醫療信息安全管理辦法
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇醫療信息安全管理辦法范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
醫療信息安全管理辦法范文第1篇
1引言
開放移動資源極大地改變了傳統醫療資源的短板。通過無線網絡智能終端、APP和無線網絡,配合診療系統等機械設備及配套設施,給予病人更為方便快捷、安全性的健康醫療。移動醫療系統讓醫護人員的工作內容更安全、更高效。同時,在整個治療過程中為患者解決信息內容的步驟更加簡單。眾所周知,互聯網醫療系統也產生了與數據網絡安全相關的問題。因此,本文分析了互聯網醫療系統網絡信息安全存在的問題,并明確提出了有利于醫療信息網絡信息安全管理方法的對策建議。
2互聯網醫療系統網絡信息安全分析
2.1互聯網醫療的連接方式
互聯網醫療的上網方式公開隱私,沒法從物理學上形象化地發覺安全風險。無線網絡連接分成無線廣域網、無線網絡傳輸網、無線網絡等。醫院門診部的局域網根據維護的成本和效率,一般選擇無線網絡連接。醫院門診部局域內的移動醫師終端設備和移動護理終端設備,根據遍布樓梯間或病房的無線網絡AP接入醫院網絡。AP依照100M局域網絡線連接樓層交換機,樓層交換機依照光纖線路線連接匯聚交換機,再根據匯聚交換機連接管理處計算機機房服務器防火墻。在整個連接過程中,無線網絡AP的連接方式是公開保密的[1]。所有移動智能終端都非常有可能連接起來,從物理上是無法直觀檢測到的。它是移動網絡的一個特性,是很可能導致非法互聯網連接和黑客攻擊的關鍵步驟。
2.2互聯網醫療互聯網安全風險
互聯網醫療的開放性使得破譯非常容易,存在連接安全風險。手機APP運行在IOS和Android手機系統上,依據互聯網技術連接到醫院IP地址服務器防火墻,再連接到醫院Web網絡服務器。外網地址服務器防火墻能夠過濾不法IP地址,避免信息網絡服務項目(網絡信息服務,NIS)、互聯網系統文件(網絡文件系統,NFS)等具有安全風險的服務合同報文的格式依據。但是,智能終端存有外界攻擊的安全隱患。假如根據互聯網攻擊來訪問服務器防火墻,很有可能會竊取互聯網內部文件。
2.3互聯網醫療互聯網及連接安全風險
互聯網醫療受無線手機影響,存在連接安全風險。根據在局域網內的電腦上非法安裝無線手機或隨身攜帶無線,可以提供非法的無線網絡連接。未經授權連接的智能終端可能會通過非法連接瀏覽內部機密數據信息并造成數據泄露,或者客戶可以在手機或平板電腦上瀏覽視頻平臺并下載數據信息。許多財產可能會受到網絡帶寬的影響。此類個人行為對網絡安全管理產生負面信息和實際影響,帶來較為嚴重的安全隱患[2]。
2.4外來入侵管理方法和對策的實施及安全風險
在日常工作中忽視網絡信息安全管理方法,管理方法和對策落實不到位,造成外部安全風險。(1)醫師移動站、助理移動站等移動智能終端一般使用Android或IOS電腦操作系統,存在安裝第三方或嵌入病毒感染應用程序中木馬病毒的概率。(2)互聯網中的樓層交換機設備放置在每層樓的上網室或樓梯間。有專職人員監管一般不容易存在非法連接的風險。(3)管理中心的主機房一般設置電子門禁和視頻監控系統,安全級別較高,但極有可能存有門卡失竊、門禁系統常見故障等風險性。(4)Web服務器是互聯網醫療系統中Web服務的關鍵作用。在賦予強大的健康服務功能的同時,因為對外開放的Web服務非常容易遭受各種各樣攻擊,包含URL攻擊、緩存地區外溢攻擊等,一旦被故意攻擊,會立即導致運用Web的功效服務器端醫療器械行業效率低下。除了網絡服務器,互聯網醫療系統還包含許多不同版本號的服務中心和計算機操作系統。在日常工作中瀏覽互聯網,工作人員必須去醫院復制數據和信息,這種個人行為會產生中病毒的風險。系統感染病毒會占有服務器網絡帶寬,緩減傳輸數據,占有CPU處理時間,造成服務站和互聯網服務器速率減緩,甚至在診斷中泄露或破壞數據和信息和治療工作[3]。因此,必須有完善的反病毒對策和系統。手機APP運行在IOS和Android手機系統下,存在被反匯編和添加惡意程序攔截登錄密碼的隱患。
3醫院門診互聯網醫療網絡信息安全防范的研究
3.1保證數據網絡信息安全
操作和拆卸簡單實用。例如,某醫院門診部在醫療移動設備安全部署中增加了有針對性的信息管理系統安全操作規程,同時及時建立了互聯網信息管理系統安全防范體系和系統優化操作規范,防范安全最大程度地消除風險,并及時消除信息管理系統的風險。此外,醫院高層還對信息管理系統的實際運行工作職責,如播出節目的調配、系統登錄密碼的復雜性、系統安全規則等提出了精準的要求規定等,并指定專職人員執行管理辦法。此外,要求責任人及時對移動設備進行科學研究,認真檢查,有利于及時處理安全風險或危及系統優化的不利情況,及時報告風險,做好詳細備案工作,促進系統優化。為了更好地保證系統的優化運行,工作人員主動選擇了WPA、WPA2等安全系數更高的加密技術,合理提高密碼的安全和壓縮強度[4]。
3.2主動升級互聯網信息管理系統
及時利用監控對移動智能終端進行科學論證,認真檢查網絡層數據信息及其無線網絡設備,擴大準時檢查范圍,合理排除安全隱患。在醫院智能終端設備上部署服務器防火墻機器,完成設備層的合理升級,提高登錄密碼的抗壓強度,加強認證,不斷完善系統安全防范技術,然后及時合理識別風險類型,將攻擊性風險降到最低,加強維護信息內容應用系統的安全運行,是確保登錄密碼不易被盜取的唯一途徑。在醫院門診層面,利用數據信息及其無線網網絡設備對數據和無線網網絡設備進行分析,并立即使用監控軟件在移動智能終端上進行科學論證,增加對數據的檢查范圍,合理排除安全隱患。在醫院智能終端上部署服務器防火墻機器設備,完善病毒感染防護措施,不斷完善自身系統軟件的安全防范技術。在這些方面,有針對性地重點增加資金投入,然后及時、合理地識別風險。在更大層面上降低可能遭受黑客攻擊的風險,促進醫療信息應用系統更安全地運行。只有這樣才能確保登錄密碼不容易被破譯。
