1、医院信息数据安全管理制度 标签: 标题2016 医院信息数据安全管理制度 保护医疗信息不泄露,关注医院信息安全医院信息数据安全管理制度|2015-09- 169:36 经历20多年的发展,中国医疗信息化建设已初具规模,医院信息系统(HIS) 为 医院的正常运营和科学化管理提供保障,然而,医院信息管理系统在信息安全保密 方面依然是医疗信息化建设的短板,严重影响或制约了信息化进程。 谁为医疗信息补漏 随着信息技术的不断发展,在医院这种社会公共服务领域,收集和储存了大量 的公民个人信息。但在当前对医疗行业提供的网络安全技术解决方案中,仍以防火 墙(FW)防病毒 (AV)为主流选择,但是这些传统的安全技术手段只能阻挡部分从外部 到内部的攻击,并且对来自内部的信息窃取完全无能为力,这就导致了“泄密门” 事件一次次发生,引发重要数据的丢失、破坏,不仅严重影响到医院网络的正常运 行,还直接威胁到患者的隐私和生命安全。 安全隐患暴露最近,深圳就发生了一次全市的孕妇信息库泄露事件,不法分子 将孕妇的资料制成了“泄密光盘”,4万条包括孕妇姓名、出生日期( 婴儿) 、户口 性质( 流动、暂住、常住 ) 、家
2、庭住址、联系电话、以 1 / 8 感谢观看本文 谢谢 标签: 标题2016 及就诊医院及预产期的信息以每条0.3 元的价格进行销售,更令人咂舌的是这 些信息每月还“滚动更新”,累计达到了10万条。 而据记者调查发现,很多乳品厂商也通过固定的渠道从医院套取孕妇的个人信 息来达到赚钱的目的。甚至,某些医院的个别工作人员已经和一些个人医疗信息的 “收购贩子”形成了秘密而固定的“销售渠道”,一般人很难插手。 调查中,乳品企业的一名销售经理向记者出示了一打儿厚厚的,记录了产妇及 其丈夫个人信息的表格。随后,记者按照这位销售经理提供的号码拨打了某医院产 科护士长的电话,表示要购买个人信息,对方很严肃地说: “不行,我们这里的个 人信息是严格保密的,绝对不可以出售。”而当那位销售经理亲自给那家医院的产 科护士长打电话时,对方却让他过去取资料。 事实上,医院出现信息系统安全的问题已经相当普遍,采访中国内某医院的一 位IT中心工作人员向记者抱怨道,“信息安全的重要性,恐怕只有IT 部门知道,而 当今大多数医院的 IT部门,在医院充其量还只是扮演保姆的角色。” 这位工作人员指出,国内医院信息化普遍起步晚、
3、投入少,基本的IT 软硬件环 境尚且捉襟见肘,更无法 2 / 8 感谢观看本文 谢谢 标签: 标题2016 顾及信息安全系统建设。像他所在这的这家有着数十年建院史的大型医院,在 IT 投资上也可谓“保守”,在近20年的信息化过程中,信息装备投入十分有限,仅 仅在近几年,才投入几百万元对全院的网络进行升级。 “而更严重的是,目前医院的IT 部门普遍处于很低的地位,信息安全在医院领 导观念中就更为淡漠,这造成了医院IT 投资优先考虑的是业务的需求,而非保障信 息安全。这给医院的信息系统埋下了巨大的安全隐患。”这位工作人员表示。 滥用权限严重如何才能解决当前的医院信息安全问题呢?首先我们需要了解下 目前医院信息安全的问题所在。 据有着多年医疗行业系统集成经验的蓝天科技的总经理钱朝阳博士介绍,由于 医院内部的滥用过高权限、滥用合法权、非法接入等行为导致目前我国的医疗信息 安全主要存在三方面的问题: 第一,没有重视和执行对医务人员的信息安全知识、 法规、标准的宣传、培训、考核,没有规定和实行医院信息系统安全的相关制度; 第二,网络安全观念较为老旧,网络设计存在缺陷,比如过于单方面依赖防火墙; 第
4、三,对 HIS系统,没有一定的安全监督、审查、验收机制。 “目前很多医院的一把手开始重视信息安全的问题, 3 / 8 感谢观看本文 谢谢 标签: 标题2016 只有从根本管理制度上解决医院工作人员对医疗信息的权限混乱,无人监管问 题,才能解困医院的信息安全谜题。” 基于医疗系统的信息安全隐患,钱朝阳提出,目前医疗系统的信息安全建设也 要针对性的分三步来走 : 第一步,加强内部管理,在提高医务人员保护患者个人信 息及医疗信息意识的同时,制定符合本单位实际情况的管理制度; 第二步,重点保 护核心业务系统 ; 第三步,进行统一的安全管理,全面、高效保障网络及信息安全 。 钱朝阳认为防护核心业务系统是三步中最重要的一步。而如何才能保护核心的 业务系统呢 ? “我们需要有一个专业的审计系统,这个审计系统不仅要具备基本对话的行为 分析和本身的隐蔽性、宜用性两个基本特征,而且为了更好的保护医疗信息系统的 安全。”网御神州安全管理高级产品经理叶蓬认为,保护核心的业务系统的关键是 要建立专业的审计系统。 而审计系统必须具备三大功能: 一、可自定义及识别风险较高的行为操作,并 可对此类操作进行告警,采用电
