人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報(bào)告

1、縣第二人民醫(yī)院網(wǎng)絡(luò)與信息安全自查工作總結(jié)報(bào)告接到縣衛(wèi)生局辦公室關(guān)于印發(fā)年重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查行動(dòng)工作方案的通知后，我院領(lǐng)導(dǎo)高度重視，立即召開(kāi)相關(guān)科室負(fù)責(zé)人會(huì)議，深入學(xué)習(xí)和認(rèn)真貫徹落實(shí)文件精神，充分認(rèn)識(shí)到開(kāi)展網(wǎng)絡(luò)與信息安全自查工作的重要性和必要性，對(duì)自查工作做了詳細(xì)部署，由主管院長(zhǎng)負(fù)責(zé)安排、協(xié)調(diào)相關(guān)檢查部門、監(jiān)督檢查項(xiàng)目，由信息部門負(fù)責(zé)具體檢查和自查工作，并就自查中發(fā)現(xiàn)的問(wèn)題認(rèn)真做好相關(guān)記錄，及時(shí)整改完善。長(zhǎng)期以來(lái)，我院在信息化建設(shè)過(guò)程中，一直非常重視網(wǎng)絡(luò)與信息安全工作，并采取先進(jìn)的安全管理規(guī)范、有效的安全管理措施。醫(yī)院成立了網(wǎng)絡(luò)信息安全工作領(lǐng)導(dǎo)小組，在組長(zhǎng)石云生同志的領(lǐng)導(dǎo)下，制定計(jì)劃，明

2、確責(zé)任，具體落實(shí)，對(duì)醫(yī)院his、醫(yī)保、合作醫(yī)療系統(tǒng)網(wǎng)絡(luò)與信息安全進(jìn)行了一次全面的調(diào)查。發(fā)現(xiàn)問(wèn)題，分析問(wèn)題，解決問(wèn)題，確保了網(wǎng)絡(luò)能更好地保持良好運(yùn)行， 根據(jù)互聯(lián)網(wǎng)安全和院內(nèi)局域網(wǎng)安全的相應(yīng)特點(diǎn)，逐項(xiàng)排查，消除安全隱患，現(xiàn)將我院信息安全工作情況匯報(bào)如下。一、信息安全工基本情況（一）網(wǎng)絡(luò)安全管理：我院的網(wǎng)絡(luò)分為互聯(lián)網(wǎng)和院內(nèi)局域網(wǎng)，兩網(wǎng)絡(luò)實(shí)現(xiàn)物理隔離，以確保兩網(wǎng)能夠獨(dú)立、安全、高效運(yùn)行。重點(diǎn)抓好“三大安全”排查。1.硬件安全，包括防雷、防火、防盜和ups電源連接等。醫(yī)院his服務(wù)器機(jī)房嚴(yán)格按照機(jī)房標(biāo)準(zhǔn)建設(shè)，工作人員堅(jiān)持每天巡查，排除安全隱患。his服務(wù)器、多口交換機(jī)、路由器都有ups電源保護(hù)，可以保證

3、短時(shí)間斷電情況下，設(shè)備運(yùn)行正常，不至于因突然斷電致設(shè)備損壞。2.網(wǎng)絡(luò)安全:包括網(wǎng)絡(luò)結(jié)構(gòu)、密碼管理、ip管理、互聯(lián)網(wǎng)行為管理等；網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)絡(luò)結(jié)構(gòu)合理，網(wǎng)絡(luò)連接的穩(wěn)定性，網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器、光纖收發(fā)器等）的穩(wěn)定性。his系統(tǒng)的操作員，每人有自己的登錄名和密碼，并分配相應(yīng)的操作員權(quán)限，不得使用其他人的操作賬戶，賬戶施行“誰(shuí)使用、誰(shuí)管理、誰(shuí)負(fù)責(zé)” 的管理制度?；ヂ?lián)網(wǎng)和院內(nèi)局域網(wǎng)均施行固定ip地址，由醫(yī)院統(tǒng)一分配、管理，不允許私自添加新ip，未經(jīng)分配的ip均無(wú)法實(shí)現(xiàn)上網(wǎng)。為保障醫(yī)院互聯(lián)網(wǎng)能夠滿足正常的辦公需要，通過(guò)路由器對(duì)于p2p等應(yīng)用軟件進(jìn)行了屏蔽，有效地阻止了有人利用辦公電腦在上班期間在線