3.3提高對信息管理系統隱患的安全意識
現階段,中國醫院門診診療網絡服務器已積極安裝反木馬及其手機查殺木馬。同時,管理信息系統人員定期維護漏洞補丁和病毒庫。該方法合理防范了系統優化風險發生。例如,主動選擇Oracle數據庫查詢,保證互聯網信息管理系統數據信息的可靠性和安全系數,充分發揮醫院門診部內部信息內容的關鍵保障功能。只有數據信息穩定后,醫療設備、網絡服務器的所有正常運行才完成了對海量信息內容的即時整理和維護。此外,選擇了硬盤容錯機制和雙設備作為互聯網信息管理系統的標準設備,大大提高了數據信息的使用價值。因此,如果標準允許,可以考慮備份數據。這樣做的好處既保證了醫院門診部內部信息內容的準確性和一致性,也基本減少了內容丟失帶來的安全隱患。積極實施無線網絡智能終端管理方案,規定操作人員必須具備技術專長和豐富的工作經驗,加強系統優化管理知識培訓,確保系統運行過程不易產生風險。防止事故發生,大大降低醫院門診醫療設備的風險[5]。及時修改登錄密碼,如采用多重密碼解鎖對策、應用指紋識別、確認外觀等。例如,采用多重密碼開鎖對策,應用指紋識別、人臉識別等方式進行判斷,提高機器設備的利用率,對醫院門診應用系統的現代化建設起到尤為重要的作用。及時在智能終端安裝雙向電腦殺毒,然后嚴格遵守日常在線升級相關任務,確保服務中心具有良好的兼容模式,合理防范避免偷看等意外風險,避免非管理權限和操作技術上的問題。
3.4降低實際操作中的風險因素
此外,醫院門診部的高層住宅管理辦法應針對信息化管理系統的實際運行制定相應的嚴格標準。具體專職人員執行管理辦法,確保責任到人,及時發現安全隱患或危害系統優化運行的弊端。管理人員必須具備專業技術技能和豐富的工作經驗,加強系統優化管理方法的相關學習和培訓,能夠第一時間報告風險,并盡快做好詳細備案解決,大大減少醫院數量。門診醫療設備的風險是在系統軟件運行的全過程中預防事故的發生。同時,還有一些關鍵的傳統方法和定義有助于確保互聯網醫療系統軟件的安全。首先,在解決更敏感的信息內容時,可以應用良好的加密技術,例如AES(高級加密標準)優化算法。其次,使用ECC(EllipticCurvesCryptography)加密技術等優化算法。它是一種適用于移動設備的高效優化算法。最后,有一個多級認證管理系統,可以根據客戶的真實身份和類型授予不同的訪問限制。
4結語
無線網絡技術的快速發展對于醫院門診醫療信息網絡的安全管理既是機遇也是重大挑戰。互聯網醫療互聯網信息管理系統存在安全隱患,極易受到蓄意攻擊。風險源多樣,需要主動應用信息內容應用系統,加快系統基礎建設,主動升級數據庫查詢,主動明確提出科學規范的移動智能終端信息技術解決方案,可以大力保障醫院門診診療網絡信息的安全系數,及時防范外部因素的攻擊,對醫院門診診療工作的穩定發展具有不可忽視的影響。
【參考文獻】
[1]羅雪瓊,高峰.移動護理信息系統的實現與應用[J].中國數字醫學,2017,12(9):118-120.
[2]姜叢吾.移動醫療醫院信息網絡安全和對策探索[J].科技創新導報,2020,17(9):140,142.
[3]聶靚.移動醫療醫院信息網絡安全和對策探索[J].中國新通信,2019,21(8):120.
[4]夏述旭,陶紅兵,都麗婷,等.“互聯網+”背景下移動醫療質量與安全問題分析及對策研究[J].中國衛生質量管理,2017,24(3):82-85.
醫療信息安全管理辦法范文第2篇
2010年,衛生系統各單位、各部門圍繞繼續擴大衛生信息化覆蓋的范圍和領域,提高衛生信息化應用水平,保障系統安全,持續努力工作,取得了顯著成績。受北京市衛生系統信息化領導小組委托,現在由我向大家做工作報告,總結2010年工作,部署2011年重點任務。
2010年衛生信息化工作情況
1. 積極推動醫改各項工作
2009年國家頒布新醫改方案,2010年北京市制定“北京市2010~2011深化醫藥衛生體制改革實施方案”。關于衛生信息化工作,在北京的醫改文件中提出:“啟動醫藥衛生信息綜合服務平臺建設前期工作。探索利用網絡信息技術,試點發展遠程會診。推進信息化標準建設,逐步統一規范醫院信息系統數據接口和信息采集,推進公共衛生、醫療、醫保、藥品、財務監管等信息系統互聯互通工作。提高信息化水平,城鄉居民電子健康檔案建檔率達到20%。”
2. 衛生信息化人員機構和隊伍建設又見成效
2010年,昌平區衛生局新成立了信息中心,使我市16個區縣中,區縣衛生局成立信息中心的數量達到12個。目前,只有海淀、豐臺、通州、門頭溝4個區縣衛生局仍然沒有成立信息中心。
3. 堅持衛生信息化行業管理不松懈
自2003年后,為避免信息化建設各自為政、重復建設、盲目建設、數據多頭采集,北京衛生信息化按照“統一規劃、統一標準、統一建設、統一管理”的“四統一”原則開展工作。
起草《北京市“十二五”衛生信息化規劃》
2010年是十二五規劃之年,《北京市“十二五”衛生信息化規劃》專項規劃是《北京市衛生事業發展改革“十二五”規劃》的重要組成部分。市衛生局全面征求區縣衛生局、直屬事業單位和直屬三級醫院的意見,多次組織召開專題研討會征求意見。目前,已經完成了規劃的制訂,準備近期。
制訂醫院門急診信息系統相關標準規范
完成《北京地區醫院門急診信息系統基本功能規范和數據采集規范》(試行稿),于9月19日向北京地區50家三級醫院及11家遠郊區縣中心醫院下發《關于建立北京地區醫療機構門急診信息報告制度的通知》(京衛醫字〔2010〕212號)以及《關于做好門急診信息系統接口改造工作的通知》,該規范作為醫院門、急診信息系統改造以及數據采集的規范依據正式試行。
完成了《北京市藥品分類與代碼規范》,北京市質量技術監督局已經將其列入2011年北京市地方標準修訂計劃之中。
