【正文】 培訓及教育等； u 配合執(zhí)行新系統(tǒng)或服務的特殊信息安全措施； u 審查對信息安全策略的遵循性； u 配合并參與安全評估事項；u 根據(jù)信息安全管理體系的要求，定期向上級主管領導和保密委員會報告。同時，本策略的目的也是讓所有員工能夠了解信息安全問題以及明確各自的信息安全職責，嚴格遵守本安全策略，并遵守國家相關的計算機或信息安全法律要求。3 目標制定涉密計算機及信息系統(tǒng)安全策略的目標就是確保公司掌握的國家秘密、公司商業(yè)秘密和業(yè)務關鍵信息的安全性，并通過一系列預防措施將信息安全可能受到的危害降到最低。2 適用范圍、處理或傳輸?shù)男畔⒓按尜A、處理或傳輸這些信息的硬件、軟件及固件。因此，必須從技術、管理、運行等方面制定確保涉密計算機和信息系統(tǒng)持續(xù)可靠運行的安全策略，做好安全保障。涉密計算機及信息系統(tǒng)安全策略文件是公司計算機和信息系統(tǒng)全體管理和使用人員必須遵循的信息安全行為準則，由公司信息安全管理部門制訂及解釋，由公司保密委員會審批發(fā)布，并由信息安全管理部門組織公司全體人員學習與貫徹。醫(yī)院信息系統(tǒng)安全策略正是因此應運而生，也必將隨計算機技術和醫(yī)院信息系統(tǒng)的發(fā)展不斷成熟完善。結束語醫(yī)院信息系統(tǒng)是一個不間斷運行的系統(tǒng)，隨著醫(yī)院業(yè)務對其依賴性越來越強，風險也隨之提高，一旦發(fā)生故障，將會給醫(yī)療服務和醫(yī)療秩序帶來很大影響。 安全培訓安全培訓分為信息科內部的專業(yè)人員安全技術培訓和全院系統(tǒng)使用人員的操作安全培訓。 定期演練。 嚴格掌握啟動應急預案的條件。根據(jù)故障的類別、故障的范圍和影響程度，將故障分級，針對不同的故障制定相應的應急預案。醫(yī)院信息系統(tǒng)幾乎涉及全院所有管理和業(yè)務部門，單純信息科或者幾個管理部門是無法組織和協(xié)調的，必須有院領導統(tǒng)一指揮協(xié)調。制定應急預案，要注意一下幾點：。比如各個業(yè)務系統(tǒng)的操作規(guī)范、數(shù)據(jù)庫管理員工作規(guī)范、網(wǎng)絡設備管理制度、醫(yī)院信息系統(tǒng)應急預案等。主管領導和信息部門負責人負責安全體系的建設、實施以及科室間的協(xié)調工作,網(wǎng)絡管理員負責安全策略的制定和技術實施,科室安全管理員負責安全措施的具體實施。 安全組織由于醫(yī)院信息系統(tǒng)設計到醫(yī)院的各個管理部門和業(yè)務部門，必須建立安全組織，統(tǒng)一領導和協(xié)調醫(yī)院信息系統(tǒng)的安全管理工作。其次，要讓醫(yī)院各級領導要充分重視信息系統(tǒng)的安全，醫(yī)院的信息主管或者信息科長要經(jīng)常對領導進行灌輸，增強領導對信息系統(tǒng)的了解和對系統(tǒng)安全的認識。 安全意識醫(yī)院信息系統(tǒng)安全策略的制定和落實需要一定的人力、物力和財力,需要自上而下的貫徹落實,因此要建立全員的安全意識。同時建立“健康檔案”,還可對全院設備使用、設備型號選擇和設備維護進行監(jiān)督和評價。記錄工作站臺號、網(wǎng)絡配置、操作系統(tǒng)、應用軟件的安裝情況，以及每次的維修操作記錄，建立工作站的“健康檔案”。工作站使用的細節(jié)決定工作站的使用壽命和運行穩(wěn)定性，因此對工作站的定期安全巡檢和維護保養(yǎng)十分必要。 工作站的安全巡檢和定期維護。