4、看視頻、玩游戲等，極大地提高了互聯(lián)網(wǎng)的辦公利用率。（二）數(shù)據(jù)庫(kù)安全管理：我院目前運(yùn)行的數(shù)據(jù)庫(kù)為oracle10.2.0 his數(shù)據(jù)庫(kù)，是醫(yī)院診療、劃價(jià)、收費(fèi)、查詢、統(tǒng)計(jì)等各項(xiàng)業(yè)務(wù)能夠正常進(jìn)行的基礎(chǔ)，為確保醫(yī)院各項(xiàng)業(yè)務(wù)正常、高效運(yùn)行，數(shù)據(jù)庫(kù)安全管理是極為有必要的。數(shù)據(jù)庫(kù)系統(tǒng)的安全特性主要是針對(duì)數(shù)據(jù)的技術(shù)防護(hù)而言的，包括數(shù)據(jù)安全性、并發(fā)控制、故障恢復(fù)、數(shù)據(jù)庫(kù)容災(zāi)備份等幾個(gè)方面。我院對(duì)數(shù)據(jù)安全性采取以下措施：（1）將數(shù)據(jù)庫(kù)中需要保護(hù)的部分與其他部分相隔。（2）采用授權(quán)規(guī)則，如賬戶、口令和權(quán)限控制等訪問(wèn)控制方法。（3）對(duì)數(shù)據(jù)進(jìn)行加密后存儲(chǔ)于數(shù)據(jù)庫(kù)；如果數(shù)據(jù)庫(kù)應(yīng)用要實(shí)現(xiàn)多用戶共享數(shù)據(jù)，就可能在同一時(shí)刻多

5、個(gè)用戶要存取數(shù)據(jù)，這種事件叫做并發(fā)事件。當(dāng)一個(gè)用戶取出數(shù)據(jù)進(jìn)行修改，在修改存入數(shù)據(jù)庫(kù)之前如有其它用戶再取此數(shù)據(jù)，那么讀出的數(shù)據(jù)就是不正確的。這時(shí)就需要對(duì)這種并發(fā)操作施行控制，排除和避免這種錯(cuò)誤的發(fā)生，保證數(shù)據(jù)的正確性；數(shù)據(jù)庫(kù)管理系統(tǒng)提供一套方法，可及時(shí)發(fā)現(xiàn)故障和修復(fù)故障，從而防止數(shù)據(jù)被破壞。數(shù)據(jù)庫(kù)系統(tǒng)能盡快恢復(fù)數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行時(shí)出現(xiàn)的故障，可能是物理上或是邏輯上的錯(cuò)誤。比如對(duì)系統(tǒng)的誤操作造成的數(shù)據(jù)錯(cuò)誤等；數(shù)據(jù)庫(kù)容災(zāi)備份是數(shù)據(jù)庫(kù)安全管理中極為重要的一部分，是數(shù)據(jù)庫(kù)有效、安全運(yùn)行的最后保障，也是保障數(shù)據(jù)庫(kù)信息能夠長(zhǎng)期保存的有效措施。（三）軟件管理：目前我院在運(yùn)行的軟件主要分為三類：his系統(tǒng)、常用辦

6、公軟件和殺毒軟件。his系統(tǒng)是我院日常業(yè)務(wù)中最主要的軟件，是保障醫(yī)院診療活動(dòng)正常進(jìn)行的基礎(chǔ)，自2012年上線以來(lái)，運(yùn)行很穩(wěn)定，未出現(xiàn)過(guò)重大安全問(wèn)題，并根據(jù)業(yè)務(wù)需要，不斷更新充實(shí)。對(duì)于新入職的員工，上崗前會(huì)進(jìn)行一次培訓(xùn)，向其講解his系統(tǒng)操作流程、規(guī)范，也包括安全知識(shí)，確保其在使用過(guò)程中不會(huì)出現(xiàn)重大安全問(wèn)題。常用辦公軟件均由醫(yī)院信部門統(tǒng)一安裝，維護(hù)。殺毒軟件是保障電腦系統(tǒng)防病毒、防木馬、防篡改、防癱瘓、防攻擊、防泄密的有效工具。所有電腦，均安裝了正版殺毒軟件（卡巴斯基殺毒軟件、瑞星殺毒軟件和360安全衛(wèi)士），并定期更新病毒庫(kù)，以保證殺毒軟件的防御能力始終保持在很高的水平。二、自查情況（一）安全管

