一、在院長領導下負責全院資訊化建設、計算機應用、醫療統計等管理工作,積極主動地做好全院資訊管理工作。嚴格執行崗位職責和請示報告制度。
二、對醫院資訊化建設進行規劃和實施,整體把握醫院資訊科技與管理。負責全院計算機軟體的引進、開發、應用;負責計算機網路系統安全、資料備份、儲存。指導院內計算機知識的普及,負責對計算機操作者的上崗培訓。
三、對所屬各部門建立完善的崗位責任制和嚴格的工作制度,工作有計畫、有落實、有檢查。
四、定期組織、督促、檢查計算機、統計、病案等部門的各項工作,充分發揮資訊功能作用,向院長、職能科室、其他業務科室提供資訊反饋 。
五、遵守醫院各項規章制度,盡職盡責做好本職工作,積極完成上級主管部門規定的統計報表、資訊資料的編寫和上報工作,並對所報資訊資料進行認真的審核。
六、按照國家有關規定,嚴格保密制度,增強法制觀念,對與本院相關資訊不得隨意洩露。
2023年12月1日
資訊保安策略體系
一、定義
資訊保安策略是為發布、管理和保護敏感的資訊資源而制定的一組法律、法規和措施的總合,是對資訊資源使用、管理規則的正式描述,是醫院內所有成員都必須遵守的安全規則。
保護網路資訊的安全是一場沒有硝煙的戰爭,安全策略則是這場戰爭的戰略方針,它負責調動、協調、指揮各方面的力量來共同維護資訊系統的安全。如果沒有安全策略進行總體規劃,那麼即使安全實力雄厚,資訊系統也是千瘡百孔。
安全策略屬於網路資訊保安的上層建築領域,是網路資訊保安的靈魂和核心。安全策略為保證資訊基礎的安全性提供了乙個框架,提供了管理網路安全性的方法,規定了各部門要遵守的規範及應負的責任,使得資訊網路系統的安全有了統
一、可靠的依據。
安全策略的制定過程是乙個循序漸進、不斷完善的過程。因為,不可能指定乙個策略就能夠完全符合、適應某個資訊系統的環境和需求,只能不斷地接近目標。策略的制定應該由專門的「計算機資訊保安管理小組」來負責,由網路安全專家和來自醫院內不同部門的成員組成。
安全策略在制定時必須兼顧它的可理解性、技術上的可實現性、組織上的可執行性。
二、目標
網路資訊保安的最終目標是保護網路上資訊資源的安全,資訊保安具有以下特徵:
· 保密性:確保只有經過授權的人才能訪問資訊;
· 完整性:保護資訊和資訊的處理方法準確而完整;
· 可用性:確保經過授權的使用者在需要時可以訪問資訊並使用相關資訊資源。
資訊保安是通過實施一整套適當的控制措施實現的。控制措施包括策略、實踐、步驟、組織結構和軟體功能。必須建立起一整套的控制措施,確保滿足組織特定的安全目標。
安全策略中要包含資訊網路系統中要保護的所有資產(包括硬體及軟體)以及每件資產的重要性和其要達到的安全程度,如可以對系統中所有的主機根據其重要性和功能範圍進行分類,涉及到核心機密資訊或提供關鍵服務的為a類;含有敏感資訊或提供重要服務的為b類;能夠訪問a類和b類主機且不含敏感資訊的為c類,不能夠訪問a類和b類主機;不含敏感資訊且可以從外部訪問的為d類;可以從外部訪問但不能訪問a類、b類、c類和d類主機的為e類。
這樣的劃分,既體現了各類資產的重要程度,又規定了它們的功能範圍。
三、範圍
計算機網路所面臨的威脅大體可分為兩種:一是對網路中資訊的威脅;二是對網路中裝置的威脅。影響計算機網路的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有,歸結起來,針對網路安全的威脅主要有三:
(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,使用者安全意識不強,使用者口令選擇不慎,使用者將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
(2)人為的惡意攻擊:這是計算機網路所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種:
一種是主動攻擊,它以各種方式有選擇地破壞資訊的有效性和完整性;另一類是被動攻擊,它是在不影響網路正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密資訊。這兩種攻擊均可對計算機網路造成極大的危害,並導致機密資料的洩漏。
(3)網路軟體的漏洞和「後門」:網路軟體不可能是百分之百的無缺陷和無漏洞的。然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,黑客攻入網路內部的事件大部分就是因為安全措施不完善所招致的苦果。
另外,軟體的「後門』』都是軟體公司的設計程式設計人員為了自便而設定的,一般不為外人所知,但一旦「後門」洞開,其造成的後果將不堪設想。
因此,安全策略的範圍可包括如下方面:
1.物理安全策略
物理安全策略的目的是保護計算機系統、網路伺服器、印表機等硬體實體和通訊鏈路免受自然災害、人為破壞和搭線攻擊;驗證使用者的身份和使用許可權、防止使用者越權操作,確保計算機系統有乙個良好的電磁相容工作環境,建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
2.訪問控制策略
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非法訪問。也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網路安全最重要的核心策略之一。
訪問控制策略包括入網訪問控制、網路的許可權控制、目錄級安全控制、屬性安全控制、網路伺服器安全控制、網路監測和鎖定控制、網路埠和節點的安全控制、防火牆控制等。
3.資訊加密策略
資訊加密的目的是保護網路內的資料、檔案、口令和控制資訊,保護網上傳輸的資料。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路資訊保安;端一端加密的目的是對源端使用者到目的端使用者的資料提供保護,節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。
使用者可根據網路情況酌情選擇上述加密方式。
資訊加密過程是由形形色色的加密演算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,資訊加密是保證資訊機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。
如果按照收發雙方金鑰是否相同來分類,可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。
4.網路安全管理策略
在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地執行,將起到十分有效的作用。
網路的安全管理策略包括:確定安全管理等級和安全管理範圍;制訂有關網路操作使用規程和人員出入機房管理制度;制定網路系統的維護制度和應急措施等;運用各類網管工具制定網路審計制度。
四、實施細則
對安全策略的制定可以從多側面、多角度入手,安全工程應該是全方位的,應從安全性、可靠性、高效性、可控性和持續性等多方面落實。
在結合國家政策法規、醫院性質和規章制度的基礎上,考慮安全執行的方方面面的要求,提出安全要求與安全級別。根據物件單位資產的確認情況,提出不同資產的安全級別策略,這樣,安全問題就可以有的放矢。因為,資訊與網路系統是分層的。
所以,在進行策略制定時也應該根據各層的具體情況分級別提出相應策略。
1.管理層:資訊保安是乙個管理和技術結合的問題。就資訊保安而言,管理與技術的關係就如同人與**的關係一樣。
乙個嚴密、完整的管理體制,不但可以最大限度地在確保資訊保安的前提下實現資訊資源共享,而且可以彌補技術性安全隱患的部分弱點。管理包括行政性和技術性管理。資訊網路系統能否正常高效地執行,很大程度上取決於是否發揮了它的最大功效,這依賴於系統的管理策略。
管理層的安全需求分析就是研究為了保證系統的安全,應該建立乙個怎樣的管理體制。具體來講,就是成立什麼樣的管理機構或部門?負責什麼任務?
