医院信息等级保护解决方案

一、安全等保的测评对象

医院的信息系统有几十种，除了明确定级为三级的核心业务信息系统，其它业务系统如何处理？拿上海为例，HIS、LIS和RIS定级为三级信息系统，那么这3个系统之外的如EMR、临床路径系统等如何考虑？实际上等保的第一项工作即是给本单位信息系统分类定级，根据系统重要性的不同，进行不同级别的定级。如果某个系统与核心业务系统同样重要，可另外定为三级；其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。

对于二级或三级的业务信息系统，其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。

二、三级安全等保解决方案

1.网络访问控制管理

一般规模的医院网络都采用二层结构，即全院网关终结在核心交换机；同时医院的数据流量绝大部分都是纵向流量（即终端访问服务器的流量），横向流量（终端之间的访问流量）基本没有。在这样的流量模型下，尽管内网与公网隔离，但还有如下内容要进行安全保护。

●服务器区域：要防范的是“家贼”，即内部数据泄露或病毒DDoS攻击。

●与无线网络的连接链路：无线网络的开放性使其通常被认为是不安全的。

●与外联单位的连接链路：外联单位属于网络边界。

安全插卡的优势体现在两点：

?传统医院服务器大都直接连在核心交换机上，在进行服务器的防范时，如果采用外接安全设备，不得不把安全设备串接在服务器和核心交换机之间或者进行流量重定

向，即需要对原来的网络结构进行改造；

?（如图2所示）所有的硬件安全产品（FW、IPS和流量探针）都采用插卡形式，通过其虚拟化功能，即1块插在交换机中的安全插卡可以虚拟化成多个同功能的安全

产品，可以进行上述不同线路上的安全防范。

安全插卡解决方案可以满足三级等保网络安全技术条款中的11条（网络访问控制、入侵防范和恶意代码防范）。

2.审计报表规范

医院业务关系到民生，而且是7*24小时提供服务，因此医院的网络建设首先要考虑可靠性，因此选择的网络产品通常会高于业务流量的实际需求，引发的问题是大部分医院并不知道自己实际的流量模型，即各个服务器、各种业务的访问高峰、整个网络流量分布图等。

3.网络边界完整性检查

目前医院的网络分布，在很多地方是既有内网口又有外网口。医务人员对工作地点的网络结构熟悉后，会出现自行把医用终端从内网移到外网，违规访问外网后再接回内网的情况。目前针对此问题，医院想到的方法通常是MAC地址和端口绑定，但引发的问题是维护工作量巨大，使得很多医院对此解决方案望而却步。同时，随着各种医务自助机应用的普及，内网

接入点也延伸到公共区域，给医院内网新增了不安全性。三级等保安全标准7.1.2.4节中对边界完整性检查有2条明确要求：

?应能够对非授权设备私自联到网络的行为进行检查，并准确定出位置，对其进行有效阻断；

?应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

可以看出，单纯的MAC地址与端口绑定已不能满足三级等保标准的要求；同时存在仿冒MAC地址的漏洞，即非法终端可以把自己MAC地址改成合法MAC后接入网络。为解决这些问题，采用端点终入控制系统来进行医用终端的安全接入。EAD中的iNode客户端可以防MAC 篡改，即iNode发现终端的物理MAC和管理MAC不一致时禁止认证。同时，防内网外联功能，使得医用终端只能接入内网。退一步讲，如果医院认为无法接受医用终端上安装客户端软件，在能接受存在仿冒MAC地址漏洞的前提下，可以使用以MAC地址为认证信息的哑终端认证方式。它与传统的MAC地址端口绑定方案的优势是所有管理维护工作都在集中的服务器侧，而不是分散的网络交换机侧，从而大大降低维护工作量。

4.网络设备防护

目前医院的网络设备管理通常有两种方式：集成管理平台和设备分散远程登录管理。对于后者，目前主流管理方法还是通过Telnet远程管理。由于设备数量多维护工程量大，出于维护的便利性，设备的登录用户口令通常是所有设备相同且永远不变，甚至网管人员更换后也不会更换设备的用户口令。

对于设备的远程登录管理，等保标准也有一些要求，如采用加密的SSH替代明文的Telnet、双因子认证等。

三、无线安全解决方案

从医院无线网络的建议模式来看，通常分为运营商代建和医院自建两种。无论哪种建设模式，无线技术本身安全性的问题都无法回避。不像有线网络，只要不提供接入点，就无法侵入；无线是开放的，任何外来人员都可以和内部人员一样接收到无线信号，所以必须进行接入认证安全保护。但如果像家庭一样只提供密码接入保护，那么无线网络的安全形同虚设，因为整网单一的密码很容易外泄。

除了文章开篇提到内网及外网业务，运营商代建的无线网络还提供公共无线网接入(如电信的ChinaNet、移动的CMCC等)。公网和私网的混用还会引入更多的安全问题。

另外，无线终端比传统的医用终端更容易做接入网络切换，而考虑到病毒和木马的防范，医院不希望用于内网的无线终端在访问外网后再接入内网。

医院的无线网络安全方案的构建需要考虑以下几个问题：

?考虑到医院的业务模式，传统的用户名口令无法作为唯一的认证因素，原因是医生护士的用户名口令几乎是半公开的。那么如何识别医院的合法移动终端？

?随着平板电脑和智能手机的普及，传统的移动推车+PDA的应用受到冲击。如何支持新型的移动终端？

?如何防止合法终端接入运营商提供的无线网络？

?对于运营商承建的无线网络，如何防止登录公共无线网络的用户的黑客入侵？

这三种方案的共性都是在无线网络中提供认证网关。如果无线网是医院自建的，则AC 可以兼做认证网关。

结束语

医院的三级安全等保技术要求，既有与其它行业要求的共性，又有其自己的特点。这些要求中除了网络层面的，还包括机房、主机、应用和数据安全。

三级安全等保对医院既是一次命题考试，又是一次切实提升医院安全能力的好机会。作为安全等保技术要求的主要部分——网络安全，因其分散、覆盖面广和难以管理，也是整个等保安全的难点。从网络与安全融合、终端与边界融合、集中与分级融合等多个维度，覆盖了包括结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码入侵和设备防护在内的绝大多数技术要求，提供了完整的医院三级等保方案。