5、子邮件、SNMPTrap 等方式通知网络安全管理人员; 二、对已定义的不合规操作,可通过与网络设备 4 / 8 感谢观看本文 谢谢 标签: 标题2016 或安全设备共同协作来关闭通信,以阻止正在进行的操作; 三、系统需具备报 表系统,可以按组管理,可以对报表生成进行日程规划,提供打印、导出以及邮件 送达等服务,并根据计划归档报告,归档之后发送邮件通知。 了解了问题所在,医院的信息主管应该怎么办呢? 内控审计解困一段时间以来,我国政府相关部门对包括医院信息泄密在内的信 息安全事故加大了处罚力度。今年2月28日,全国人大常委会通过了刑法修正案(七 ) 的表决,并且从颁布之日起实施。规定单位如果泄露或非法获取公民个人信息, 将被判处罚金,并追究直接负责的主管人员和其他直接责任人员的刑事责任。这使 得愈来愈多的医院意识到,信息安全建设的重要性。 另一方面,医院网络及信息作为改革医院管理体制、提高服务质量的重要保障 ,必然对医院的信息安全管理也提出了很高的要求。4月6日,历时两年多时间的, 倍受关注的新一轮医改方案终于出台。而根据关于深化医药卫生体制改革的意见 和 2015- 2011年深化医药
6、卫生体制改革实施方案规定,我国计划到2011年国家投入 8500万 逐步改革公立医院管理体制和运行、监管机制,提高公立医疗机构服务水平,推 5 / 8 感谢观看本文 谢谢 标签: 标题2016 进公立医院补偿机制改革,加快形成多元化办医格局。 “近些年来我们已经完成了局域网和主服务器、数据存储中心的升级改造,但 仍然存在着许多系统安全的隐患。我们希望,IT供应商们应该考虑到中国医院的IT 装备和应用水平的实际状况,提供更为适合医院实际的安全性方案。”采访中某医 院的IT主管呼吁道。 “正是为了满足我国医疗行业对信息安全的要求,我们自主研发了网神SecFox 安全管理系统 ( 医院版 ),并提出了面向医疗行业的统一安全审计解决方案。系统包 含SecFox-NBA( 业务审计型 ) 、SecFox-NBA(上网审计型 ) 、SecFox- LAS 日志审计、 SecFox- EPS 终端安全审计等多个功能模块,完全可以满足用户的相关需求。”网御神州安 全管理高级产品经理叶蓬表示,其中SecFox- NBA( 业务审计型 )模块,能够针对客户业务网络中的各种数据库、Windows 和Unix
7、主 机、WEB 应用系统进行全方位的安全审计,保障客户业务网络中数据的安全和操作 合规。 据介绍,网神 SecFox- NBA 不仅包括 : 数据访问审计、数据变更审计、用户操作审计、违规访问行为审计、 恶意攻击审计等 5大功能。同时,相对于传统的审计系统,网神SecFox- NBA 还有四个明显的特点 : 一是SecFox-NBA 采用旁路侦听的方式进行工作,对 6 / 8 感谢观看本文 谢谢 标签: 标题2016 业务网络中的数据包进行应用层协议分析和审计,就像真实世界的摄像机; 二 是SecFox- NBA 对业务操作实时监控、过程回放; 三是快速响应和跨设备协同; 最后一个是报表 报告。 “严出严入,全面防护。在解决了核心业务系统的保护后,我们首先要解决通 过网络外发信息的信息泄露; 其次要解决人员的非法接入、因员工滥用移动存储导 致的信息泄漏问题 ; 最后,我们进行统一的安全管理,全面、高效保障网络及信息 安全。”叶蓬称,当医院应用网御神州独有的基于会话的行为分析 (Session- basedBehaviorAnalysis)技术后,医院的审计员不仅可以对当前网络中所有访问者 进行基于时间的审查,了解每个访问者任意一段时间内先后进行了什么操作,而且 还能对过程回放。“ SecFox- NBA( 业务审计型 )真正实现了对谁、什么时间段内、对什么( 数据) 、进行了哪些 操作、结果如何的全程审计。” 注: 查看本文详细信息,请登录安徽人事资料网站内搜索: 医院信息数据安全管 理制度 看了该文章的人还看了 : 电脑数据安全管理制度 数据安全管理规定一 ( 目的1.1 为了提高公司网络系统的安全性,最大限度的防 止资料流失。特制定本规 7 / 8 感谢观看本文 谢谢 标签: 标题2016 定二( 范围2.1 电子文档向外发送时遵循此规定。三( 定义3. 部队安全保密制度 2l 世纪以来 ( 人类社会进入信息化时代。近几年( 全国公安现役部队深入贯彻公 安部”科技强警”的指示方针( 伴随着公安现役部队信息化工程的建设与发展,为 全体官兵 综治安全信息报告制度 为加强学校安全管理,落实管理责任,确保安全工作层层有人抓,事事有人做 ,防患于未然,杜绝或尽量减少安全事故的发生,保证安全信息畅通,迅速有效地 处理安全事 8 / 8 感谢观看本文 谢谢
《医院信息数据安全管理规章制度》由会员花****分享,可在线阅读,更多相关《医院信息数据安全管理规章制度》请在金锄头文库上搜索。