完成什麼功能?遵循什麼原則?達到什麼要求?
2.物理層:物理層的安全就是保證實體財產的安全。實體安全是資訊網路安全的低層安全,也是保證上層安全的基礎。
物理層的安全需求分析就是根據單位的實際情況,確定單位各實體財產的安全級別,需要什麼程度的安全防護?達到什麼樣的安全目的?
3.系統層:這裡的系統指的是作業系統,作業系統是資訊網路系統的基礎平台,它的安全也是保證上層安全的基礎。系統層的安全需求分析就是研究為保證安全,應該要求操作平台達到什麼樣的安全級別?
為達到所要求的級別,應該選用什麼樣的作業系統?如何使用、管理、配置作業系統?
4.網路層:網路層是intemet的核心,是為上層應用提供網路傳輸的基礎,也是區域網和廣域網連線的介面。因此,針對網路層的攻擊和破壞很多。
現在經常採取的安全防護措施是在網路的邊界上,通過使用防火牆的ip過濾和應用**等功能來實現安全連線。一種簡單有效的方法是在路由器上採用ip過濾技術,由硬體實現,效率相當高。對於網路層所傳輸的資料的保護可以採用加密技術來實現,新一代的安全網路協議正在設計和實驗階段。
那麼,根據資訊系統的業務方向,分析系統的網路安全需求,再確定應該採用什麼樣的防護方式。
5.應用層:應用層是網路分層結構的最上層,是使用者直接接觸的部分。由於基於網路的應用很多,**商也很多,所以存在的安全問題也很多,相應的安全防護技術也很多,需要根據實際情況來衡量對它們的需求程度。
安全需求分析也是乙個不斷發展的過程,不會有乙個一勞永逸的分析結果,隨著系統環境的發展以及外部形勢的改變,安全需求也會改變。要想保持分析結果的有效性,必須保證結果時刻最新,安全需求分析的過程也得與系統同步發展。
2023年12月1日修訂
計算機應用系統應急方案
隨著醫院資訊化建設程序的不斷推進和深入,計算機技術的應用已經融入醫院的服務和管理中,計算機系統一旦發生故障,會給醫院的醫療服務和就醫秩序帶來極大的影響。為維護醫院的計算機資訊系統正常執行,保證市民的正常就醫,擬制定如下方案,加強醫院資訊系統的安全執行管理,提高安全防禦和對突發事件的應對能力。
1.醫院應當設立應急方案工作小組
由院長負責,並由院辦、醫務科、門急診辦、護理部、財務科、資訊科等相關職能部門組成。
2.應急方案目標
當計算機網路系統突發故障,保證門急診和住院病人正常就診,並將影響降低到最低程度。
3.故障型別
1)凡醫保病人計算機不能**收費和入院登結帳記而自費病人能**收費和入院登記結帳,可能是醫保資訊系統故障。
資訊科工作制度
一 做好計算機中心機房的安全管理工作,除本中心工作人員外,任何個人未經批准不得進入計算機機房。二 保持室內乾淨 整潔,機房內嚴禁吸菸。在工作時間必須堅守崗位,及時掌握系統運 況,系統管理員要確保伺服器的正常執行,系統維護人員要確保相關業務科室的工作站的正常執行,發現問題及時處理。為一線的計算機應用人...
科教科工作制度及職責
1.按照醫院科研教學計畫和工作任務認真組織實施和總結。2.嚴格執行醫院科研 教學工作的各項管理規定,做好檢查 指導 協調 服務工作。3.經常深入科室,了解掌握科研教學工作的開展情況以及進修 實習生的工作 學習 思想等表現,及時解決工作中存在的問題。4.做好科研 教學及文書檔案等資料的登記 保管 使用...
醫院資訊科工作制度
一 資訊科科長職責 1.在院長領導下,負責醫院資訊網路系統管理 醫院內外有關資訊的收集 整理 反愧上報有關上級部門的領導和管理工作。2.擬定有關業務工作計畫,經院長 副院長批准後,組織實施,經常督促檢查,按時總結匯報。3.負責組織檢查落實網路正常執行,按時完成各種統計報表,整理 儲存 利用有關資料,...