建立備用工作站，一定要保證備用設備的軟硬件配置完好，保證即插即用。 建立備用工作站對使用頻繁或者故障率較高的工作站，比如門診掛號收費工作站、藥房工作站等，要建立備用機。二、利用桌面管理軟件，限制工作站的使用范圍和應用程序。6 工作站安全 工作站桌面系統(tǒng)管理各類工作站是醫(yī)院信息系統(tǒng)的應用窗口，工作站桌面系統(tǒng)的有效管理，可以有效防止操作人員的誤操作和非法訪問。即使是物理隔離的局域網(wǎng)，也不可避免與外部數(shù)據(jù)的交換。其次是應用數(shù)據(jù)安全審計的各類軟硬件產(chǎn)品，實現(xiàn)對數(shù)據(jù)庫的查詢、新增、刪除、修改、授權等各種操作行的動態(tài)監(jiān)控，防止合法用戶的誤操作和外部攻擊。 數(shù)據(jù)庫操作安全數(shù)據(jù)庫的安全不僅要保證數(shù)據(jù)正常的存儲和應用，還要防止對數(shù)據(jù)庫的破獲和攻擊。在數(shù)據(jù)存儲設備的應用上，選用穩(wěn)定性和可靠性更高的磁盤整列或SAN存儲系統(tǒng)。重點部門要建立獨立的備份數(shù)據(jù)庫，比如門診系統(tǒng)，在應急情況下可以門診子系統(tǒng)的局部運行。 數(shù)據(jù)庫備份策略建立完善的數(shù)據(jù)庫備份體系，包括實時備份、異地備份和數(shù)據(jù)恢復等。數(shù)據(jù)的安全是醫(yī)院信息系統(tǒng)最重要的安全內容。建立服務器日志，每日做服務器設備安全檢查記錄、服務器啟停記錄、錯誤日志檢查記錄、服務器性能監(jiān)視記錄等。，建立服務器檔案。 為了保證服務器的不間斷運行，核心服務器一般采用雙擊熱備設計。它不但能夠監(jiān)視記錄和控制來自外部的入侵，還可監(jiān)視內部人員的違規(guī)操作及破壞行為，是評判一個系統(tǒng)是否真正安全的重要尺度。通過使用硬件防火墻來防止Internet上的不安全因素蔓延到醫(yī)院內部的網(wǎng)絡。如果醫(yī)院信息系統(tǒng)連接外部網(wǎng)絡，部署硬件防火墻是防止外部攻擊的有效措施。如防靜電、防雷電感應、過壓保護、抗電磁干擾、滿足消防的要求，以及無人值守自動報警系統(tǒng)等。匯聚層各交換機與核心交換機的鏈路實現(xiàn)雙鏈路（冗余鏈路），實現(xiàn)完美冗余備份和鏈路的負載均衡。醫(yī)院信息系統(tǒng)的安全技術 醫(yī)院局域網(wǎng)絡安全 網(wǎng)絡布線安全網(wǎng)絡布線是整個網(wǎng)絡系統(tǒng)中最基礎的部分，一是要采用結構化布線，根據(jù)布線的物理特性和電氣特性，達到抗干擾、防雷擊、強弱電分開等要求。與外部系統(tǒng)的對接，將不可避免的帶來病毒、外部攻擊和信息泄露等安全性挑戰(zhàn)。醫(yī)院正常運行對信息系統(tǒng)的高度依賴要求醫(yī)院信息系統(tǒng)必須具有夠高度的穩(wěn)定性和安全性。醫(yī)院信息系統(tǒng)是一個高科技、高風險、實時性要求很高的系統(tǒng)，防止故障發(fā)生或減少故障發(fā)生后的恢復時間，是一項重要工作。因此，醫(yī)院信息系統(tǒng)的安全問題也日益突出和重要。第一篇：淺談醫(yī)院信息系統(tǒng)的安全策略（本站推薦）淺談醫(yī)院信息系統(tǒng)的安全策略今年4月發(fā)布的新醫(yī)改方案，明確提出要建立實用共享的醫(yī)藥衛(wèi)生信息系統(tǒng)，大力推進醫(yī)藥衛(wèi)生信息化建設，要以醫(yī)院管理和電子病歷為重點，推進醫(yī)院信息化建設。