医院信息科硬件维护及保养

医院信息科硬件维护及保养一、信息系统硬件维修管理制度 1、以保证医院计算机系统的正常运行和使用，维护医院正常的医疗秩序，促进医院计算机的应用和发展为目标。 2、建立预防性保养维修制度。维修区域负责人员定期对其区域内的计算机及打印设备进行每月一次巡查，发现问题及时处理。 3、使用部门对计算机及外设有保管的义务，防止失窃。 4、要求使用部门采取必要措施，确保计算机及外设始终处于整洁和良好的状态。 5、对于关键的计算机设备应配备不间断电源。 6、当计算机及外设发生故障时，使用部门及时报修。区域负责人接到报修电话后，通知维修人员赶赴现场予以维修。若设备处于保修期，应及早与厂家联系进行保修；若在保修期外，则购相应零配件修复或送厂家维修；若维修周期较长，则先用备用机顶替，然后再进行维修。维修完成后请使用部门填写维修单并确认。 7、硬件维护人员在拆卸计算机时，应采取必要的防静电措施。硬件维护人员在作业完成后，必须将所拆卸的设备复原。 8、待修设备必须挂待修标签，注明使用部门、房号、故障原因、经办人、维修日期。当维修完成返回给使用部门时，摘除待修标签，同时收回备用机。 9、备用机有专人负责管理。若需要出借备用机，则必须登记，包括借用部门、房号、借用日期、经办人签字。当收回备用机时，则注销出借记录。 10、送厂家维修的设备有专人负责记录，包括使用部门、房号、送修日期、厂家。当设备维修好返回时，则注销送修记录。 11、信息管理部应建立基本的零配件库，以保证维修需要。零配件有专人负责采购，坚持质量优良、价格合理的采购原则，在保证质量的前提下，最大限度为医院节约。 12、医院计算机用户必须同时遵守“计算机网络安全管理制度”，保证网络

信息安全等级保护备案表医院管理信息系统精修订

信息安全等级保护备案表医院管理信息系统标准化管理部编码-[99968T-6889628-J68568-1689N]

信息系统安全等级保护备案表备案单位：（盖章）备案日期：受理备案单位：（盖章）受理日期：中华人民共和国公安部监制填表说明一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本表；二、填表范围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”）填写；本表由四张表单构成，表一为单位信息，每个填表单位填写一张；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一张；表四为第三级以上信息系统需要同时提交的内容，由每个第三级以上信息系统填写一张，并在完成系统建设、整改、测评等工作，投入运行后三十日内向受理备案公安机关提交；表二、表三、表四可以复印使用；三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；四、本表中有选择的地方请在选项左侧“”划“√”，如选择“其他”，请在其后的横线中注明详细内容；五、封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分共11 位，第一部分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备案单位的顺序编号；六、封面中备案单位：是指负责运营使用信息系统的法人单位全称；七、封面中受理备案单位：是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章；八、表一04行政区划代码：是指备案单位所在的地(区、市、州、盟)行政区划代码；九、表一05单位负责人：是指主管本单位信息安全工作的领导；十、表一06责任部门：是指单位内负责信息系统安全工作的部门；备案表编号：

医院信息系统安全管理制度

医院信息系统安全管理制度一、总则切实保障全院计算机网络得安全,根据国家及地方法规、JＣＩ标准中医院设施管理与安全标准,制定本安全管理制度、１、本安全管理制度适用于本院信息系统管理。２、本安全管理制度由信息科负责监督实施、当存在本院计算机网络及计算机机房得安全威胁时,信息科主任负责及时上报行政总值班或分管副院长,设备科、后勤部与保安部配合采取相应措施。 3、每3年对本制度得执行情况进行评估,必要时可重新修订本安全制度二、信息科员工安全职责 1、信息科员工应当熟悉计算机软、硬件得相关业务知识与防火防盗安全规定,掌握防火器材得操作使用方法,做好本岗位得防火防盗工作。 2、每3个月检查计算机软、硬件得状态,使之保持完好。 3、安全培训:信息科新员工应参加全院岗前培训,并通过消防知识得培训后,方可上岗作业。信息科员工应当完成年度安全培训、 4、安全操作规定: (1)维护带电设备时应拔掉电源,确认处于无电状态,并释放手上静电。 (2)带电测试电脑时,不得接触内部电线、 (3)进入医疗区域维修时,应带好相应得防护设备,维修结束后注意进行消毒处理、 (４)维修时防止利器刺伤。如被刺伤应及时到医疗部统一处理。 5、安全管理规定: (1)遵守医院各项规章制度,遵守劳动纪律。

