医院信息数据安全管理制度.docx

医院信息数据平安治理制度医院信息数据平安治理制度1 中心机房平安医院信息系统的常态运行和医疗数据资源的保存、利用与开发对医院开展起着格外重要的作用。因此作为信息系统的“神经中枢”及数据存储中心的机房标准设计就显得尤为重要。如何使中心机房内的设备平安有效地运行，如何保证数据准时有效地满足医院应用， 很重要的一个环节就是计算机机房建立。中心机房的平安应留意计算机机房的场地环境、计算机设备及场地的防雷、防火和机房用电平安技术的要求等问题。机房平安是整个计算机系统平安的前提，所以在建、改建和扩建的计算机机房， 在具体施工建立中都有很多技术问题要解决，从计算机系统自身存在的问题、环境导致的平安问题和人为的错误操作及各种计算机犯罪导致的平安问题入手，标准机房，机房平安是可以得到保障的。2 效劳器及效劳器操作系统平安随着医院业务对IT 系统的依靠不断增大，用户对于医院系统的可用性要求也不断上升。一旦某一台效劳器由于软件、硬件或人为缘由发生问题时，系统必需维持正常运行。因此，应承受双机热备份的方式实现系统集群，进步系统可用性。效劳器以主从或互备方式工作，通过心跳线侦查另一台效劳器的工作状况，一旦某台机器发生故障，另外一台马上自动接收，变成工作主机，寻常某台机器需要重启时，管-理-员可以在节点间任意切换，整个过程只要几秒钟，将系统中断的影响降到最低。此外，还可以承受第三台效劳器做集群的备份效劳器。在上，建立效劳器治理制度及防护措施，如：平安审计、入侵检测IDS、防病毒、定期检查运行状况、定期重启等。3 网络平安恶意攻击是医院计算机网络所面临的最大威逼，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完好性；另一类是被动攻击，它是在不影响网络正常工作的状况下，进展截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络内联网和公网平安构成宏大威逼，每年企业和网络运营商都要花费大量的和物力用于这方而的网络平安防范，因此防范人为的恶意攻击将是医院网络平安工作的重点。医院网络信息平安是一个整体的问题，系统网络所产生数据是医院赖以生存的贵重财宝，一旦数据丧失或消灭其他问题，都会给医院建立带来不行估量宏大的损失。所以必需高度重视，必需要从治理与技术相结合的高度，制定与时俱进的整体治理策略，并实在认真地施行这些策略，才能到达进步网络信息系统平安性的目的。4 数据库平安在医院信息系统的后台，数据信息是整个系统的灵魂，其平安性至关重要，而数据库治理系统是保证数据能有效保存、查询、分析等的根底；数据被平安存储、合法地访问数据库以及跟踪监视数据 库，都必需具有数据有效访问权限，所以应当实现：数据库治理系统供给的用户名、口令识别，试图、使用权限掌握、审计、数据加密等治理措施；数据库权限的划清楚晰，如权限、资源治理权限和数据库治理权限；数据表的建立、数据查询、存储过程的执行等的权限必需明晰；建立用户审计，记录每次操作的用户的具体状况； 建立系统审计，记录系统级命令和数据库效劳器本身的使用状况。医院如何开展信息平安工作，应当本着从实际动身的精神，先进展风险评估，争论信息系统存在的马脚缺陷、面临的风险与威逼，对于可能觉察的马脚、风险，制定相应的策略：首先在技术上，确定操作系统类型、平安级别，以选择适宜的平安的效劳器系统和相关的平安硬件；再确定适当的网络系统，从平安角度予以验证；选择适宜的应用系统，特别要强调应用系统的身份认证与受权。在行为上，对网络行为、各种操作进展实时的监控，对各种行为标准进展分类治理，规定行为标准的范围和期限，对不同类型、不同敏感度的信息，规定适宜的治理制度和使用方法，限制一些不平安的行 为。在治理上，制定各项平安制度，并定期检查、催促落实；确定医院的平安指导小组，合理安排职责，做到责任到人。