醫(yī)院信息系統(tǒng)將承載著越來越多的管理和醫(yī)療業(yè)務，成為推動醫(yī)院發(fā)展的內在驅動力。醫(yī)院信息系統(tǒng)安全策略是為了保證系統(tǒng)正常運行而制定的一系列規(guī)定和技術措施的總合，也是系統(tǒng)使用和管理人員必須遵守的規(guī)則。醫(yī)院信息系統(tǒng)面臨的安全挑戰(zhàn) 行業(yè)應用的要求醫(yī)院信息系統(tǒng)承載這越來越多的管理和醫(yī)療業(yè)務，要求724小時不間斷運行。 區(qū)域醫(yī)療和系統(tǒng)整合的壓力隨著信息化的發(fā)展，信息技術在各個領域的廣泛應用，醫(yī)院信息系統(tǒng)面臨著要與區(qū)域醫(yī)療信息平臺、遠程醫(yī)療系統(tǒng)、醫(yī)（社）保系統(tǒng)、新農(nóng)合系統(tǒng)等眾多外部系統(tǒng)的信息共享和數(shù)據(jù)交換，完全物理隔離的醫(yī)院信息系統(tǒng)已經(jīng)不適應當前形勢下醫(yī)療信息化的發(fā)展。 信息泄露的壓力醫(yī)院信息系統(tǒng)涉及大量醫(yī)院經(jīng)營和患者醫(yī)療等私密信息，信息的泄露和傳播將會給醫(yī)院、社會和患者帶來安全風險。二是架構雙鏈路冗余結構網(wǎng)絡系統(tǒng)，采用核心層、匯聚層和接入層三層結構搭建；利用光纖資源，在核心節(jié)點間、核心和匯聚層、匯聚層與接入層之間采用千兆光路互連；每個匯聚節(jié)點與核心節(jié)點之間通過兩對光纖連接，實現(xiàn)系統(tǒng)在物理層面的穩(wěn)定和可靠性。核心交換設備要求中心結點的網(wǎng)絡必須具備高可靠性、高性能，在不同層次上保證冗余性， 中心機房安全中心機房是醫(yī)院信息系統(tǒng)設備運行的核心，要有專業(yè)的裝修公司施工，主要包括機房物理環(huán)境、恒溫恒濕、防水防鼠、電氣安全等。 網(wǎng)絡安全網(wǎng)絡設備安全主要是消除單點故障和設備使用安全，一是網(wǎng)絡設備的安全，比如設備間的物理環(huán)境，UPS供電、防雷等；二是核心網(wǎng)絡設備的冗余備份，例如核心交換機用主備冗余設計，一主一備；門診接入層交換機的互為冗余等；三是網(wǎng)絡邊界安全，包括劃分VLAN、部署硬件防火墻、入侵監(jiān)測和網(wǎng)絡安全審計等。硬件防火墻是一種部署在內外網(wǎng)邊界上的訪問控制設備,用來防止未經(jīng)授權的通信進出被保護的內部網(wǎng)絡,通過邊界控制強化內部網(wǎng)絡的安全策略。入侵檢測和網(wǎng)絡安全審計能夠對網(wǎng)絡進行動態(tài)實時監(jiān)控，可通過尋找入侵和違規(guī)行為記錄網(wǎng)絡上發(fā)生的一切，為用戶提供取證手段。服務器安全服務器是醫(yī)院信息系統(tǒng)運行的核心，在醫(yī)院信息系統(tǒng)中，有數(shù)據(jù)庫服務器、應用服務器等。例如利用WINDOWS群集平臺，采用Microsoft群集服務(MSCS)來實現(xiàn)主機間的高可用性服務，通過合理規(guī)劃和配置Microsoft MSCS軟件，任何一臺主機的宕機可以被其它主機迅速接管，保證業(yè)務的持續(xù)運行。歸檔保存有關服務器的隨機資料、操作系統(tǒng)、數(shù)據(jù)庫、應用程序安裝盤、補丁盤等資料，詳細記錄服務器的硬件類型、啟用時間、軟硬件配置(機器名、域名、IP地址、添加的服務、數(shù)據(jù)庫配置等)相關參數(shù)。