(2)做好应急值班工作。保证应急电话畅通,应答及时。 (3)保持计算机室清洁无尘,机房内严禁吸烟。 (４)保持工作环境整洁,不乱丢杂物,及时清理工作台上得磁盘与书籍等物品。 (5)正确操作、使用各类计算机设备,杜绝不必要得设备损坏。 (6)保持数据得安全与保密、查询数据原则上由责任部门执行,任何非程序查询必须由院级领导同意并签字、特殊数据查询遵循医务科批复流程。 (7)禁止无关闲杂人员进入计算机室、 (８)下班前关闭办公用电脑、电源。 6、巡查与报告: (1)每天巡视机房,检查服务器性能并签名。 (2)每月巡视交换机房,检查交换机房环境。 (3)节假日,值班人员负责本院计算机安全评估。遇有灾害性天气或特殊情况,加强防范。 (4)在检查中发现得隐患要及时报告科主任,科主任根据问题严重性上报分管院长、三、终端用户安全职责 1、连入网络得各科室与个人办公工作站必须严格执行安全保密制度,并对所提供得信息负责、不得利用计算机与网络从事违反国家法律、法规、泄露医院机密得活动。 2、任何科室与个人不得在本院联网计算机上制作、查阅、复制与传播危害国家安全、有碍社会治安与有伤风化得信息与淫秽、色情资料。 3、不允许在网络上进行干扰网络用户、破坏网络服务与网络设备得活动。 4、除信息科外其她科室或个人不得以任何方式试图登陆网络服务器与网络交换机等设备进行修改、设置、删除等操作;不得盗窃、破坏网络设施。

医院信息化系统等级保护设计方案

医院信息化系统等级保护设计方案1医院信息化系统等级保护设计方案 2013年4 月目录 1 项目背景(3) 2 方案设计原则(3) 3 安全等级划分(3) 4 技术方案设计(4) 4.1 总体设计(4) ■/ A、、￡/■「? > ? A 人L. i亠_L_ (4) 4.1.1 总体安全技术框架 4.1.2 安全域划分(6) 4.1.3 总体部署(7) 4.2 详细设计(7) 4.2.1 物理安全设计 (7) 4.2.2安全计算环境设计(9) 4.2.3安全区域边界设计(12) 4.2.4安全通信网络设 (14) 计

4.2.5安全管理中心设计(16) 5 安全管理体系设计(16) 5.1管理机构建设(17) 5.2完善安全管理制度(17) 5.3加强人才队伍建设(18) 5.4遵循安全法规标准(19) 5.5重视安全管理手段(19) 5.6建立应急响应机制(19) 6 需要增加的设备(21) 1项目背景 2 方案设计原则根据国家信息安全保障政策法规和技术标准要求，同时参照相关行业规定，确定信息安全体系规划和设计时遵循以下原则：3安全等级划分信息化系统包括应用服务系统等。信息包括公文信息、通讯录、文件、日程安排、执法数据等，这些信息由于涉及到医疗机构敏感信息，对数据的完整性和机密性要求具有较高需求，一旦遭到破坏或窃取，就会给用户查询提供错误数据或泄漏敏感信息，影响社会秩序和公共利益。 1.业务系统安全受到破坏时所侵害的客体

信息化系统系统一旦遭到破坏或被窃取，所侵害的客体是公民、法人和其它组织的合法权益以及社会秩序、公共利益。 2.对客体的侵害程度业务系统安全受到破坏时对社会秩序、公共利益的侵害程度表现为严重损害，具体表现为业务系统受到破坏或窃取后，会影响医疗机构行使社会管理和公共服务的职能，并对医疗机构形象造成社会不良影响，并对公民、法人和其他组织的合法权益造成损失。 3.业务系统安全等级根据上述分析结果，结合等级保护定级指南，XX系统安全等级为： 4 技术方案设计根据差距分析，确定整改技术方案的设计原则，建立总体技术框架结构，从业务安全、物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网络、系统、应用和数据的安全要求的技术路线。 4.1 总体设计 4.1.1 总体安全技术框架根据国家相关信息安全保护政策，在安全设计框架上，形成“一个中心”保障下的“三重纵深防御防护体系”架构（一个中心是指安全管理中心，三层纵深防御体系则由安全计算环境、安全区域边界以及安全通信网络组成）。在安全物理基础环境上，进一步强调了管理中心、计算环境、区域边界及网络传输的可信性，使

信息安全等级保护工作汇报

XXX 信息安全等级保护工作汇报一、医院简介 XXX拥有66年发展历史，坐落于黑龙江北部中心城市北安市的城市中心，地处政治、经济、文化中心地带，交通便利，医院学科优势突出，专业特色明显，在市内外享有较高的声誉。医院总占地面积22599平方米，业务用房建筑面积25027平方米。医院在职职工664人，专业技术人员 557人，其中高级技术职称172 人，中级技术职称109人，床位400余张。设有内、外、妇、儿、五官等二十个临床科室，15个医技科室。外科共设五个科室包括普外、脑外、胸科、烧伤、泌尿、骨科、肛肠等学科，其中胸外科、脑外科是我院重点科室之一，胸外科是黑河地区该专业龙头科室，外科常规开展肺癌、脑外、食道癌等复杂手术，广泛开展腹腔镜、前列腺电切等介入手术。多项技术的开展和研发均获得国家及省级科技进步奖，开创了历史先河，成为北安市及黑河地区医疗技术的领头雁。内科设有五个科室包括神经内科、心脑血管内科、内分泌内科、呼吸内科、血液内科、肿瘤内科、消化内科、肾内科、传染科及在黑河地区处于领先地位的急诊科。我院影像科室技术实力在本市区位居首位，吸引了大量外院病人来我院检查，整合了各方优势资源。医院环境优美，整洁。目前，现已发展成为一所集医疗、康复、

