據(jù)庫中需要保護的部分與其他部分相隔。（2）采用授權(quán)規(guī)則，如賬戶、口令和權(quán)限控制等訪問控制方法。（3）對數(shù)據(jù)進行加密后存儲于數(shù)據(jù)庫；如果數(shù)據(jù)庫應(yīng)用要實現(xiàn)多用戶共享數(shù)據(jù)，就可能在同一時刻多個用戶要存取數(shù)據(jù)，這種事件叫做并發(fā)事件。當(dāng)一個用戶取出數(shù)據(jù)進行修改，在修改存入數(shù)據(jù)庫之前如有其它用戶再取此數(shù)據(jù)，那么讀出的數(shù)據(jù)就是不正確的。這時就需要對這種并發(fā)操作施行控制，排除和避免這種錯誤的發(fā)生，保證數(shù)據(jù)的正確性；數(shù)據(jù)庫管理系統(tǒng)提供一套方法，可及時發(fā)現(xiàn)故障和修復(fù)故障，從而防止數(shù)據(jù)被破壞。數(shù)據(jù)庫系統(tǒng)能盡快恢復(fù)數(shù)據(jù)庫系統(tǒng)運行時出現(xiàn)的故障，可能是物理上或是邏輯上的錯誤。比如對系統(tǒng)的誤操作造成的數(shù)據(jù)錯誤等；數(shù)據(jù)庫容災(zāi)備份是數(shù)據(jù)庫安全管理中極為重要的一部分，是數(shù)據(jù)庫有效、安全運行的最后保障，也是保障數(shù)據(jù)庫信息能夠長期保存的有效措施。人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共2頁，當(dāng)前為第2頁。人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共3頁，當(dāng)前為第3頁。（三）軟件管理：目前我院在運行的軟件主要分為三類：HIS系統(tǒng)、常用辦公軟件和殺毒軟件。HIS系統(tǒng)是我院日常業(yè)務(wù)中最主要的軟件，是保障醫(yī)院診療活動正常進行的基礎(chǔ)，自2012年上線以來，運行很穩(wěn)定，未出現(xiàn)過重大安全問題，并根據(jù)業(yè)務(wù)需要，不斷更新充實。對于新入職的員工，上崗前會進行一次培訓(xùn)，向其講解HIS系統(tǒng)操作流程、規(guī)范，也包括安全知識，確保其在使用過程中不會出現(xiàn)重大安全問題。常用辦公軟件均由醫(yī)院信部門統(tǒng)一安裝，維護。殺毒軟件是保障電腦系統(tǒng)防病毒、防木馬、防篡改、防癱瘓、防攻擊、防泄密的有效工具。所有電腦，均安裝了正版殺毒軟件（卡巴斯基殺毒軟件、瑞星殺毒軟件和360安全衛(wèi)士），并定期更新病毒庫，以保證殺毒軟件的防御能力始終保持在很高的水平。人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共3頁，當(dāng)前為第3頁。二、自查情況（一）安全管理方面人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共4頁，當(dāng)前為第4頁。成立了信息網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組，院長任組長，分管副院長任副組長，各科室主任為成員，并設(shè)置了專職信息安全員，做到了分工明確、責(zé)任到人。為確保信息網(wǎng)絡(luò)安全，我院實行了《網(wǎng)絡(luò)專管員制度》、《計算機安全保密制度》、《網(wǎng)絡(luò)安全管理制度》、《網(wǎng)絡(luò)信息安全突發(fā)事件應(yīng)急預(yù)案》等以有效提高管理人員的工作效率。另外還制定了《人員離職離崗安全規(guī)定》、《外部人員訪問審批表》，存儲介質(zhì)管理，完善了《存儲介質(zhì)管理制度》，運行維護管理，建立了《信息系統(tǒng)運行維護操作記錄表》，完善了《信息系統(tǒng)日常運行維護制度》，同時我院結(jié)合自身情況制定網(wǎng)絡(luò)信息安全自查工作制度，做到四個確保：一是信息安全員于每周五定期檢查單位計算機系統(tǒng)，確保無隱患問題；二是制定安全檢查工作記錄，確保工作落實；三是實行領(lǐng)導(dǎo)定期詢問制度，由信息安全員匯報計算機使用情況，確保情況隨時掌握；四是定期組織全院人員學(xué)習(xí)網(wǎng)絡(luò)知識，提高計算機使用水平，加強安全防范。人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共4頁，當(dāng)前為第4頁。（二）技術(shù)防護方面一是制定了網(wǎng)絡(luò)信息安全突發(fā)事件應(yīng)急預(yù)案，并隨著信息化程度的深入，結(jié)合我院實際，不斷加以完善；二是信息管理員嚴(yán)格管理；三是及時對系統(tǒng)和軟件進行更新，對重要文件、信息資源做到及時備份，數(shù)據(jù)恢復(fù)；四是計算機由專業(yè)公司定點維修，并商定其給予應(yīng)急技術(shù)支持，重要系統(tǒng)皆為政府指定的產(chǎn)品系統(tǒng)；五是配置安裝了專業(yè)殺毒軟件，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性，安裝了針對移動存儲設(shè)備的專業(yè)殺毒軟件。同時，涉密計算機不和其它計算機之間相互共享。