7、理方面成立了信息網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組，院長(zhǎng)任組長(zhǎng)，分管副院長(zhǎng)任副組長(zhǎng)，各科室主任為成員，并設(shè)置了專職信息安全員，做到了分工明確、責(zé)任到人。為確保信息網(wǎng)絡(luò)安全，我院實(shí)行了網(wǎng)絡(luò)專管員制度、計(jì)算機(jī)安全保密制度、網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)信息安全突發(fā)事件應(yīng)急預(yù)案等以有效提高管理人員的工作效率。另外還制定了人員離職離崗安全規(guī)定、外部人員訪問(wèn)審批表，存儲(chǔ)介質(zhì)管理，完善了存儲(chǔ)介質(zhì)管理制度，運(yùn)行維護(hù)管理，建立了信息系統(tǒng)運(yùn)行維護(hù)操作記錄表，完善了信息系統(tǒng)日常運(yùn)行維護(hù)制度，同時(shí)我院結(jié)合自身情況制定網(wǎng)絡(luò)信息安全自查工作制度，做到四個(gè)確保：一是信息安全員于每周五定期檢查單位計(jì)算機(jī)系統(tǒng)，確保無(wú)隱患問(wèn)題；二是制定安全檢查工作

8、記錄，確保工作落實(shí)；三是實(shí)行領(lǐng)導(dǎo)定期詢問(wèn)制度，由信息安全員匯報(bào)計(jì)算機(jī)使用情況，確保情況隨時(shí)掌握；四是定期組織全院人員學(xué)習(xí)網(wǎng)絡(luò)知識(shí)，提高計(jì)算機(jī)使用水平，加強(qiáng)安全防范。（二）技術(shù)防護(hù)方面一是制定了網(wǎng)絡(luò)信息安全突發(fā)事件應(yīng)急預(yù)案，并隨著信息化程度的深入，結(jié)合我院實(shí)際，不斷加以完善；二是信息管理員嚴(yán)格管理；三是及時(shí)對(duì)系統(tǒng)和軟件進(jìn)行更新，對(duì)重要文件、信息資源做到及時(shí)備份，數(shù)據(jù)恢復(fù)；四是計(jì)算機(jī)由專業(yè)公司定點(diǎn)維修，并商定其給予應(yīng)急技術(shù)支持，重要系統(tǒng)皆為政府指定的產(chǎn)品系統(tǒng)；五是配置安裝了專業(yè)殺毒軟件，加強(qiáng)了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性，安裝了針對(duì)移動(dòng)存儲(chǔ)設(shè)備的專業(yè)殺毒軟件。同時(shí)，涉密計(jì)

9、算機(jī)不和其它計(jì)算機(jī)之間相互共享。對(duì)重要服務(wù)器上的應(yīng)用、服務(wù)、端口和鏈接都進(jìn)行了安全檢查并加固處理，根據(jù)系統(tǒng)服務(wù)需求，按需開(kāi)放端口，遵循最小服務(wù)配置原則。一旦發(fā)生網(wǎng)絡(luò)信息安全事故應(yīng)立即報(bào)告相關(guān)方面并及時(shí)進(jìn)行協(xié)調(diào)處理。（三）應(yīng)急處理方面我院his系統(tǒng)服務(wù)器運(yùn)行安全、穩(wěn)定，并配備了大型ups電源，可以保證大面積斷電情況下，服務(wù)器堅(jiān)持運(yùn)行半小時(shí)。雖然醫(yī)院的his系統(tǒng)長(zhǎng)期以來(lái)，運(yùn)行良好，服務(wù)器未發(fā)生過(guò)長(zhǎng)時(shí)間宕機(jī)時(shí)間，但醫(yī)院仍然制定了應(yīng)急處置預(yù)案，并對(duì)收費(fèi)操作員和護(hù)士進(jìn)行過(guò)培訓(xùn)，如果醫(yī)院出現(xiàn)大面積、長(zhǎng)時(shí)間停電情況，his系統(tǒng)無(wú)法正常運(yùn)行，將臨時(shí)開(kāi)始手工收費(fèi)、記賬、發(fā)藥，以確保診療活動(dòng)能夠正常、有序地進(jìn)行，