保健、预防、科研、教学为一体的综合性二级甲等医院。公共医疗改革试点医院、城镇职工医疗保险定点医院、新型农村合作医疗定点医院、城乡医疗救助一站式即时结算定点医院、农垦北安管局医疗保险定点医院、铁路职工医疗保险定点医院、公安定点医院、黑河地区首家工伤康复定点医院，“120”急救中心设在我院，同时担负着全市司法鉴定工作。医院拥有大型核磁共振成像系统、螺旋CT、高压氧舱、德国贝朗血液透析机、日产全自动生化分析仪、数字X光机、数字多功能胃肠Ｘ光机、Ｃ型臂数字成像系统、彩超、经颅多普勒、体外碎石机、电子胃镜、欧美达麻醉机、运动平板、２４小时动态心电监测系统等先进设备百余台，抢占医疗市场的制高点。全套电子内窥镜系统、各种手术用硬镜、介入治疗设备、高压氧舱等一批国内外精密医疗设备，精良的医疗设备为提高临床诊治水平提供了重要的保证。医院由门诊楼，病房楼，急救中心组成，住院楼设有内科、外科、妇产科、儿科、重症监护室、手术室、麻醉科、康复科等病区。医院通过计算机网络实现信息化管理，所有病房均设有中央空调、独立卫生间，配备集中供氧、集中负压吸引、自动对讲呼叫等设施。 XXX拥有黑河地区首家具有国际先进水平的ICU重症监护病房，是我省北部地区成立较早发展最快的重症科室，设备实力和省级医院相聘美，从业人员都经过正规重症医学培训学习，成立后为北安市危重症治疗开辟了新的天地，危重症抢救成功率达到省级医院水平。具

医院信息系统运行维护管理制度

中医院信息系统运行维护管理制度第一条为规范全院信息系统的运行维护管理工作，确保信息系统的安全可靠运行，切实提高效率和服务质量，使信息系统更好地服务于运营和管理，特制定本管理办法。第二条运行维护管理的基本任务：１、进行信息系统的日常运行和维护管理，实时监控系统运行状态，保证系统各类运行指标符合相关规定；２、迅速而准确地定位和排除各类故障，保证信息系统正常运行，确保所承载的各类应用和业务正常；３、进行系统安全管理，保证信息系统的运行安全和信息的完整、准确；４、在保证系统运行质量的情况下，提高维护效率，降低维护成本。第三条网络中心负责全院范围内信息系统运行维护管理、监督检查和质量考核评定工作，掌握运行质量情况，制定质量指标，并对信息系统各级维护部门进行定期检查考核；第四条负责全院范围内信息系统的计算机硬件平台、基础软件、应用软件、配套网络和的监控和日常维护工作，制定日常维护作业计划并认真执行，保证信息系统正常运行；对于系统的所有维护（包括日常作业计划、故障处理、系统改进、数据变更、数据的

备份与恢复、功能完善增加）都必须填写维护记录；负责所辖范围内信息系统数据的备份与恢复，负责落实系统安全运行措施；每年至少组织一次全行范围内的信息系统运维管理巡回检查，全面检查各维护作业计划管理、技术档案和资料管理、备份及日志管理、机房管理、安全保密管理等制度的落实情况。第五条系统出现故障，信息系统维护部门或维护人员首先进行处理，同时判断系统类型和故障级别，根据系统类型和故障级别，故障处理应在要求的时限内完成，并同时向院部报告。对无法解决的故障，应立即向软硬件最终提供商、代理商或维保服务商（以下简称厂商）提出技术支持申请，督促厂商安排技术支持，必要时进行跟踪处理，与厂商一起到现场进行解决。第六条厂商技术人员现场处理故障时，当地维护人员应全程陪同并积极协助，并在故障解决后进行书面确认。第七条参与故障处理的各方必须如实、及时填写故障处理单，现场技术支持还须当地维护人员予以签字确认或维护部门盖章。第八条建立重要紧急信息上报渠道，对于发生的重要紧急情况，应该立即逐级向院部主管领导报告，对业务影响较大的还应及时通知业务部门。第九条信息系统维护管理部门负责技术档案和资料的管理，应建立健全必要的技术资料和原始记录等。第十条软件资料管理应包含以下内容：１、所有软件的介质、许可证、版本资料及补丁资料；２、所有软件的安装手册、操作使用手册、应用开发手册等技

医院信息及网络安全管理制度

医院信息安全管理制度1 一、信息系统安全包括：软件安全和硬件网络安全两部分。二、网络信息办公室人员必须采取有效的方法和技术，防止信息系统数据的丢失、破坏和失密;硬件破坏及失效等灾难性故障。三、对系统用户的访问模块、访问权限由使用单位负责人提出，交信息化领导小组核准后，由网络信息办公室人员给予配置并存档，以后变更必须报批后才能更改，网络信息办公室做好变更日志存档。四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由网络信息办公室负责人监督检查更换新的密码;厂方调试人员调试维护完成后一小时内，由系统管理员关闭或修改其所用帐号和密码。五、网络信息办公室人员要主动对网络系统实行监控、查询，及时对故障进行有效隔离、排除和恢复工作，以防灾难性网络风暴发生。六、网络系统所有设备的配置、安装、调试必须由网络信息办公室人负责，其他人员不得随意拆卸和移动。七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程，禁止其他人员进行与系统操作无关的工作。八、严禁自行安装软件，特别是游戏软件，禁止在工作用电脑上打游戏。九、所有进入网络的软盘、光盘、U盘等其他存贮介质，必须经过网络信息办公室负责人同意并查毒，未经查毒的存贮介质绝对禁止上网使用，对造成“病毒”蔓延的有关人员，将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下，内外网独立运行，所有终端内外网不能混接，严禁外网用户通过U盘等存贮介质拷贝文件到内网终端。十一、内网用户所有文件传递，不得利用软盘、光盘和U盘等存贮介质进行拷贝。