完成衛生信息化項目前置審核工作
按照《北京市衛生信息化項目建設管理辦法》(京衛辦字〔2008〕107號),做好衛生信息化項目的前置審核評審等項目管理工作。2010年共收到各單位上報項目76項,涉及資金3億元。經市衛生局信息化領導小組審核,通過22項。
通過統一評審和歸口管理,可以全面了解各單位的衛生信息化情況,做到統籌管理,使得各部門的信息化建設符合衛生信息化總體規劃和發展方向;同時利用市公共衛生信息中心及相關專家資源對于項目建設方案進行評估,使得方案在總體設計、安全管理、網絡建設、國產軟硬件產品和信息共享等方面更加全面、科學。
4. 重點應用系統建設取得實效
新社區衛生信息系統推廣實施順利
新社區衛生服務綜合管理信息系統是全面覆蓋社區衛生服務機構和社區衛生管理機構,以建立居民健康檔案為核心,支持基本醫療和公共衛生服務的信息系統,符合社區衛生改革的要求。
在新社區衛生服務綜合管理信息系統中,著力建設社區衛生業務和財務等應用系統,實現市、區縣和基層三層體系架構。2010年完成了試點項目驗收,6月24日啟動全市推廣。截至到2011年3月6日,在西城、原崇文、原宣武、順義、朝陽、海淀、石景山等8個區縣、52個社區衛生服務中心、178個社區衛生服務站穩定運行,建立電子健康檔案526萬份,原東城、西城、崇文、宣武四個城區基本完成實施推廣任務,順義、海淀、石景山、昌平區、密云縣進展順利。
借助醫聯碼系統,實現門急診信息采集
北京市實名就診卡完善(醫聯碼系統)項目是我市建立門急診信息報告制度的支撐項目,是我局針對目前管理需求對原北京市實名就診卡完善項目進行變更后重新啟動的項目。該項目在全市三級醫院及十一家區級中心醫院實施,將為非醫保患者建立統一的條碼,通過此條碼采集門急診就診信息。項目實施至今,已在全市推開,醫聯碼發放及信息采集工作業已開始。截至3月15日,已有39家醫院完成接口改造,大興人民醫院、婦產醫院、同仁醫院、房山第一醫院等31家醫院共計發放醫聯碼28.95萬條。朝陽醫院、婦產醫院、人民醫院、北醫三院、中日友好醫院等17家醫院已經上報門急診信息,共計93.8萬條。
5. 固化衛生行業信息安全保障成果,提高安全管理水平
2010年的衛生行業信息安全的重點工作是固化奧運和國慶信息安全保障工作成果,在行業內以推動等級保護為依托,進一步提高全行業信息安全管理水平。在各級領導的重視下,各單位圓滿完成了2010年信息安全相關工作。
開展衛生行業信息安全檢查
2010年,為督促我市衛生行業各單位做好信息安全保障工作,細化各項信息網絡安全工作措施,進一步提升網絡與信息系統支撐醫療服務工作的效率和水平,確保我市衛生行業網絡與信息系統安全穩定運行,市公安局和市衛生局對全市大中型醫院及市屬醫療衛生機構開展了網絡和信息系統安全檢查。
出臺《醫療衛生信息安全等級保護實施指南》
2010年,結合近幾年信息安全聯合檢查中遇到的各類問題,信息中心組織出版了《醫療衛生信息安全等級保護實施指南》。規范了醫療衛生信息安全等級保護工作的基本思路和實施方法,指導我市醫療衛生信息建設中的信息安全保障工作,對搞好醫療衛生信息安全保障具有十分重要的現實意義。
開展信息安全培訓
2010年,在衛生局直屬單位開展了信息安全員信息安全保障知識培訓,共進行了8次授課,共400余人次接受了培訓,提高了信息安全員的信息安全保障能力,為各單位的信息安全保障奠定了基礎。
2011年衛生信息化重點任務
1. 十二五期間信息化建設基本任務
未來五年,衛生信息化建設的主要任務是建立“基于電子病歷和居民健康檔案的醫藥衛生信息化工程”,主要內容可以概括為一張網絡、兩級平臺、三個基礎數據庫。
一張網絡,是指全市各級各類醫療衛生機構與行政管理部門互聯互通的信息傳輸網絡;兩級平臺,是指市、區/縣兩級衛生信息交換平臺;三個基礎數據庫,是指執法相對人數據庫、醫療衛生資源數據庫和居民健康檔案數據庫。實現上述目標,依靠的是標準規范和信息安全保障兩個體系。
2. 推進醫院信息化建設
電子病歷試點工作
衛生部為推進醫藥衛生體制改革,加強醫院信息化建設,于2010年9月下發了《關于開展電子病歷試點工作的通知》(衛醫政發〔2010〕85號)文件,決定在北京市等22個省(區、市)部分區域和醫院開展電子病歷試點工作,確定試點工作時間為1年。市衛生局根據衛生部文件的精神和要求,組織制定了《北京市以電子病歷為核心的醫院信息化試點工作實施方案》,明確了指導思想、工作目標、組織管理、實施步驟及工作要求。同時還制定了《北京地區電子病歷試點技術方案》,指導試點醫院推進電子病歷工作。
醫聯碼相關工作
醫聯碼系統為北京地區醫療機構門急診信息采集提供了支持,奠定了基礎。根據北京市衛生局《關于建立北京地區醫療機構門急診信息報告制度的通知》(京衛醫字〔2010〕212號)文件要求,三級醫療機構及11家遠郊區縣區域醫療中心2011年1月起,正式啟用門急診信息上報工作。今年要繼續推進醫聯碼相關工作,希望各醫院建立院內的組織協調工作機制,積極開展醫聯碼接口改造、信息上傳、門急診就診信息上傳等工作。
3. 推廣實施社區衛生信息系統
市衛生局、市編辦、市發改委、市財政等八部門聯合下發的《關于進一步推進社區衛生改革與管理工作的意見》(京衛基層字〔2010〕25號)要求,“以有利于工作開展、有利于方便居民、有利于加強管理為目標,全面推廣應用全市統一的新社區衛生服務綜合管理信息系統,并不斷完善功能。到2011年底,建立起以健康檔案為基礎的覆蓋全市社區衛生服務和管理機構的信息化管理體系,搭建完成覆蓋全市社區衛生服務管理中心、社區衛生服務中心、社區衛生服務站的互聯互通的網絡。加強市、區兩級社區衛生服務綜合管理信息平臺的建設。”
各區縣積極推進社區衛生信息化工作,年底之前,完成16區縣推廣應用部署工作。目前,推進較好的區縣為東城、西城、順義、海淀、石景山、昌平、密云、大興等。