固然，还要意识到信息平安工作的开展有可能会影响到系统使用的便利性，到底，平安和便利是冲突的统一体，要平安就不会很方 便，相关工作效率必定降低，要便利那么平安得不到保证，因此必需权衡估量。保护医疗信息不泄露，关注医院信息平安xx-09-16 14:48 | #2 楼经受 20 多年的开展，中国医疗信息化建立已初具规模，医院信息系统(HIS)为医院的正常运营和科学化治理供给保障，然而，医院信息治理系统在信息平安保密方面仍旧是医疗信息化建立的短板，严峻影响或制约了信息化进程。谁为医疗信息补漏随着信息技术的不断开展，在医院这种社会公共效劳领域，搜集和储存了大量的公民个人信息。但在当前对医疗行业供给的网络平安技术解决方案中，仍以防火墙(FW) 防病毒(AV)为主流选择，但是这些传统的平安技术手段只能阻挡局部从外部到内部的攻击，并且对内部的信息窃取完全无能为力，这就导致了“泄密门”大事一次次发生，引发重要数据的丧失、破坏，不仅严峻影响到医院网络的正常运行，还直接威逼到患者的隐私和生命平安。最近，深圳就发生了一次全市的孕妇信息库泄露大事，不法分子将孕妇的资料制成了“泄密光盘”，4 万条包括孕妇姓名、诞生日期(婴儿)、户口性质(流淌、暂住、常住)、家庭住址、联络、以及就诊医院及预产期的信息以每条 0.3 元的价格进展销售，更令人咂舌的是这些信息每月还“滚动更”，累计到达了 10 万条。而据记者调查觉察，很多乳品厂商也通过固定的渠道从医院套取孕妇的个人信息来到达赚钱的目的。甚至，某些医院的个别工作人员已经和一些个人医疗信息的“收买贩子”形成了机密而固定的“销售渠道”，一般人很难插手。调查中，乳品企业的一名销售经理向记者出示了一打儿厚厚的，记录了产妇及其丈夫个人信息的表格。随后，记者依据这位销售经理供给的号码拨打了某医院产科护士长的，表示要购置个人信息， 对方很严峻地说：“不行，我们这里的个人信息是严格保密的，确定不行以出售。”而当那位销售经理亲自给那家医院的产科护士长打时，对方却让他过去取资料。事实上，医院消灭信息系统平安的问题已经相当普遍，采访中国内某医院的一位IT 中心工作人员向记者埋怨道，“信息平安的重要性，生怕只有IT 部门知道，而当今大多数医院的IT 部门，在医院充其量还只是扮演保姆的角色。”这位工作人员指出，国内医院信息化普遍起步晚、投入少，根本的IT 软硬件环境尚且捉襟见肘，更无法顾及信息平安系统建立。像他所在这的这家有着数十年建院史的大型医院，在IT 投资上也可谓“保守”，在近 20 年的信息化过程中，信息装备投入格外有限，仅仅在近几年，才投入几百万元对全院的网络进展晋级。 “而更严峻的是，目前医院的IT 部门普遍处于很低的地位，信息平安在医院指导观念中就更为冷淡，这造成了医院IT 投资优先考虑的是业务的需求，而非保障信息平安。这给医院的信息系统埋下了宏大的平安隐患。”这位工作人员表示。如何才能解决当前的医院信息平安问题呢?首先我们需要理解下目前医院信息平安的问题所在。据有着多年医疗行业系统集成经受的蓝天科技的总经理钱朝阳博士介绍，由于医院内部的滥用过高权限、滥用合法权、非法接入等行为导致目前我国的医疗信息平安主要存在三方面的问题：第一，没有重视和执行对医务人员的信息平安学问、法规、标准的宣传、，没有规定和实行医院信息系统平安的相关制度;其次，网络平安观念较为老旧，网络设计存在缺陷，比方过于单方面依靠防火墙;第三，对HIS 系统，没有肯定的平安监视、审查、验收机制。“目前很多医院的一把手开场重视信息平安的问题，只有从根本治理制度上解决医院工作人员对医疗信息的权限，无人监管问题，才能解困医院的信息平安谜题。”基于医疗系统的信息平安隐患，钱朝阳提出，目前医疗系统的信息平安建立也要针对性的分三步来走：第一步，加强内部治理，在进步医务人员保护患者个人信息及医疗信息意识的同时，制定符合本单位实际状况的治理制度;其次步，重点保护核心业务系统;第三步，进展统一的平安治理，全面、高效保障网络及信息平安。