人民醫(yī)院網(wǎng)絡與信息安全自查工作總結報告

1、縣第二人民醫(yī)院網(wǎng)絡與信息安全自查工作總結報告接到縣衛(wèi)生局辦公室關于印發(fā)年重點領域網(wǎng)絡與信息安全檢查行動工作方案的通知后，我院領導高度重視，立即召開相關科室負責人會議，深入學習和認真貫徹落實文件精神，充分認識到開展網(wǎng)絡與信息安全自查工作的重要性和必要性，對自查工作做了詳細部署，由主管院長負責安排、協(xié)調(diào)相關檢查部門、監(jiān)督檢查項目，由信息部門負責具體檢查和自查工作，并就自查中發(fā)現(xiàn)的問題認真做好相關記錄，及時整改完善。長期以來，我院在信息化建設過程中，一直非常重視網(wǎng)絡與信息安全工作，并采取先進的安全管理規(guī)范、有效的安全管理措施。醫(yī)院成立了網(wǎng)絡信息安全工作領導小組，在組長石云生同志的領導下，制定計劃，明

2、確責任，具體落實，對醫(yī)院his、醫(yī)保、合作醫(yī)療系統(tǒng)網(wǎng)絡與信息安全進行了一次全面的調(diào)查。發(fā)現(xiàn)問題，分析問題，解決問題，確保了網(wǎng)絡能更好地保持良好運行， 根據(jù)互聯(lián)網(wǎng)安全和院內(nèi)局域網(wǎng)安全的相應特點，逐項排查，消除安全隱患，現(xiàn)將我院信息安全工作情況匯報如下。一、信息安全工基本情況（一）網(wǎng)絡安全管理：我院的網(wǎng)絡分為互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)，兩網(wǎng)絡實現(xiàn)物理隔離，以確保兩網(wǎng)能夠獨立、安全、高效運行。重點抓好“三大安全”排查。1.硬件安全，包括防雷、防火、防盜和ups電源連接等。醫(yī)院his服務器機房嚴格按照機房標準建設，工作人員堅持每天巡查，排除安全隱患。his服務器、多口交換機、路由器都有ups電源保護，可以保證

3、短時間斷電情況下，設備運行正常，不至于因突然斷電致設備損壞。2.網(wǎng)絡安全:包括網(wǎng)絡結構、密碼管理、ip管理、互聯(lián)網(wǎng)行為管理等；網(wǎng)絡結構包括網(wǎng)絡結構合理，網(wǎng)絡連接的穩(wěn)定性，網(wǎng)絡設備（交換機、路由器、光纖收發(fā)器等）的穩(wěn)定性。his系統(tǒng)的操作員，每人有自己的登錄名和密碼，并分配相應的操作員權限，不得使用其他人的操作賬戶，賬戶施行“誰使用、誰管理、誰負責” 的管理制度。互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)均施行固定ip地址，由醫(yī)院統(tǒng)一分配、管理，不允許私自添加新ip，未經(jīng)分配的ip均無法實現(xiàn)上網(wǎng)。為保障醫(yī)院互聯(lián)網(wǎng)能夠滿足正常的辦公需要，通過路由器對于p2p等應用軟件進行了屏蔽，有效地阻止了有人利用辦公電腦在上班期間在線

4、看視頻、玩游戲等，極大地提高了互聯(lián)網(wǎng)的辦公利用率。（二）數(shù)據(jù)庫安全管理：我院目前運行的數(shù)據(jù)庫為oracle10.2.0 his數(shù)據(jù)庫，是醫(yī)院診療、劃價、收費、查詢、統(tǒng)計等各項業(yè)務能夠正常進行的基礎，為確保醫(yī)院各項業(yè)務正常、高效運行，數(shù)據(jù)庫安全管理是極為有必要的。數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對數(shù)據(jù)的技術防護而言的，包括數(shù)據(jù)安全性、并發(fā)控制、故障恢復、數(shù)據(jù)庫容災備份等幾個方面。我院對數(shù)據(jù)安全性采取以下措施：（1）將數(shù)據(jù)庫中需要保護的部分與其他部分相隔。（2）采用授權規(guī)則，如賬戶、口令和權限控制等訪問控制方法。（3）對數(shù)據(jù)進行加密后存儲于數(shù)據(jù)庫；如果數(shù)據(jù)庫應用要實現(xiàn)多用戶共享數(shù)據(jù)，就可能在同一時刻多