4. 加強公共衛生和衛生管理信息化建設和綜合利用
推動居民電子健康檔案建立工作
根據醫改要求,把為轄區常住人口重點人群自愿建立統一、規范的居民健康檔案,及時更新健康檔案,并逐步試行計算機管理等工作列為本市為居民提供的基本公共衛生服務項目。2011年的醫改任務責任書中,各區縣居民電子健康檔案建檔率指標有所不同,但全市總體要求達到50%以上。北京市新社區衛生服務信息系統已經提供了電子健康檔案建立的工具,請各區縣組織人員開展電子健康檔案相關工作,以便建立實時動態變化的社區居民電子健康檔案,為社區居民服務,為家庭醫生服務。
啟動婦幼保健網絡信息系統二期
3月啟動婦幼保健二期建設,系統將覆蓋北京市婦幼保健院、16所區縣婦幼保健院(所)、近800家承擔婦幼保健服務與管理工作的醫療保健機構、1000余家托幼園所等機構,以婦幼健康檔案為核心,實現與醫院和社區信息共享的、完整的、動態的、連續的婦女兒童保健信息庫。計劃9月開發完成,試運行。各區縣不需再單獨建立婦幼信息系統。
2011年工作要求
1. 領導重視,加快落實信息化機構和人才隊伍建設
目前,仍有部分區縣沒有成立信息中心,部分直屬機構沒有信息管理部門,衛生人才隊伍薄弱,嚴重影響了信息化建設。各單位領導要高度重視,盡快落實機構設置和人員配置問題。
2. 加強管理,保障信息系統安全
今年市衛生局將繼續以信息系統等級保護工作為依托,繼續加強全市衛生行業信息安全管理工作。
繼續聯合市公安局對行業進行信息安全檢查,重點針對電子病歷試點單位、重要公共衛生部門進行安全檢查。
按照市信息安全協調領導小組工作部署要求,進一步加快推動等級保護。
3. 樹立大局觀念,加快社區衛生信息系統的推廣應用
要求各區縣加強組織,落實責任,協調相關部門,加大推廣力度,2011年底之前完成任務。
使用全市統一的新社區衛生服務信息系統。
醫療信息安全管理辦法范文第3篇
第一條為規范互聯網醫療保健信息服務活動,保證互聯網醫療保健信息科學、準確,促進互聯網醫療保健信息服務健康有序發展,根據《互聯網信息服務管理辦法》,制定本辦法。
第二條在中華人民共和國境內從事互聯網醫療保健信息服務活動,適用本辦法。
本辦法所稱互聯網醫療保健信息服務是指通過開辦醫療衛生機構網站、預防保健知識網站或者在綜合網站設立預防保健類頻道向上網用戶提供醫療保健信息的服務活動。
開展遠程醫療會診咨詢、視頻醫學教育等互聯網信息服務的,按照衛生部相關規定執行。
第三條互聯網醫療保健信息服務分為經營性和非經營性兩類。
經營性互聯網醫療保健信息服務,是指向上網用戶有償提供醫療保健信息等服務的活動。
非經營性互聯網醫療保健信息服務,是指向上網用戶無償提供公開、共享性醫療保健信息等服務的活動。
第四條從事互聯網醫療保健信息服務,在向通信管理部門申請經營許可或者履行備案手續前,應當經省、自治區、直轄市人民政府衛生行政部門、中醫藥管理部門審核同意。
第二章設立
第五條申請提供互聯網醫療保健信息服務,應當具備下列條件:
(一)主辦單位為依法設立的醫療衛生機構、從事預防保健服務的企事業單位或者其他社會組織;
(二)具有與提供的互聯網醫療保健信息服務活動相適應的專業人員、設施及相關制度;
(三)網站或者頻道有2名以上熟悉醫療衛生管理法律、法規和醫療衛生專業知識的技術人員;提供性知識宣傳的,應當有1名副高級以上衛生專業技術職務任職資格的醫師。
第六條申請提供的互聯網醫療保健信息服務中含有性心理、性倫理、性醫學、性治療等性科學研究內容的,除具備第五條規定條件外,還應當同時具備下列條件:
(一)主辦單位必須是醫療衛生機構;
(二)具有僅向從事相關臨床和科研工作的專業人員開放的相關網絡技術措施。
第七條申請提供互聯網醫療保健信息服務的,應當按照屬地管理原則,向主辦單位所在地省、自治區、直轄市人民政府衛生行政部門、中醫藥管理部門提出申請,并提交下列材料:
(一)申請書和申請表。申請表內容主要包括:網站類別、服務性質(經營性或者非經營性)、內容分類(普通、性知識、性科研)、網站設置地點、預定開始提供服務日期、主辦單位名稱、機構性質、通信地址、郵政編碼、負責人及其身份證號碼、聯系人、聯系電話等;
(二)主辦單位基本情況,包括機構法人證書或者企業法人營業執照;
(三)醫療衛生專業人員學歷證明及資格證書、執業證書復印件,網站負責人身份證及簡歷;
(四)網站域名注冊的相關證書證明文件;
(五)網站欄目設置說明;
(六)網站對歷史信息進行備份和查閱的相關管理制度及執行情況說明;
(七)衛生行政部門、中醫藥管理部門在線瀏覽網站上所有欄目、內容的方法及操作說明;
(八)健全的網絡與信息安全保障措施,包括網站安全保障措施、信息安全保密管理制度、用戶信息安全管理制度;
(九)保證醫療保健信息來源科學、準確的管理措施、情況說明及相關證明。
第八條從事互聯網醫療衛生信息服務網站的中文名稱,除與主辦單位名稱相同的以外,不得以“中國”、“中華”、“全國”等冠名。
第九條省、自治區、直轄市人民政府衛生行政部門、中醫藥管理部門自受理之日起20日內,對申請提供互聯網醫療保健信息服務的材料進行審核,并作出予以同意或不予同意的審核意見。予以同意的,核發《互聯網醫療保健信息服務審核同意書》,公告,并向衛生部、國家中醫藥管理局備案;不予同意的,應當書面通知申請人并說明理由。
《互聯網醫療保健信息服務審核同意書》格式由衛生部統一制定。
第十條互聯網醫療保健信息服務提供者變更下列事項之一的,應當向原發證機關申請辦理變更手續,填寫《互聯網醫療保健信息服務項目變更申請表》,同時提供相關證明文件:
(一)《互聯網醫療保健信息服務審核同意書》中審核同意的項目;
(二)互聯網醫療保健信息服務主辦單位的基本項目;
(三)提供互聯網醫療保健信息服務的基本情況。
第十一條《互聯網醫療保健信息服務審核同意書》有效期2年。需要繼續提供互聯網醫療保健信息服務的,應當在有效期屆滿前2個月內,向原審核機關申請復核。通過復核的,核發《互聯網醫療保健信息服務復核同意書》。