钱朝阳认为防护核心业务系统是三步中最重要的一步。而如何才能保护核心的业务系统呢? “我们需要有一个专业的审计系统，这个审计系统不仅要具备根本对话的行为分析和本身的隐蔽性、宜用性两个根本特征，而且为了更好的保护医疗信息系统的平安。” 网御神州平安治理高级产品经理叶蓬认为，保护核心的业务系统的关键是要建立专业的审计系统。而审计系统必需具备三大功能：一、可自定义及识别风险较高的行为操作，并可对此类操作进展告警，承受电子邮件、SNMP Trap 等方式通知网络平安治理人员;二、对已定义的不合规操作，可通过与网络设备或平安设备共同协作来关闭通信，以阻挡正在进展的操作; 三、系统需具备报表系统，可以按组治理，可以对报表生成进展日程规划，供给打印、导出以及邮件送达等效劳，并依据方案归档报告，归档之后发送邮件通知。理解了问题所在，医院的信息主管应当怎么办呢?一段时间以来，我国政府相关部门对包括医院信息泄密在内的信息平安事故加大了处分力度。今年 2 月 28 日，全国人大会通过了刑法修正案(七)的表决，并且从公布之日起施行。规定单位假设泄露或非法猎取公民个人信息，将被判处分金，并追究直接负责的主管人员和其他直接责任人员的刑事责任。这使得愈来愈多的医院意识 到，信息平安建立的重要性。另一方面，医院网络及信息作为改革医院治理体制、进步效劳质量的重要保障，必定对医院的信息平安治理也提出了很高的要求。4月 6 日，历时两年多时间的，倍受关注的一轮医改方案最终出台。而依据关于深化医药卫生体制改革的意见和xx-xx 年深化医药卫生体制改革施行方案规定，我国方案到xx 年国家投入8500 万逐步改革公立医院治理体制和运行、监管机制，进步公立医疗机构效劳程度，推动公立医院补偿机制改革，加快形成多元化办医格局。 “近些年来我们已经完成了局域网和主效劳器、数据存储中心的晋级改造，但仍旧存在着很多系统平安的隐患。我们期望，IT 供给商们应当考虑到中国医院的IT 装备和应用程度的实际状况，供给更为适宜医院实际的平安性方案。”采访中某医院的IT 主管呼吁道。 “正是为了满足我国医疗行业对信息平安的要求，我们自主研发了网神SecFox 平安治理系统(医院版)，并提出了面对医疗行业的统一平安审计解决方案。系统包含SecFox-NBA(业务审计型)、SecFox-NBA(上网审计型)、SecFox-LAS 日志审计、SecFox-EPS 终端平安审计等多个功能模块，完全可以满足用户的相关需求。” 网御神州平安治理高级产品经理叶蓬表示，其中SecFox-NBA(业务审计型)模 块，可以针对客户业务网络中的各种数据库、Windows 和Unix 主机、WEB 应用系统进展全方位的平安审计，保障客户业务网络中数据的平安和操作合规。据介绍，网神SecFox-NBA 不仅包括：数据访问审计、数据变更审计、用户操作审计、违规访问行为审计、恶意攻击审计等5 大功能。同时，相对于传统的审计系统，网神SecFox-NBA 还有四个明显的特点：一是SecFox-NBA 承受旁路侦听的方式进展工作，对业务网络中的数据包进展应用层协议分析和审计，就像真实世界的摄像机;二是SecFox-NBA 对业务操作实时监控、过程回放;三是快速响应和跨设备协同;最终一个是报表报告。 “严出严入，全面防护。在解决了核心业务系统的保护后，我们首先要解决通过网络外发信息的信息泄露;其次要解决人员的非法接 入、因滥用挪动存储导致的信息泄漏问题;最终，我们进展统一的平安治理，全面、高效保障网络及信息平安。”叶蓬称，当医院应用网御神州独有的基于会话的行为分析(Session-based Behavior Analysis)技术后，医院的审计员不仅可以对当前网络中全部访问者进展基于时间的审查，理解每个访问者任意一段时间内先后进展了什么操作，而且还能对过程回放。“SecFox-NBA(业务审计型)真正实现了对谁、什么时间段内、对什么(数据)、进展了哪些操作、结果如何的全程审计。”