對重要服務(wù)器上的應(yīng)用、服務(wù)、端口和鏈接都進行了安全檢查并加固處理，根據(jù)系統(tǒng)服務(wù)需求，按需開放端口，遵循最小服務(wù)配置原則。一旦發(fā)生網(wǎng)絡(luò)信息安全事故應(yīng)立即報告相關(guān)方面并及時進行協(xié)調(diào)處理。（三）應(yīng)急處理方面人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共5頁，當(dāng)前為第5頁。我院HIS系統(tǒng)服務(wù)器運行安全、穩(wěn)定，并配備了大型UPS電源，可以保證大面積斷電情況下，服務(wù)器堅持運行半小時。雖然醫(yī)院的HIS系統(tǒng)長期以來，運行良好，服務(wù)器未發(fā)生過長時間宕機時間，但醫(yī)院仍然制定了應(yīng)急處置預(yù)案，并對收費操作員和護士進行過培訓(xùn)，如果醫(yī)院出現(xiàn)大面積、長時間停電情況，HIS系統(tǒng)無法正常運行，將臨時開始手工收費、記賬、發(fā)藥，以確保診療活動能夠正常、有序地進行，待到HIS系統(tǒng)恢復(fù)正常工作時，再補打發(fā)票、補記收費項目。人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共5頁，當(dāng)前為第5頁。（四）容災(zāi)備份我院采用雙機熱備份系統(tǒng)，備份類型為完全備份，每天凌晨備份整個數(shù)據(jù)庫，包含用戶表、系統(tǒng)表、索引、視圖和存儲過程等所有數(shù)據(jù)庫對象。在備份數(shù)據(jù)的過程中，主、從服務(wù)器正常運行，各客戶端的業(yè)務(wù)能正常進行，當(dāng)出現(xiàn)設(shè)備故障時，保證了數(shù)據(jù)完整。三、自查發(fā)現(xiàn)的主要問題和面臨的威脅分析（一）發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)在本次檢查過程中，也暴露出了一些問題，一是由于投入不足。二是信息管理技術(shù)人員較少，信息系統(tǒng)安全方面可投入的力量有限。三是規(guī)章制度體系初步建立，但還不完善，未能覆蓋信息系統(tǒng)安全的所有方面；四是個別職工計算機保密意識、安全意識還不夠高，要加強防范意識；五是遇到計算機病毒侵襲等突發(fā)事件處理不夠及時。（二）面臨的安全威脅與風(fēng)險信息管理技術(shù)人員較少，日常網(wǎng)絡(luò)信息安全檢查維護工作深入不夠。（三）整體安全狀況的基本判斷ⅩⅩ縣第二人民醫(yī)院網(wǎng)絡(luò)安全總體狀況良好，未發(fā)生重大信息安全事故。人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共6頁，當(dāng)前為第6頁。四、改進措施及整改效果人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共6頁，當(dāng)前為第6頁。（一）、整改措施針對以上自查中發(fā)現(xiàn)的隱患與不足，為進一步加強信息網(wǎng)絡(luò)系統(tǒng)安全，應(yīng)圍繞信息系統(tǒng)安全綜合治理的工作目標(biāo)，重點在完善規(guī)章制度、豐富技術(shù)手段上下功夫，認(rèn)真開展整改工作。1、強化應(yīng)急響應(yīng)機制建設(shè)。制定周密的應(yīng)急預(yù)案，加強應(yīng)急技術(shù)支援隊伍建設(shè)，認(rèn)真做好應(yīng)急演練、重大信息安全事故處置、重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)備份等各項工作，確保信息系統(tǒng)安全正常運行。2、強化制度保障。一是以制度為根本，在進一步完善信息安全制度的同時，安排專人，完善設(shè)施，密切監(jiān)測，隨時隨地解決可能發(fā)生的信息系統(tǒng)安全事故；二是不定期的對安全制度執(zhí)行情況進行檢查，對于導(dǎo)致不良后果的責(zé)任人，要嚴(yán)肅追究責(zé)任，從而提高人員安全防護意識。3、加強信息安全教育培訓(xùn)。建議舉辦信息安全技術(shù)培訓(xùn)班，對信息安全管理人員進行集中培訓(xùn)，以增強安全防范意識和應(yīng)對能力，進一步提高醫(yī)院信息系統(tǒng)安全管理水平。4、加強對職工的安全意識教育。加強對全院職工的安全意識教育，提高做好安全工作的主動性和自覺性，增強對計算機信息系統(tǒng)安全的防范和保密意識（二）整改效果人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共7頁，當(dāng)前為第7頁。 醫(yī)院領(lǐng)導(dǎo)高度重視，認(rèn)真落實各項整改措施，經(jīng)過培訓(xùn)教育，全體干部職工對網(wǎng)絡(luò)信息安全有了更深入的了解，并在工作中時刻注意維護信息安全，使我院網(wǎng)絡(luò)安全總體狀況良好，未發(fā)生重大信息安全事故。人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報告全文共7頁，當(dāng)前為第7頁。五、關(guān)于加強信息安全工作的意見和建議在以后的工作中要繼續(xù)加強對計算機