第三章醫療保健信息服務
第十二條互聯網醫療保健信息服務內容必須科學、準確,必須符合國家有關法律、法規和醫療保健信息管理的相關規定。
提供互聯網醫療保健信息服務的網站應當對的全部信息包括所鏈接的信息負全部責任。
不得含有封建迷信、內容的信息;不得虛假信息;不得未經審批的醫療廣告;不得從事網上診斷和治療活動。
非醫療機構不得在互聯網上儲存和處理電子病歷和健康檔案信息。
第十三條醫療廣告,必須符合《醫療廣告管理辦法》的有關規定。應當注明醫療廣告審查證明文號,并按照核準的廣告成品樣件內容登載。
不得夸大宣傳,嚴禁刊登違法廣告。
第十四條開展性知識宣傳,必須提供信息內容的來源,并在明顯位置標明。信息內容要由醫療衛生專業人員審核把關,確保其科學、準確。
不得轉載、摘編非法出版物的內容;不得以宣傳性知識為名渲染性心理、性倫理、性醫學、性治療等性科學研究的內容;嚴禁傳播內容。
第十五條開展性科學研究的醫療保健網站,只能向從事相關臨床和科研工作的專業人員開放。
嚴禁以開展性科學研究為名傳播內容。綜合性網站的預防保健類頻道不得開展性科學研究內容服務。
第十六條提供醫療保健信息服務的網站登載的新聞信息,應當符合《互聯網新聞信息服務管理辦法》的相關規定;登載的藥品信息應當符合《互聯網藥品信息服務管理辦法》的相關規定。
第十七條提供互聯網醫療保健信息服務,應當在其網站主頁底部的顯著位置標明衛生行政部門、中醫藥管理部門《互聯網醫療保健信息服務審核同意書》或者《互聯網醫療保健信息服務復核同意書》的編號。
第四章監督管理
第十八條衛生部、國家中醫藥管理局對各省、自治區、直轄市人民政府衛生行政部門、中醫藥管理部門的審核和日常監管工作進行指導和管理。
省、自治區、直轄市人民政府衛生行政部門、中醫藥管理部門依法負責對本行政區域內主辦單位提供的醫療保健信息服務開展審核工作,對本行政區域的互聯網醫療保健信息服務活動進行監督管理。
第十九條各級衛生行政部門、中醫藥管理部門對下列內容進行日常監管:
(一)開辦醫療機構類網站的,其醫療機構的真實性和合法性;
(二)提供性知識宣傳和普通醫療保健信息服務的,是否取得互聯網醫療保健信息服務資格,是否超范圍提供服務;
(三)提供性科學研究信息服務的,其主辦單位是否具備相應資質,是否違規向非專業人士開放;
(四)是否利用性知識宣傳和性科學研究的名義傳播內容,是否刊載違法廣告和禁載廣告。
第二十條衛生行政部門、中醫藥管理部門設立投訴舉報電話和電子信箱,接受上網用戶對互聯網醫療保健信息服務的投訴舉報。
第二十一條衛生行政部門、中醫藥管理部門對上網用戶投訴舉報和日常監督管理中發現的問題,要及時通知互聯網醫療保健信息服務提供者予以改正;對超范圍提供互聯網醫療保健信息服務的,應責令其停止提供。
第二十二條互聯網醫療保健信息服務審核和監督管理情況應當向社會公告。
第五章法律責任
第二十三條未經過衛生行政部門、中醫藥管理部門審核同意從事互聯網醫療保健信息服務的,由省級以上人民政府衛生行政部門、中醫藥管理部門通報同級通信管理部門,依法予以查處;情節嚴重的,依照有關法律法規給予處罰。
第二十四條已通過衛生行政部門、中醫藥管理部門審核或者復核同意從事互聯網醫療保健信息服務的,違反本辦法,有下列情形之一的,由省、自治區、直轄市人民政府衛生行政部門、中醫藥管理部門給予警告,責令其限期改正;情節嚴重的,對非經營性互聯網醫療保健信息服務提供者處以3000元以上1萬元以下罰款,對經營性互聯網醫療保健信息服務提供者處以1萬元以上3萬元以下罰款;拒不改正的,提出監管處理意見,并移交通信管理部門依法處理;構成犯罪的,移交司法部門追究刑事責任:
(一)超出審核同意范圍提供互聯網醫療保健信息服務的;
(二)超出有效期使用《互聯網醫療保健信息服務審核同意書》的;
(三)未在網站主頁規定位置標明衛生行政部門、中醫藥管理部門審核或者復核同意書編號的;
(四)提供不科學、不準確醫療保健信息服務,并造成不良社會影響的;
醫療信息安全管理辦法范文第4篇
一、建設現狀
(一)基礎設施體系日趨完善
我市各大電信運營商已建成以光纜通信為主,數字微波和衛星通信為輔的大容量、高速率,能為政府、市民、企業提供安全、可靠的通信傳輸網和相應的有線、和無線通信服務,一批國家級的信息網絡在我市均建有節點。目前,全長共計32356.74芯公里,2067.23皮長公里的光纖通信線路已遍布三亞市的每一個角落,真正實現了光纜到大樓(fttb)、光纜到戶(ftth),覆蓋全市100%的鄉鎮和農場,四通八達的光纜網絡為三亞信息化建設應用的接入打造了堅實的基礎。
(二)建立了結構化程度較高的信息資源開發應用體系
我市在底完成公務電子郵箱系統與輿情監控系統的建設,目前運行良好;市政府投資的五塊大型戶外led全彩電子顯示屏系統在4月份建成,收到較好的經濟效益和社會效益。建成了具備了寬帶交換和高速接入能力的三亞市電子政務核心機房,政府辦公自動化系統、電子公文交換系統等一批跨部門的信息共享平臺已投入建設。
明年我市將建設城市公共信息觸摸屏查詢系統等信息服務項目,為市民游客提供多元化的信息查詢平臺。為了積極發揮在公共基礎建設中的主導作用,將“無線數字三亞納入到政府重點建設項目中進行管理。同時,我市分別和中國電信海南分公司、中國移動海南分公司、中國聯通海南分公司簽署全面戰略合作框架協議,重點推進三亞信息惠民、信息強政、信息服務體系建設。
“金橋”、“金卡”、“金稅”等一批重大信息工程在我市的全面實施初步形成了政務、商用、公眾三大信息資源體系。金融、財稅、保險、公安、教育、衛生、農業等行業性內部網絡功能日趨完善。電信網、廣電網在三亞已建成了國內先進的網絡平臺,可滿足社會不同層次對通信和信息服務的需求。