數(shù)據(jù)庫安全數(shù)據(jù)庫是醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲的核心，數(shù)據(jù)不僅是各個應用系統(tǒng)的基礎元素，也是醫(yī)院的重要資源和財富。所有我們必須建立完善數(shù)據(jù)的備份容災體系，保證數(shù)據(jù)的萬無一失。根據(jù)不同的數(shù)據(jù)庫系統(tǒng)，定期進行數(shù)據(jù)備份,既可保留以往數(shù)據(jù)便于查找,保證服務器硬盤空間充足；又可在原始數(shù)據(jù)丟失或遭到破壞時,利用備份數(shù)據(jù)將原始數(shù)據(jù)恢復,盡快使系統(tǒng)正常工作,確保數(shù)據(jù)更加安全。 數(shù)據(jù)庫存儲安全采用穩(wěn)定可靠的數(shù)據(jù)存儲策略。如果單純采用服務器內置的硬盤存儲，則要選擇支持RAID技術的服務器，應用RAID5或者RAID0＋RAID5等存儲安全策略。首先在數(shù)據(jù)庫管理上，要清理和規(guī)范各類數(shù)據(jù)庫特權用戶，建立完善的權限分配管理，比如Oracle的sys、system用戶等。防病毒和防攻擊對于醫(yī)院信息系統(tǒng)來說，無論是物理隔離的局域網(wǎng)，還是建有外部連接的開放網(wǎng)絡，網(wǎng)絡版的殺毒軟件是必不可少的。采用網(wǎng)絡版的殺毒軟件，進行網(wǎng)絡內遠程管理、智能升級、自動分發(fā)、遠程報警等防病毒措施，可以高效便捷的應對病毒的入侵。一、在工作站上安裝“還原精靈（Deep Freeze）”該軟件在管理員設置后，在下次重啟前，用戶在C盤留下的任何信息都將不被保存，以保證系統(tǒng)的安全。三、利用遠程管理工具，通過事先安裝的遠程控制管理軟件（如Radmin、Pcmain、PcAnywhere等），進行示范性操作，可提高工作效率，減輕奔波之苦。工程師在接聽故障申報后，初步判斷故障原因和恢復時間，如果時間較長，影響業(yè)務正常開展和秩序穩(wěn)定，應立即更換工作站。要對備用設備定期檢查和測試。各類工作站使用人員缺乏專業(yè)知識，對電腦、打印機的正確使用缺乏了解，例如非法關機、直接拔插電源、不注意打印機的清潔衛(wèi)生等。“健康檔案”。管理員在接聽工作站故障申報時，首先查看設備檔案，了解設備維修情況，對準確判斷故障原因和故障排除提供參考。醫(yī)院信息系統(tǒng)的安全管理“三分技術、七分管理”，醫(yī)院信息系統(tǒng)的安全，光有安全設備和技術是遠遠不夠的，必須有完善的管理制度和風險防范意識，制定切實可行的應急預案，將醫(yī)院信息系統(tǒng)的安全風險降至最低。首先，作為醫(yī)院信息系統(tǒng)的管理部門，信息科要有強烈的安全意識，不斷通過業(yè)務學習，提高安全風險防范和應對的能力。另外，要通過全員培訓，增強系統(tǒng)操作人員的安全意識。在信息化建設的規(guī)劃設計階段,就應成立一個以主管領導、信息部門負責人、網(wǎng)絡管理員、科室安全管理員等人員組成的安全管理組織機構,用于保障信息化設備及系統(tǒng)的安全。 安全管理制度安全策略的執(zhí)行要制度化,以便于實施和管理,這需要建立信息化設備及系統(tǒng)在使用、運行、管理及維護過程中的相關管理制度,并嚴格的實施與執(zhí)行。 