医院信息系统安全问题与对策

医院信息系统安全问题与对策医院信息系统安全问题涉及面比较多，本文主要陈述软件层尤其是面向互联网应用与移动应用中的问题及对策一．医院信息系统安全问题涉及面： 1．物理环境涉及的安全问题：信息中心机房安全对医院信息系统异常重要，它是承载整个信息系统的基础条件，直接影响信息系统能否正常工作。同时，中心机房工作环境影响设备能否长期正常工作。根据调查，机房环境温度每上升1度，计算机系统寿命减少一半；机房湿度低容易产生静电，大量静电容易损坏电路芯片，湿度太高容易腐蚀元器件等。从信息系统安全等级保护要求来看，物理环境安全分为设备物理安全、环境物理安全、系统物理安全三大方面。其中，设备物理安全主要包括静电放电、电磁辐射骚扰、电源适应能力等21项具体要求；物理环境安全主要包括场地选择、机房防火、机房屏蔽、供电系统、温湿度控制等19项具体要求；系统物理安全主要包括：灾难备份与恢复、防止非法设备接入、防止设备非法外联等6项具体要求。 2.网络涉及的安全问题在医疗行业中大家对网络安全普遍的认识是以防火墙加防病毒来进行网络安全防护，但事实上网络安全问题涉及的内容很多。随着医院网络整体应用规模的不断扩大，大规模DOS侵入、黑客攻击、蠕虫病毒、外来工作人员等因素导致网络安全环境日益恶化，现有安全技术手段逐渐暴露出安全防护力度不够，强度不高等问题，由于网络安全引发重要数据的丢失、破坏，将造成难以弥补的损失，严重影响到医院网络的正常运行。从等级保护要求方面，网络安全应该从身份鉴别、自主访问控制、强制访问控制、安全审计、可行路径、防抵赖等11个方面的进行安全防护建设和防护。 3.主机涉及的安全问题主机是医院信息系统的主要承载硬件设备，其安全性不言而喻，主机安全主要涉及：身份鉴别、访问控制、审计安全、入侵防范、资源控制等。影响主机安全的主要因素来源于两方面：一方面是针对操作系统的后门、

医院信息等级保护解决方案

医院信息等级保护解决方案一、安全等保的测评对象医院的信息系统有几十种，除了明确定级为三级的核心业务信息系统，其它业务系统如何处理？拿上海为例，HIS、LIS和RIS定级为三级信息系统，那么这3个系统之外的如EMR、临床路径系统等如何考虑？实际上等保的第一项工作即是给本单位信息系统分类定级，根据系统重要性的不同，进行不同级别的定级。如果某个系统与核心业务系统同样重要，可另外定为三级；其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。对于二级或三级的业务信息系统，其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。二、三级安全等保解决方案 1.网络访问控制管理一般规模的医院网络都采用二层结构，即全院网关终结在核心交换机；同时医院的数据流量绝大部分都是纵向流量（即终端访问服务器的流量），横向流量（终端之间的访问流量）基本没有。在这样的流量模型下，尽管内网与公网隔离，但还有如下内容要进行安全保护。 ●服务器区域：要防范的是“家贼”，即内部数据泄露或病毒DDoS攻击。 ●与无线网络的连接链路：无线网络的开放性使其通常被认为是不安全的。 ●与外联单位的连接链路：外联单位属于网络边界。安全插卡的优势体现在两点： ?传统医院服务器大都直接连在核心交换机上，在进行服务器的防范时，如果采用外接安全设备，不得不把安全设备串接在服务器和核心交换机之间或者进行流量重定向，即需要对原来的网络结构进行改造； ?（如图2所示）所有的硬件安全产品（FW、IPS和流量探针）都采用插卡形式，通过其虚拟化功能，即1块插在交换机中的安全插卡可以虚拟化成多个同功能的安全产品，可以进行上述不同线路上的安全防范。安全插卡解决方案可以满足三级等保网络安全技术条款中的11条（网络访问控制、入侵防范和恶意代码防范）。 2.审计报表规范医院业务关系到民生，而且是7*24小时提供服务，因此医院的网络建设首先要考虑可靠性，因此选择的网络产品通常会高于业务流量的实际需求，引发的问题是大部分医院并不知道自己实际的流量模型，即各个服务器、各种业务的访问高峰、整个网络流量分布图等。 3.网络边界完整性检查目前医院的网络分布，在很多地方是既有内网口又有外网口。医务人员对工作地点的网络结构熟悉后，会出现自行把医用终端从内网移到外网，违规访问外网后再接回内网的情况。目前针对此问题，医院想到的方法通常是MAC地址和端口绑定，但引发的问题是维护工作量巨大，使得很多医院对此解决方案望而却步。同时，随着各种医务自助机应用的普及，内网

医院等级保护

医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全，2011年底，卫生部先后下达85号通知和1126号通知，要求全国卫生行业各单位全面开展信息安全等级保护工作，于2015年12月30日前完成等保建设整改并通过等级测评。 2007 年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕，2008 年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级，哪些系统是核心业务信息系统则由各地区自己定义，比如上海最终规定的核心业务信息系统是HIS、 LIS和RIS。图1医院网络现状（如图1所示）医院的网络根据承载业务的不同可划分为内网、外网和设备网，其中：内网即医院的医务生产网，承载所有业务应用系统，包括大家熟知的HIS、PACS、LIS等系统；外网即与Internet相联的网络，承载的业务包括邮件、OA等；设备网是一张新兴的网，承载IP化的智能化弱电系统，包括：公共广播、门禁、楼控、安防视频监控等。各医院实际网络建设模式会有不同。传统的是内外网物理隔离，但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接，如医保、公共卫生、新农合、银行等；但这些连接都是内网与内网通过专线连接，且通过前置机进行数据访问。