企業信息化組織體系基本確定,40%的企業建立了專門的信息化機構。企業計算機網絡系統初步建立,全市規模以上企業中,約有60%左右建立了計算機局域網或廣域網,重點企業中,cad/cam應用較廣泛,erp正在成為信息技術應用的重點。
1、積極推進電子政務工程建設
我市電子政務項目工程按照“統一建設,統一管理,互聯互通,資源共享”的建設原則,分期安排實施項目,并于底啟動了“信息三亞”項目。目前全市統一的政務門戶網站集群、全市統一的電子政務核心機房和全市統一的政務信息處理平臺的建設已形成基本的框架。
加強政府門戶網站服務體系建設。新版“中國三亞”門戶網站于4月改版完成投入使用,在全省政府門戶網站績效評估中,獲省政務門戶網站評比中二等獎。于12月開通市政府英文網,俄文網也已今年8月份開通運行,韓文網將2010年初開通。
政府門戶網站服務體系初顯成效,70%的部門網站都已建立,市財政局、發改委、民政局、物價局等一批重要部門網站相繼建成,初步實現以政府網為核心,以電子政務平臺為基礎,以政府網數據庫為依托、以市直各機關各專業網站為子網站的網站群體系。
構建我市統一電子黨政內網。三亞市黨政內網以實現市委、市政府辦公自動化、公文流轉、公共信息資源化、數據傳輸證書化和決策科學化為前提,按照“一個城市,一個黨政內網,一個政務數據中心”的建設框架,構建一個安全的覆蓋全市各部門各級政府至基層單位的數據共享、流程同步、綜合性信息化辦公基礎網絡平臺。三亞黨政內網工程于今年9月份啟動,工程分三階段進行,目前進入基礎設計階段,預計2010年初投入使用。
構建多功能政務中心。市政務中心工程是根據我市電子政務發展的實際需要及未來可持續發展,以“系統資源大整合、數據大集中、信息高共享”為原則,依托黨政內網、黨政中心機房,集中管理政務中心電子政務系統和綜合信息數據交換平臺業務設備,整合政府部門的窗口服務流程與部門業務系統的政務信息處理平臺。對建設服務型政府、加快行政管理體制改革和加強政府自身建設具有重要意義。目前我市已啟動政務中心信息化建設工作,預計在2010年3月投入使用。
逐步建成數字城市綜合監管系統平臺。根據我市國際化旅游城市建設管理的需要,我市啟動了市數字城市綜合監管項目的規劃項目,整合三亞市屬各機關、單位、部門、行業、社區的監控系統,快速提高我市國際化旅游城市管理水平,提高城市核心競爭力。其總體設計目標是:標志景點國際化,社會安保常態化,行業監控精細化,部門監控規范化。該項目于2010年初啟動,一期建設將在2010年底完成。
積極推動市政府12345服務熱線建設。市政府12345服務熱線負責處理社會公眾向各機關單位的咨詢、投訴、批評、建議、求助等來電,使政府公開電話服務范圍覆蓋到政府公共服務的全部領域,為社會公眾提供全方位、全天候、高效率24小時不間斷服務。該項目今年初啟動,預計2010年初可開通。
2、加快社會事業信息化建設進程
財政管理綜合信息系統建設收效明顯。配合國家“金財工程”建設,我市加強財政信息資源規劃和整合,建立以預算編制、國庫集中收付和宏觀經濟預測為核心應用的政府財政管理綜合信息系統。全面開展國庫集中支付改革,實現財政資金的全過程規范管理,科學掌握宏觀經濟和財政收支增減因素,為政府財政預算編制、財政支出管理、財政政策調整提供輔助決策依據,提高政府宏觀調控水平。
建立覆蓋全市、資源共享的綜合應用視頻監控網絡,構建全市電子防控報警系統。實施科技強警戰略,深入推進金盾工程建設,已投入建設資金1058萬元,相繼完成了省廳下達的44項“金盾工程”一期建設任務中的42項,完成率達95.5%,同時建設了具有信息化特色11個項目。在全市建成完備的公安信息化基礎設施、動態綜合的公安信息資源庫、高度集成的公安信息化應用體系,基本實現公安工作信息化、現代化。
教育信息服務系統建設逐步完善。初步建立以市級教育網站為核心,面向社會公眾的“一站式”教育信息服務系統。加強了數字化教育資源的建設、整合和共享,優化教育管理信息系統,為社會公眾提供優質教育資源的網絡服務。構建學校—社區—家庭互聯互動的教育信息化平臺,利用學校和社區豐富的教育資源,形成學校教育向家庭延伸、社區教育支持學校教育的大教育體系,為社會公眾提供靈活多樣、開放的網絡化教育和終身教育服務。
勞動保障信息系統不斷完善。為配合國家“金保工程”的建設,我市構建覆蓋市、區、街道、社區勞動保障信息網,建立全市勞動保障數據中心和專業數據庫,優化勞動保障業務流程,整合、改造社會保險系統和勞動力市場系統,實施包括勞動就業、社會保險、醫療保險、社會救助等功能的社會保障卡工程,以信息化手段提供就業與失業救助服務、社會保險金的發放與償付服務。
公共醫療衛生服務信息系統建設不斷推進。初步建立以人為本、以服務患者為中心的衛生信息系統。實現醫療衛生信息實時共享和充分利用,推進公共衛生事件應急指揮、預防控制、衛生監督執法、醫療救治、婦幼保健、健康教育、社區健康中心等信息系統建設,提高醫療衛生的服務、管理、決策水平和資源使用效益。
實施防汛指揮系統建設。建立了以水雨工災情信息采集系統為基礎、通信系統為保障、計算機網絡系統為依托、決策支持系統為核心的三亞市防汛抗旱指揮系統,搭建了三亞市水務信息系統計算機網絡、決策支持系統的結構框架和工作平臺,在我市防汛抗旱工作中發揮了重要作用,取得了巨大的經濟效益和社會效益。
推進征管改革。為貫徹落實省局以信息化建設推進征管改革的要求,并結合實際制定了征管改革方案,以信息化建設為契機,逐步建立并運行稅收一體化征管信息系統,加快全省“金稅工程(三期)海南地稅項目”的建設。
3、嚴把黨政信息化項目審核論證工作質量關
根據《三亞市電子政務工程建設管理辦法》文件精神,市科工信局負責我市黨政信息化項目審核論證工作及市直機關信息化項目建設資金的統籌管理。各部門根據全市電子政務規劃和本部門實際,制定本部門電子政務近期建設規劃,并提出具體的電子政務工程項目和建設內容并組織前期論證,報市科工信局。市科工信局審核各部門近期電子政務工程項目建設,對符合全市電子政務規劃和建設要求并通過前期論證的項目,納入全市電子政務規劃項目庫。
