医院信息系统是医疗服务的重要支撑体系。 为贯彻落实国家信息 安全等级保护制度, 确保我院信息系统安全可靠运行, 根据省卫生行 业信息安全等级保护工作通知, 并结合我院信息系统应用的特点, 现 总结如下:
1、做好系统定级工作。定级系统包括基础支撑系统,面向患者 服务信息系统,内部行政管理信息系统、网络直报系统及门户网站, 定级方法由市卫生局统一与市公安局等信息安全相关部门协商。
2、做好系统备案工作。按照市卫生系统信息安全等级保护划分 定级要求,对信息系统进行定级后,将本单位《信息系统安全等级保 护备案表》 《信息系统定级报告》和备案电子数据报卫生局,由卫生 局报属地公安机关办理备案手续。
3、做好系统等级测评工作。完成定级备案后,选择市卫生局推 荐的等级测评机构, 对已确定安全保护等级信息系统, 按照国家信息 安全等级保护工作规范和 《信息安全技术信息系统安全等级保护基本 要求》等国家标准开展等级测评,信息系统测评后,及时将测评机构 出具的《信息系统等级测评报告》向属地公安机关报备。
4、完善等级保护体系建设做好整改工作。按照测评报告评测结 果,对照《信息系统安全等级保护基本要求》等有关标准,组织开展 等级保护安全建设整改工作,具体实施落实情况如下:
安全类
物理安
-------- k 级 保 级 控制项 主要安全措施 保 护 护 措 措 施 施 机房安排专人负责,来访人员须审批 物理访 V V 和陪同 问控制 重要区域配置门禁系统 V 防盗窃 暴露在公共场所的网络设备须具备安 V 和防破 V 全保护措施 坏 主机房安装监控报警系统 V 机房计算机系统接地符合GB 50057 — 1994《建筑物防雷设计规范》中的 V V 防雷击 计算机机房防雷要求 机房电源、网络信号线、重要设备安 V 装有资质的防雷装置 机房设置灭火设备和火灾自动报警系 V V 防火 统 机房配置自动灭火装置 V 电力供 机房及关键设备应配置UPS备用电 V V 应 力供应 医院重要科室应米用双回路电源供电 机房设置温、湿度自动调节设施 V V V V V 环境监 控 机房设置防水检测和报警设施 对机房关键设备和磁介质实施电磁屏 V 蔽 网络应按职能和重要程度不同划分网 结构安 段 全 重要网段之间应采用防火墙进行隔离 访问控 网络边界部署防火墙或网闸 制 安全审 计 网络安 全 边界完 整性检 查 采用准入控制系统,实现准入控制、 非法外联检查 V V V V V 网络日志审计、网络运维管理安全审 V V 计 V V 采用准入控制系统,实现准入控制及 非法外联可阻断 V 入侵防 入侵检测系统/入侵防御系统 范 V V 恶意代 防病毒网关 码防范 主机安 V V V 入侵防 采用服务器安全加固 全 范 安全审 采用终端管理系统实现安全审计 计 恶意代 防病毒软件 码防范 身份鉴 采用电子认证措施 V V V V V V 应用安 全 别 安全审 数据库安全审计系统 计 备份和 本地数据备份与恢复 V V V V 数据安 全与备 份恢复 恢复 硬件冗 余 异地备 异地数据备份 份 关键网络设备、线路和服务器硬件冗 V V 余 V 工作要求中的落实情况:
1、切实加强组织领导。拟定实施医院信息系统安全等级保护的
具体方案,并制定相应的岗位责任制,召开专题会议,确保信息安全 等级保护工作顺利实施。
2、建立健全信息系统安全管理制度。根据信息安全等级保护的
要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员
执行的重要管理操作建立操作规程和执行记录文档。
3、制定保障医疗活动不中断的应急预案。按可能出现问题的不 同情形制定相应的应急措施, 在系统出现故障和意外且无法短时间恢 复的情况下能确保医疗活动持续进行。
4、严格执行安全事故报告和处置管理制度。医院信息系统所有 使用或管理人员均有责任发现和报告信息安全可疑事件, 应视情况及 时以口头或书面的形式逐级报告。 对重大信息网络安全事件、 安全事 故和计算机违法犯罪案件,应在 24 小时内向公安机关报告,并保护好现场。
因篇幅问题不能全部显示,请点此查看更多更全内容