医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯，如果不特别说明，上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务，如无线查房、无线护理、无线补液等；有的医院无线网不仅承载内网业务，还会提供与外网相关的业务，如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统，所以作为有线网络的有效补充，无线网络也应是三级安全等保检查中的一部分。如前所述，大部分地区规定的核心业务信息系统都是内网业务，即三级安全等保只与医院的内网业务系统相关，而对于内外网物理隔离的工作场景，与传统的以防范Internet业务为主的安全解决方案明显不同。一、安全等保的测评对象 GB/T 22239-2008中的三级安全等保标准共290项内容，由技术（136项）和管理（154项）2部分组成；技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点，以提高系统的安全性为目的，各地的等保测评机构会进行标准的补充。医院的信息系统有几十种，除了明确定级为三级的核心业务信息系统，其它业务系统如何处理？拿上海为例，HIS、LIS和RIS定级为三级信息系统，那么这3 个系统之外的如EMR、临床路径系统等如何考虑？实际上等保的第一项工作即是给本单位信息系统分类定级，根据系统重要性的不同，进行不同级别的定级。如果某个系统与核心业务系统同样重要，可另外定为三级；其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。对于二级或三级的业务信息系统，其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。二、安全等保网络安全解读作为安全等保的重要组成部分，网络安全因其分散、覆盖面广的特点，是等保评测的重点，也是医院信息安全的难点。在等保三级标准内容中，网络安全共分为7部分，共33条： l 结构安全——7条要求，对整体网络架构、带宽和设备性能提出了管理要求； l 网络访问控制——8条要求，对网络边界控制防范、边界连接的控制提出了管理要求； l 安全审计—— 4条要求，对包括设备、事件和用户等目标的日志系统提出管理要求； l 边界完整性检查——2条要求，对接入规范和防内网外联提出了管理要求；

浅谈三甲医院信息安全等级保护工作

浅谈三甲医院信息安全等级保护工作 Last revised by LE LE in 2021

浅谈三甲医院信息安全等级保护工作 1、建设背景随着医院信息化建设的不断的发展，医院各项工作的开展都不同程度的采用了网络信息系统，信息系统在三甲医院中的角色也越来越重要，现代医院的发展建设已经和信息化建设结合为一体；当医院信息系统安全受到攻击或破坏从而导致医院不能正常开展各项医疗工作时，就很容易引发社会性的群体事故，如泄露患者个人隐私信息（重大疾病）、挂号系统中断引发患者情绪不满在医院闹事，因此如何保证医院信息系统安全也成为医院信息化建设需重视的问题。为了进一步做好医院信息安全保护工作，卫生部针对我国现阶段各医疗行业的现状，下发了《卫生行业信息安全等级保护工作的指导意见》的通知{2011}85号，在该通知中明确了信息安全等级保护与医疗行业信息安全保护的联系，根据该文件的指导精神，三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。 2、建设过程医院信息安全等级保护工作建设主要分为以下几个过程： 2.1医院信息系统定级评审根据信息安全等级保护的相关规定，当信息系统遭到攻击或破坏时引发的后果可分为对国家安全、社会秩序及公共利益、公民及个人的合法利益的受损害程序来进行等级划分。对比此规定，按照卫生行业信息安全等级保护工作的相关要求，三甲医院应按照信息安全等级保护三级标准来对医院核心业务进行定级，并组织各方相关信息安全专家完成医院信息系统的定级工作。 2.2医院信息系统备案在对医院信息系统进行定级评审后，医院需将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及相关文档上交给当地卫生主管部门，有卫生部门报市级以上公安机关进行备案登记，等拿到备案回单后完成信息系统的定级工作。 2.3医院信息系统等级保护测评在完成信息系统定级及备案工作后，需选择当地公安部门授权的具有信息安全等级保护测评资质的专业测评机构对医院信息系统进行整体测评。其测评

评审标准对照医院信息安全等级保护制度

**医院落实国家信息安全等级保护制度的具体措施一、信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。二、工作目标信息系统运营使用单位在做好信息系统安全等级保护定级备案工作基础上，按照国家有关规定和标准规范要求，开展信息安全等级保护安全建设整改工作。通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。三、工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中，应按照国家有关规定和标准规范要求，坚持管理和技术并重

的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。我院依据《国家信息安全等级保护度（二级）》，落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术施。四、等级划分《信息安全等级保护信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

医院信息系统[HIS]的整体结构的介绍

医院信息系统（HIS）的整体结构介绍主要容：新医院信息系统的整体结构设计、系统特点、建设目标、基本流程；建设目标：一、对医院信息管理（HIS）提供全面的、完善的解决方法，为医院的信息管理建设尽一份微薄之力；二、业务操作和信息系统灵活结合，提高整体工作效率，管理上更加简单和有效；三、通过信息系统的建设，整体提升医院整体形象。系统组成划分：系统建设划分，主要包括以下几方面：临床诊疗部分.、药品管理部分、经济管理部分、综合管理与统计分析部分、外部接口部分；注意：（*）可以扩展模块；临床诊疗部分门诊医生工作站分系统. 住院医生工作站分系统. 护士工作站分系统. 医技科室系统功能规. 手术管理分系统功能规（*）Lis系统（*）PACS系统药品管理部分. 药品管理分系统功能规. 药库管理分系统；药房管理分系统；药房柜员管理分系统；. 经济管理部分.