4、完善高效的建設項目管理制度
加強項目管理制度建設是落實電子政務建設決策和規劃,確保電子政務取得實效的關鍵一環。為推進三亞市黨政信息化建設,完善有關信息化建設制度,我市相繼出臺了《三亞市政府網信息員管理暫行規定》、《三亞市政務信息網上公開規定》、《三亞市公務電子郵箱使用管理規定》、《三亞市社區政務信息化管理辦法》、《三亞市政務信息資源共享管理辦法》、《三亞市電子政務工程建設管理辦法》等信息化建設法規。
二、存在的問題
對信息化與工業化融合,信息化建設帶動三亞經濟發展的認識高度不夠;信息技術應用總體水平偏低,“信息孤島”現象嚴重;在投資結構上“重硬輕軟”、“重網輕源”、“重建輕用”現象較為嚴重,信息化對經濟的帶動作用還未充分發揮,信息化對傳統產業尤其是服務業的改造力度急需加強;信息化建設質量和進度缺乏監督考核,組織體制與協調機制仍然偏弱,電子商務的基礎設施條件不完善,運作大項目、引進大企業經驗不足,信息產業實現跨越式發展缺乏動力,信息技術領域人才嚴重匱乏,結構性矛盾突出,高層次信息化人才儲備不足;投融資渠道和項目運營理念有待于創新。
三、措施
1、加大政府投入,創新多元化的信息化建設、管理模式
加大財政部門對信息化建設的支持力度,市直各部門新建的信息化項目必須納入統一規劃和管理,對于確需建設的項目依據“先易后難、急用先建、效益顯著”的原則,統籌規劃,分級建設;對于跨年度的建設項目須按實施進度分年度分批規劃、撥款。合理確定信息化引導資金的規模和投向,積極探索“政府投入、政策補貼、稅收優惠、資源補償”的多方位政府支持渠道,建立“政府引導、市場運作、企業管理”的信息化建設運營模式;設立信息化服務體系專項基金,支持中小企業信息化重點服務平臺工程建設,加強對服務體系關鍵環節的支持。建立和完善適應信息發展的多渠道投融資體制,建立風險投資機制,鼓勵國內外風險投資基金來海南設立機構發展業務。
鼓勵社會資金對信息化建設的投入,對適合社會投資的項目,通過規范的市場運作,吸引社會資金投資信息化建設;采用信息技術外包(ito)、業務流程外包(bpo)、公私合作建設(ppp)等市場化運作模式,降低建設和運行成本,提高信息化建設和運行效率。
對于非政府投入為主建設的信息化公共服務平臺,以及提供軟硬件產品、維護服務、系統集成、解決方案和信息服務的供應商,按照創造經濟效益、自主創新程度、典型示范作用等原則,通過先評估、后補貼方式予以支持。鼓勵企業以合資、合作、特許經營等多種方式,兼顧經濟效益與社會效益,參與公益平臺建設和運營。:
2、組建專業技術研發團隊
隨著我市信息化的發展,高級專業技術人員缺口加大,我市目前已啟動籌建城市信息化研發中心及組建一支高素質專業技術研發團隊,以便更好的完成各類攻堅克難任務,如項目規劃、方案設計、項目審核、技術甄別、項目實施、制定規范及前期項目調研。另外還要肩負著重點基礎平臺、應用軟件的開發、組織及各系統軟件技術的融合工作。
3、加強行業監管,創新信息化項目運營機制
加強三亞數字城市建設的行業監管,盡快形成有效的市場競爭格局。對于信息化平臺和重大工程專項,要在統一監督管理下,實行適度開放,適合獨立運營的項目,采用“政府授權、投資受益、市場競爭”等方式,進行獨立的商業化運營;推進信息資源的深度開發利用,逐步分離政府、企業的信息化運行部門,鼓勵第三方信息服務機構采用商業化運營模式為政府或企業提供信息化服務;本著“誰投資誰受益”的原則,鼓勵社會資本進入大型信息化項目和重大工程專項的建設和運營市場。
醫療信息安全管理辦法范文第5篇
關鍵詞 等級保護;安全;定級;測評
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)99-0208-02
1 背景
隨著醫院信息化的迅猛發展,醫院信息系統已經深入到醫療工作的各個環節之中,信息系統的安全一旦受到威脅將會嚴重影響到醫療活動的順利開展,因此該工作受到了醫院越來越高的重視。
信息安全等級保護是國家出臺的針對信息安全分級保護的制度,其最終目的就是保護重要的信息系統的安全,提高信息系統的防護能力和應急水平。
為了信息安全等級保護制度能夠更好的在各醫院得到有效的落實,國家有關部門針對醫療行業的實際現狀印發了《衛生行業信息安全等級保護工作的指導意見》的通知衛辦發[2011] 85 號,此文件在信息安全保護和醫療行業信息安全管理之間起到承接橋梁的作用。根據文件精神,醫院的核心業務信息系統安全保護等級原則上不低于第三級。
2 醫院信息安全等級保護建設流程
2.1 信息系統定級
信息系統定級主要考慮兩個方面,一是業務信息受到破壞時的客觀對象是誰,二是對于客觀對象的損壞程度如何。兩方面結合根據表1來制定本單位的具體哪個信息系統應該定位第幾級。
針對醫院,一般門診量都比較大,當在早晨掛號、就診等高峰的時候就會有大量的患者排隊,如果一旦發生系統癱瘓就會造成大面積患者排隊,很容易引發。因此,定義為對“社會秩序、公共利益”造成“嚴重損害”,即信息安全等級保護定級為第三級。涉及的信息系統即與掛號、就診等門診患者密切相關的系統。
2.2 信息系統評審與備案
按照等級保護管理辦法和定級指南要求,在完成對本單位信息系統的自主定級后需要將業務系統自主定級結果提交衛生部審批。在定級審批過程中,衛生部組織專家進行評審,并出具《審批意見》。
完成評審后,醫院需要填寫《信息系統安全等級保護備案表》和《信息系統安全等級保護定級報告》,備案表與報告范例可在“中國信息安全等級保護網”進行下載。最后醫院持評審意見、備案表、定級報告到所在地管轄區的市級以上公安機關辦理備案手續,在拿到備案回執和審核結果通知后完成定級備案。
2.3 信息系統安全建設與整改
在完成備案后需要開始對信息系統進行合規性建設與整改,主要分為以下幾個步驟完成。