5、個用戶要存取數(shù)據(jù)，這種事件叫做并發(fā)事件。當一個用戶取出數(shù)據(jù)進行修改，在修改存入數(shù)據(jù)庫之前如有其它用戶再取此數(shù)據(jù)，那么讀出的數(shù)據(jù)就是不正確的。這時就需要對這種并發(fā)操作施行控制，排除和避免這種錯誤的發(fā)生，保證數(shù)據(jù)的正確性；數(shù)據(jù)庫管理系統(tǒng)提供一套方法，可及時發(fā)現(xiàn)故障和修復故障，從而防止數(shù)據(jù)被破壞。數(shù)據(jù)庫系統(tǒng)能盡快恢復數(shù)據(jù)庫系統(tǒng)運行時出現(xiàn)的故障，可能是物理上或是邏輯上的錯誤。比如對系統(tǒng)的誤操作造成的數(shù)據(jù)錯誤等；數(shù)據(jù)庫容災備份是數(shù)據(jù)庫安全管理中極為重要的一部分，是數(shù)據(jù)庫有效、安全運行的最后保障，也是保障數(shù)據(jù)庫信息能夠長期保存的有效措施。（三）軟件管理：目前我院在運行的軟件主要分為三類：his系統(tǒng)、常用辦

6、公軟件和殺毒軟件。his系統(tǒng)是我院日常業(yè)務中最主要的軟件，是保障醫(yī)院診療活動正常進行的基礎，自2012年上線以來，運行很穩(wěn)定，未出現(xiàn)過重大安全問題，并根據(jù)業(yè)務需要，不斷更新充實。對于新入職的員工，上崗前會進行一次培訓，向其講解his系統(tǒng)操作流程、規(guī)范，也包括安全知識，確保其在使用過程中不會出現(xiàn)重大安全問題。常用辦公軟件均由醫(yī)院信部門統(tǒng)一安裝，維護。殺毒軟件是保障電腦系統(tǒng)防病毒、防木馬、防篡改、防癱瘓、防攻擊、防泄密的有效工具。所有電腦，均安裝了正版殺毒軟件（卡巴斯基殺毒軟件、瑞星殺毒軟件和360安全衛(wèi)士），并定期更新病毒庫，以保證殺毒軟件的防御能力始終保持在很高的水平。二、自查情況（一）安全管

7、理方面成立了信息網(wǎng)絡安全工作領導小組，院長任組長，分管副院長任副組長，各科室主任為成員，并設置了專職信息安全員，做到了分工明確、責任到人。為確保信息網(wǎng)絡安全，我院實行了網(wǎng)絡專管員制度、計算機安全保密制度、網(wǎng)絡安全管理制度、網(wǎng)絡信息安全突發(fā)事件應急預案等以有效提高管理人員的工作效率。另外還制定了人員離職離崗安全規(guī)定、外部人員訪問審批表，存儲介質管理，完善了存儲介質管理制度，運行維護管理，建立了信息系統(tǒng)運行維護操作記錄表，完善了信息系統(tǒng)日常運行維護制度，同時我院結合自身情況制定網(wǎng)絡信息安全自查工作制度，做到四個確保：一是信息安全員于每周五定期檢查單位計算機系統(tǒng)，確保無隱患問題；二是制定安全檢查工作

8、記錄，確保工作落實；三是實行領導定期詢問制度，由信息安全員匯報計算機使用情況，確保情況隨時掌握；四是定期組織全院人員學習網(wǎng)絡知識，提高計算機使用水平，加強安全防范。（二）技術防護方面一是制定了網(wǎng)絡信息安全突發(fā)事件應急預案，并隨著信息化程度的深入，結合我院實際，不斷加以完善；二是信息管理員嚴格管理；三是及時對系統(tǒng)和軟件進行更新，對重要文件、信息資源做到及時備份，數(shù)據(jù)恢復；四是計算機由專業(yè)公司定點維修，并商定其給予應急技術支持，重要系統(tǒng)皆為政府指定的產(chǎn)品系統(tǒng)；五是配置安裝了專業(yè)殺毒軟件，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性，安裝了針對移動存儲設備的專業(yè)殺毒軟件。同時，涉密計