门急诊挂号分系统. （*）排队叫号系统门急诊划价收费分系统. 住院病人人、出、转管理分系统. 住院收费分系统. 器械管理分系统供应室管理分系统设备管理分系统. 财务管理分系统与经济核算管理分系统. 综合管理与统计分析管理分系统. 病历病案管理分系统功能医疗统计分系统院长综合查询与分析分系统病人咨询服务分系统. 数据管理部分系统数据集中维护分系统（数据备份、回复、数据转储）；系统权限维护分系统；人员基本信息维护分系统；外部接口部分. 医疗保险接口功能新农合系统接口功能

His系统模块整体结构设计

系统模块功能介绍临床诊疗部分 △门诊医生工作站分系统：门诊患者挂号以后，分诊到各个指定科室的医生那里，医生对该患者接诊。接诊完毕，进行开方（门诊医嘱处方）、开各种治疗单、医技项目单等。医生可以即时划价，针对处方中开具的药品，可以即时获取得当前的库存量，免除病人由于药房无药的情况下，往返于医生及划价员之间。还可当时获取当前的划价金额。在此还可以查看该病人的既往记录，对于不再使用的既往处方和项目可以予以作废处理。该模块还能自动处理医保用药，由于现行的医院许多都属于参保医院，对于病人的自费及医保用药围在开具处方时能提示操作员。当然检验及检查的收费项目也可以在此划价。主要功能包括：接诊开方：本科室处置治疗审核：本科室处置治疗退费审核：门诊接诊工作量统计：接诊患者明细查询：门诊医技处方查询：门诊患者就诊历史记录：

医院网络安全管理规定

计算机网络安全管理规定为了加强我院计算机信息网络系统管理工作，保证我院计算机网络系统安全运行，防止泄密和传输非法信息、不健康信息，根据国家有关规定结合我院实际情况特制定本规定： 1、计算机网络系统的建设和应用，应遵守法律、行政法规和国家其他规定。 2、计算机网络系统实行安全等级保护和用户使用权限控制。安全等级和用户使用权限以及用户口令密码的分配、设置由网络中心专人负责制定和实施。 3、网络中心主管我院网络系统安全保密工作和计算机信息系统安全管理工作 4、严格办理机房出入手续，进入机房要办理审批和登记，与工作无关人员不得入内。 5、计算机网络系统设施附近施工，不得危害计算机网络系统的安全。如无法避免而影响计算机网络系统设施安全的作业，须事先通知网络中心，经中心负责人同意并采取相应的保护措施后，方可实施作业。 6、任何科室和个人不得利用计算机从事危害国家利益、集体利益和公共合法利益的活动，不得利用医院网络系统泄露国家机密、医院机密，不得损害医院网络系统的安全。 7、严禁将携有黄色、淫秽的磁盘（片）、光盘在计算机上运行，一旦发现从严处理。 8、计算机网络系统的使用科室和个人，都必须遵守计算机安全使用规则，以及有关的操作规程和规章制度。所有进入网络系统的软盘，必须经过严格杀毒处理，对于造成“病毒”蔓延的有关人员应追究相关责任。对计算机网络系统中发生的问题，有关使用科室负责人应当立即向网络中心有关工程技术人员报告。

9、对计算机病毒和危害网络系统安全的其他有害数据信息的防范工作，由网络中心负责处理。网络中心工作人员对计算机信息系统进行安全检查时，有关科室应积极配合并提供详细情况和资料。 10、科室和个人使用的计算机均不得擅自接入我院局域网，凡通过我院网络进行国际连网或与院外其它公共网络连接的必须按规定办理登记手续。 11、医院局域网内工作用的计算机绝对禁止进行国际连网或与院外其他公共网络直接连接，必须实行物理隔离。 12、各科室要明确专人具体负责，对本科室的计算机的数量、型号、分布情况、用途要做到心中有数，建立严格的使用和管理制度，重点要管理好本科室的涉密计算机。 13、计算机中的涉密信息在存取、打印、复制、删除等处理过程中，应严格定人操作，不得擅自拷贝、打印和修改。

医院信息系统安全风险评估初探总结

总结 1.医院信息系统安全风险评估的概念医院信息系统安全风险评估是指依据有关信息安全技术标准，对医院信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评价的活动过程，它要评价医院信息系统的脆弱性、医院信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的来识别医院信息系统的安全风险。 2．国内外信息系统安全风险评估的概况美国政府就发布了《自动化数据处理风险评估指南》。其后颁布的关于信息安全的基本政策文件《联邦信息资源安全》" 3．我国医院信息系统安全风险评估工作现状及存在的问题 4.医院信息系统安全风险评估工作流程 (1)确定医院信息资产列表及信息资产价值 (2)识别脆弱性 (3)识别脆弱性它可能存在于网络安全体系理论中网络应用所划分的’个层次，即网络层、系统层、用户层、应用层、数据层， (4)识别威胁威胁来源应主要考虑这几个方面，即非授权故意行为、人为错误、软件设计错误带来的威胁、设备损坏、线路故障、自然灾害医院信息系统的安全威胁可通过部署入侵检测系统(,-.)，采集入侵者的,/地址及目的,/地址、目的端口、攻击特征、当前用户和进程等攻击信息，通过统计分析，从概率上分析一段时间内攻击的类型、强度和频度来获取，分析现有的安全控管措施（5）确定可能性 (6)确定风险 (7)建议安全防护措施。 (8)记录结果 5.医院信息系统安全风险评估结果的处置措施 (1)避免：采取措施，完全消除医院信息系统的安全风险 (2)降低：采取措施降代风险造成实际损害的可能性，降低其影响。（3）接受（4）转嫁：通过责任外包、保险等方式%(’转嫁：通过责任外包、保险等方式（5）回避（6）威慑：通过报复或者追究责任的方式