2.3.1 等級保護差距分析
等級保護的要求整體分為技術與管理兩個方面,而技術又可以分為SAG三類,主要包括:
業務信息安全類(S類):關注的是保護數據在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權的修改,比如在傳輸患者數據及費用數據是否進行了加密傳輸,在傳輸過程中如果出現異常能否及時發現等。
系統服務安全類(A類):關注的是保護系統連續正常的運行,比如機房的電力方面、服務器的負載方面、HIS系統的容錯性與資源控制,是否支持單機掛號、就診、收費、取藥,能夠在系統服務器癱瘓的情況下保存現有數據,并繼續開展診療活動,再有就是災備的建設情況,是否可在系統癱瘓的情況下進行快速恢復。
通用安全保護類(G類):大多數技術類安全要求都屬于此類,屬于基礎類,如機房的物理安全,網絡及主機的訪問控制與審計、信息系統的審計等。
管理方面三級等級保護執行的是管理G3的要求,控制項為154項,醫院需要根據自己的管理制度與控制項進行逐一比對,列出不符合項。
技術方面三級等級保護可進行選擇性執行,主要分為 G3S3A3、G3S1A3、G3S2A3、G3S3A1、G3S3A2,及G類必須達到三級,A類和S類選擇一個達到三級即可。醫院可以根據自身的實際情況選擇一個標準進行差距分析,最嚴格的G3S3A3控制項共計136項。
根據管理、技術共計290個控制項醫院可進行自行評定得出與等級保護三級的差距分析。
2.3.2 安全需求分析
當前,醫院對于信息安全的關注點主要集中在業務連續性與數據隱私保護方面,因此可根據差距分析結果結合醫院實際安全需求進行集中分析,使信息安全的建設工作可以滿足實際的臨床需求,這樣才能使資源有效利用,避免資金投入的浪費。
2.3.3 安全建設/整改方案
在明確需求后就要進行整體的方案設計,在設計過程中,要提出總體規劃(近期、遠期)和詳細設計方案,將其細分為不同的子項目,逐一進行完善,最后應組織專家對方案進行評審。
2.3.4 方案實施
完成方案制定與評審后及進入實施階段,實施過程中應注意管理和技術并重的原則,將技術措施和管理措施有機結合。簡歷信息系統綜合防護體系,提高信息系統整體安全保護能力。
2.4 開展等級測評
信息系統建設完成后,可以著手進行等級保護測評工作,測評需要找公安局認可,具有“DICP”認證的測評機構,機構名稱可以在“中國信息安全等級保護網”進行查詢,測評機構測評周期一般為一個月。等級保護測評的主要流程。
2.4.1 測評準備階段
這個階段主要是測評公司于醫院進行前期的溝通階段,醫院需要向測評機構介紹本單位的大致醫療流程,介紹數據流的輸出過程,介紹系統的拓撲結構、設備的使用情況等,隨后測評機構會根據醫院提供的相關信息準備相關的測評工具及表單。
2.4.2 測評方案制定階段
此階段測評機構會定制測評指標、測評工具接入點,并對測評的內容進行確定,編制測評方案書。隨后與醫院進行溝通,確定現場測評的時間以及現場測評的主要內容和流程。
2.4.3 現場測評階段
此階段測評機構會進駐醫院大約一周左右,主要對上文提到的管理與技術共計290個控制項進行逐一測評,此階段與醫院關系密切,需要逐一測評時雙方要約定好時間,不能影響醫院業務的正常開展,比如做漏洞掃描等需要占用服務器資源的操作時盡量選擇下班等非業務高峰期進行。測評工具的接入前要進行充分測試,保證其對現有業務不會造成任何影響。在此階段醫院的網絡工程師、系統工程師、審計工程師需要在場進行配合。
2.4.4 分析與報告編制階段
完成現場測評后,測評機構會整理所有的單項測評結果,并對其進行分項判定,會對醫院的整體結果進行分析,最后給出測評報告,告知醫院存在的風險點、整改建議和測評結果。
測評結果是標準醫院是否通過測評的主要依據,根據等級保護相關要求,測評結果分為:不符合、部分符合、全部符合,其中不符合為沒有通過測評,部分符合和全部符合為通過測評。根據醫院的逐項測評數據,290個控制項除必須達到的項目外,達到80%以上符合的即可通過測評。
2.5 做好自查與配合監管部門檢查
根據等級保護制度要求,當信息系統定級為第三級時,每年至少進行一次等級保護自查,并且監管部門每年至少來醫院現場檢查一次。因此該項工作是一個長期工作,必須常抓不懈。
2.5.1 等級保護自查
目前公安局已開發出信息安全等級保護自查工具,醫院可以利用工具進行自查,工具主要需要填寫醫院的信息安全組織機構、資產信息、制度信息等基礎信息,然后再進行各備案系統的自查,自查過程需要關聯之前填寫的資產和制度信息。完成后提交當地公安部門。
2.5.2 監督檢查
監管部門多數為當地市屬公安部門,公安部門每年定期對三級系統進行上門檢查,檢查依據主要是自查工具中提供的拓撲、自查以及管理文檔,檢查時間一般為半天,檢查完成后公安部門會對檢查結果進行評定,并對下一步安全工作給出建設性指導意見。
3 等級保護建設總結
信息安全等級保護建設可從合規性和系統內需驅動兩方面考慮,并要定期檢驗建設的合規性、合理性。
合規性是指在政策要求指導下構建醫院完整的信息安全體系。要落實國家等級保護標準;響應衛生部推進等級保護建設工作的指導精神;通過國家等級保護測評;為醫療行業信息安全體系建設以及等級保護建設方面起到試點示范效應。
系統內需驅動是指結合業務發展,進行系統化建設,切實提高自身信息安全防護水平。實現主動防御外部入侵威脅,防范內部不規范操作帶來危害影響;降低日常信息化管理工作難度,提高對復雜、異構信息系統的運管效率,做到“有法可依,有技可行”;對已建、新建和擬建的信息系統進行合理規劃,規范建設。
醫院信息安全建設,要切合自身條件特點,分批分期循序建設,保證醫院各系統能夠長期穩定安全運行,以適應醫院不斷擴展的業務應用和管理需求,這才是信息安全等級保護建設的重要意義所在。
參考文獻
[1]信息系統安全保護定級指南.