應急預案在醫(yī)院信息系統(tǒng)的運行過程中,不可避免的會出現(xiàn)各類故障，制定醫(yī)院信息系統(tǒng)應急預案的目的是為了確保系統(tǒng)安全運行，保障醫(yī)院正常的醫(yī)療服務和就醫(yī)秩序，提高系統(tǒng)應對突發(fā)事件的能力，將中斷時間、故障損失和社會影響降到最低程度。成立以院長為組長的應急方案領導小組，負責全院應急工作的組織協(xié)調。 制定應急預案分級管理。例如醫(yī)院網(wǎng)絡設備、服務器、醫(yī)保通信線路、應用軟件、供電、病毒防范、業(yè)務應用和工作站等應急方案等。應急狀態(tài)下的業(yè)務處理方式與正常時有很大差別，需要做許多準備工作，啟動應急預案需要調動大量的人力物力，給醫(yī)院正常工作很大挑戰(zhàn)，因此要嚴格掌握啟動應急預案的條件，避免盲目啟動。制定應急預案后，還要定期組織演練，以保證預案的切實可行，提高處理安全故障的應急能力。信息科內部培訓主要是針對各類安全技術、安全策略和風險防范；系統(tǒng)使用人員的操作培訓，要由技術精湛的技術人員負責，定期開展，保證全員覆蓋，主要正對各類計算機設備的安全使用和日常維護保養(yǎng)。為此，必須在技術上、管理上、思想上對系統(tǒng)的實時性、安全性予以高度重視。第二篇：涉密計算機及信息系統(tǒng)安全策略涉密計算機及信息系統(tǒng)安全策略文件 概述涉密計算機及信息系統(tǒng)安全策略文件屬于頂層的管理文檔，是公司網(wǎng)絡與信息安全保障工作的出發(fā)點和核心，是公司計算機與信息系統(tǒng)安全管理和技術措施實施的指導性文件。公司涉密計算機及信息系統(tǒng)涉及到存儲、傳輸、處理國家秘密、公司商業(yè)秘密和業(yè)務關鍵信息，關系到公司的形象和公司業(yè)務的持續(xù)運行，必須保證其安全。本策略文件主要內容包括：物理安全策略、信息安全策略、運行管理策略、備份與恢復策略、應急計劃和響應策略、計算機病毒與惡意代碼防護策略、身份鑒別策略、訪問控制策略、信息完整性保護策略、安全審計策略等十個方面。信息安全管理應在確保信息和計算機受到保護的同時，確保計算機和信息系統(tǒng)能夠在允許的范圍內正常運行使用。4 組織 ，負責領導信息安全管理體系的建立和信息安全管理的實施，主要包括：u 提供清晰的指導方向，可見的管理支持，明確的信息安全職責授權； u 審查、批準信息安全策略和崗位職責； u 審查業(yè)務關鍵安全事件；u 批準增強信息安全保障能力的關鍵措施和機制；u 保證必要的資源分配，以實現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。分層管理與控制、內部網(wǎng)絡（局域網(wǎng)）及計算機信息管理、互聯(lián)網(wǎng)計算機信息管理三個管理層次。涉密計算機信息數(shù)據(jù)必須被保護以防止被泄漏、破壞或修改。上述信息必須定期備份進行保護，以免破壞和非授權修改。公司所有人員對系統(tǒng)網(wǎng)絡和計算資源的使用（包括訪問互聯(lián)網(wǎng)）都必須遵守計算機及信息系統(tǒng)的安全策略和標準及所有適用的法律。包括但不限于以下例子是不可接受的使用行為：u 使用信息系統(tǒng)資源故意從事影響他人工作和生活的行為。u 任何工作人員使用信息系統(tǒng)的計算機工具、設備和互聯(lián)網(wǎng)訪問服務來從事用于個人獲益的商業(yè)活動（如炒股）。u 在沒有信息安全管理部門的事先允許或審批的情況下，工作人員在使用的計算機中更改或安裝任何類型的計算機軟件和硬件。