9、算機不和其它計算機之間相互共享。對重要服務器上的應用、服務、端口和鏈接都進行了安全檢查并加固處理，根據(jù)系統(tǒng)服務需求，按需開放端口，遵循最小服務配置原則。一旦發(fā)生網(wǎng)絡信息安全事故應立即報告相關方面并及時進行協(xié)調(diào)處理。（三）應急處理方面我院his系統(tǒng)服務器運行安全、穩(wěn)定，并配備了大型ups電源，可以保證大面積斷電情況下，服務器堅持運行半小時。雖然醫(yī)院的his系統(tǒng)長期以來，運行良好，服務器未發(fā)生過長時間宕機時間，但醫(yī)院仍然制定了應急處置預案，并對收費操作員和護士進行過培訓，如果醫(yī)院出現(xiàn)大面積、長時間停電情況，his系統(tǒng)無法正常運行，將臨時開始手工收費、記賬、發(fā)藥，以確保診療活動能夠正常、有序地進行，

10、待到his系統(tǒng)恢復正常工作時，再補打發(fā)票、補記收費項目。（四）容災備份我院采用雙機熱備份系統(tǒng)，備份類型為完全備份，每天凌晨備份整個數(shù)據(jù)庫，包含用戶表、系統(tǒng)表、索引、視圖和存儲過程等所有數(shù)據(jù)庫對象。在備份數(shù)據(jù)的過程中，主、從服務器正常運行，各客戶端的業(yè)務能正常進行，當出現(xiàn)設備故障時，保證了數(shù)據(jù)完整。三、自查發(fā)現(xiàn)的主要問題和面臨的威脅分析（一）發(fā)現(xiàn)的主要問題和薄弱環(huán)節(jié)在本次檢查過程中，也暴露出了一些問題，一是由于投入不足。二是信息管理技術人員較少，信息系統(tǒng)安全方面可投入的力量有限。三是規(guī)章制度體系初步建立，但還不完善，未能覆蓋信息系統(tǒng)安全的所有方面；四是個別職工計算機保密意識、安全意識還不夠高，要

11、加強防范意識；五是遇到計算機病毒侵襲等突發(fā)事件處理不夠及時。（二）面臨的安全威脅與風險信息管理技術人員較少，日常網(wǎng)絡信息安全檢查維護工作深入不夠。（三）整體安全狀況的基本判斷 縣第二人民醫(yī)院網(wǎng)絡安全總體狀況良好，未發(fā)生重大信息安全事故。四、改進措施及整改效果（一）、整改措施針對以上自查中發(fā)現(xiàn)的隱患與不足，為進一步加強信息網(wǎng)絡系統(tǒng)安全，應圍繞信息系統(tǒng)安全綜合治理的工作目標，重點在完善規(guī)章制度、豐富技術手段上下功夫，認真開展整改工作。1、強化應急響應機制建設。制定周密的應急預案，加強應急技術支援隊伍建設，認真做好應急演練、重大信息安全事故處置、重要數(shù)據(jù)和業(yè)務系統(tǒng)備份等各項工作，確保信息系統(tǒng)安全正常

12、運行。2、強化制度保障。一是以制度為根本，在進一步完善信息安全制度的同時，安排專人，完善設施，密切監(jiān)測，隨時隨地解決可能發(fā)生的信息系統(tǒng)安全事故；二是不定期的對安全制度執(zhí)行情況進行檢查，對于導致不良后果的責任人，要嚴肅追究責任，從而提高人員安全防護意識。3、加強信息安全教育培訓。建議舉辦信息安全技術培訓班，對信息安全管理人員進行集中培訓，以增強安全防范意識和應對能力，進一步提高醫(yī)院信息系統(tǒng)安全管理水平。4、加強對職工的安全意識教育。加強對全院職工的安全意識教育，提高做好安全工作的主動性和自覺性，增強對計算機信息系統(tǒng)安全的防范和保密意識（二）整改效果 醫(yī)院領導高度重視，認真落實各項整改措施，經(jīng)過培訓教育，全體干部職工對網(wǎng)絡信息安全有了更深入的了解，并在工作中時刻注意維護信息安全，使我院網(wǎng)絡安全總體狀況良好，未發(fā)生重大信息安全事故