10、待到his系統(tǒng)恢復(fù)正常工作時(shí)，再補(bǔ)打發(fā)票、補(bǔ)記收費(fèi)項(xiàng)目。（四）容災(zāi)備份我院采用雙機(jī)熱備份系統(tǒng)，備份類型為完全備份，每天凌晨備份整個(gè)數(shù)據(jù)庫(kù)，包含用戶表、系統(tǒng)表、索引、視圖和存儲(chǔ)過(guò)程等所有數(shù)據(jù)庫(kù)對(duì)象。在備份數(shù)據(jù)的過(guò)程中，主、從服務(wù)器正常運(yùn)行，各客戶端的業(yè)務(wù)能正常進(jìn)行，當(dāng)出現(xiàn)設(shè)備故障時(shí)，保證了數(shù)據(jù)完整。三、自查發(fā)現(xiàn)的主要問(wèn)題和面臨的威脅分析（一）發(fā)現(xiàn)的主要問(wèn)題和薄弱環(huán)節(jié)在本次檢查過(guò)程中，也暴露出了一些問(wèn)題，一是由于投入不足。二是信息管理技術(shù)人員較少，信息系統(tǒng)安全方面可投入的力量有限。三是規(guī)章制度體系初步建立，但還不完善，未能覆蓋信息系統(tǒng)安全的所有方面；四是個(gè)別職工計(jì)算機(jī)保密意識(shí)、安全意識(shí)還不夠高，要

11、加強(qiáng)防范意識(shí)；五是遇到計(jì)算機(jī)病毒侵襲等突發(fā)事件處理不夠及時(shí)。（二）面臨的安全威脅與風(fēng)險(xiǎn)信息管理技術(shù)人員較少，日常網(wǎng)絡(luò)信息安全檢查維護(hù)工作深入不夠。（三）整體安全狀況的基本判斷 縣第二人民醫(yī)院網(wǎng)絡(luò)安全總體狀況良好，未發(fā)生重大信息安全事故。四、改進(jìn)措施及整改效果（一）、整改措施針對(duì)以上自查中發(fā)現(xiàn)的隱患與不足，為進(jìn)一步加強(qiáng)信息網(wǎng)絡(luò)系統(tǒng)安全，應(yīng)圍繞信息系統(tǒng)安全綜合治理的工作目標(biāo)，重點(diǎn)在完善規(guī)章制度、豐富技術(shù)手段上下功夫，認(rèn)真開(kāi)展整改工作。1、強(qiáng)化應(yīng)急響應(yīng)機(jī)制建設(shè)。制定周密的應(yīng)急預(yù)案，加強(qiáng)應(yīng)急技術(shù)支援隊(duì)伍建設(shè)，認(rèn)真做好應(yīng)急演練、重大信息安全事故處置、重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)備份等各項(xiàng)工作，確保信息系統(tǒng)安全正常

12、運(yùn)行。2、強(qiáng)化制度保障。一是以制度為根本，在進(jìn)一步完善信息安全制度的同時(shí)，安排專人，完善設(shè)施，密切監(jiān)測(cè)，隨時(shí)隨地解決可能發(fā)生的信息系統(tǒng)安全事故；二是不定期的對(duì)安全制度執(zhí)行情況進(jìn)行檢查，對(duì)于導(dǎo)致不良后果的責(zé)任人，要嚴(yán)肅追究責(zé)任，從而提高人員安全防護(hù)意識(shí)。3、加強(qiáng)信息安全教育培訓(xùn)。建議舉辦信息安全技術(shù)培訓(xùn)班，對(duì)信息安全管理人員進(jìn)行集中培訓(xùn)，以增強(qiáng)安全防范意識(shí)和應(yīng)對(duì)能力，進(jìn)一步提高醫(yī)院信息系統(tǒng)安全管理水平。4、加強(qiáng)對(duì)職工的安全意識(shí)教育。加強(qiáng)對(duì)全院職工的安全意識(shí)教育，提高做好安全工作的主動(dòng)性和自覺(jué)性，增強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)安全的防范和保密意識(shí)（二）整改效果 醫(yī)院領(lǐng)導(dǎo)高度重視，認(rèn)真落實(shí)各項(xiàng)整改措施，經(jīng)過(guò)培訓(xùn)教育，全體干部職工對(duì)網(wǎng)絡(luò)信息安全有了更深入的了解，并在工作中時(shí)刻注意維護(hù)信息安全，使我院網(wǎng)絡(luò)安全總體狀況良好，未發(fā)生重大信息安全事故