医院信息系统(HIS)安全等级保护定级报告

我单位医院信息系统（HIS）安全等级保护定级报告定级单位：我单位（盖章）定级日期： 2019.4.12

一、我单位医院信息系统（HIS）系统描述（一）该于2007年10月12日由我单位立项，某单位研发。目前该系统由某单位售后负责运行维护。我单位是该信息系统业务的主管部门，我单位为该信息系统定级的责任单位。（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对医院信息系统中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分，第一部分为应用服务器，第二部分为局域网。在机房的核心区域部署了华为的S5700三层交换机。在机房的网络中配置了一台与外部网络互联的边界设备：锐捷RG-WALL 1600-S3700防火墙。（三）该信息系统业务主要包含：利用计算机软硬件技术、网络通信技术等现代化手段，对医院及其所属各部门的人流、物流、财流进行综合管理，对在医疗活动各阶段产生的数据进行采集、储存、处理、提取、传输、汇总、加工生成各种信息，从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。包括基础设施、应用系统、服务系统等方面。其中，基础设施涵盖网络架构、服务器系统、存储系统、机房建设等方面，为应用系统安全、稳定运行提供支撑；应用系统包括医院管理信息系统和临床信息系统；服务系统包括客户管理与服务系统和医院网站；此外，还包括与公共卫生部门、医疗保险、区域协同等外部应用。

二、我单位医院信息系统（HIS）系统安全保护等级的确定（一）业务信息安全保护等级的确定 1、业务信息描述医院信息系统中间业务信息包括：代收费情况信息，缴费患者和其他组织的的个人（单位）信息，欠费情况，病历信息，医学影像信息等。 2、业务信息受到破坏时所侵害客体的确定（侵害的客体包括：1国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法权益等共三个客体）该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度（即上述分析的结果的表现程度）上述结果的程度表现为严重损害，即工作职能受到严重影响，业务能力显著下降，出现较严重的法律问题，较大范围的不良影响等。 4、确定业务信息安全等级

医院信息安全等级保护制度

医院信息安全等级保护制度一、用户管理制度： 1、信息科不得向任何人透漏员工的账号和密码。 2、医院员工对本人账号和密码必须遵守以下规定：（1）新员工凭人事科报到单，到信息科配置账号和密码；员工离院时：到信息科注销账号和密码；人事科凭信息科“已注消账号和密码”的依据同意员工调出或离院；财务科凭信息科“已注消账号和密码”的依据结付相关费用。（2）员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上，并每隔60天定期修改密码，对有疑问的密码应及时修改。（3）任何人员不得使用他人的账号和密码，也不得将工作范围内可接触到的数据告诉其他任何未经授权的人员，并在离开终端时及时退出计算机系统。（4）密码可以是字母与数字的组合。二、系统操作分级管理制度 1、本院系统管理首先确定为管理对象重要级别。从1-3级别区分，以一级为最高等级。不同的级别制定相应的密码权限安全管理方案。 2、一级设备为主数据库服务器和核心网络设备。这些设备的密码保存人为信息科主任与服务器管理员。所能操作

人员仅限于服务器最高权限的管理员。采取统一入口管理。对于一些重大操作，必须有文字记录。 3、二级设备主要是普通服务器、接入交换机和数据库密码。密码保存人为信息科主任与信息科工作人员。对于一些重大操作，必须有文字记录。 4、三级设备为安装在各使用部门的电脑，密码由相关科室设备负责人自行保管。 5、对于设备具体分级细则，在遵循以上原则的情况下，细节由信息科内部协商判断而制定。 6、对于密码，数据泄露，造成业务中断，或相关私密数据泄露。将临时通过技术手段保护与监控相应设备。待问题解决后。整理所有相关数据整理后上报医院存档。三.网络运行监控、防病毒、防入侵、桌面管理措施 1、为了保护我院数据与网络的安全，保证网络的正常运行，促进网络更好的应用和发展，制定本制度。 2、利用防火墙将内部网络、Internet外部网络、DMZ 服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信。 3、利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全。 4、利用防火墙对来自外网的服务请求进行控制，使非

(精选文档)医院信息系统和其系统软件平台维护合同范本

某某人民医院信息系统及其系统软件平台维护合同甲方：某某人民医院乙方：某某软件股份有限公司某某人民医院（以下简称甲方）因业务运转及管理工作需要，委托某某软件股份有限公司（以下简称乙方）提供医院信息系统及其系统软件平台维护服务，依据《中华人民共和国合同法》等法律法规，双方就有关事宜共同协商达成一致后，签订合同如下：一、合同标的本合同签订前甲方（含老院）从乙方购得的所有信息系统模块、接口及其系统软件平台（OS及DBMS）维护服务, 信息系统模块及接口清单附后。维护期一年（年月日至年月日）。二、合同金额本合同金额。三、合同服务内容与相应要求（一）日常维护 1、稳定运行保障：乙方保证各软件模块和接口功能的完整及正确性，能承受不断增加的业务和数据压力，保证系统运行的高效、稳

定。一旦发生模块或接口运行故障导致相应业务处理或管理工作无法进行，保证

尽快排除故障。 2、程序错误修改：乙方保证各软件模块和接口在使用过程中一旦发现有错误（程序bug），尽快改正程序错误。 3、系统数据修复：乙方保证各软件模块和接口使用过程中，因用户误操作等原因导致数据错误，尽快查明原因和修复数据。 4、统计报表数据解释：针对报表数据与实际不符或与其他报表不对应的情况，乙方负责及时查出原因并向甲方解释说明。（二）软件修改 1、接口需求：当有关上级主管部门、保险公司、甲方购买的第三方软件等，因政策、管理办法、业务流程改变，要求甲方修改对应接口时，保证在甲方规定的时间内完成接口的修改工作（限本合同签订前甲方从乙方采购的接口），保证接口正常运行，上级平台及第三方软件能正常提取医院乙方软件数据。 2、功能需求：针对甲方从乙方采购的各软件模块的现有功能及另外的逻辑上可以归属到甲方从乙方采购的各软件模块内的功能需求，在系统结构允许的范围内，根据甲方管理和业务变化做出必要的流程变更、功能新增、调整和修改。（三）系统软件平台（OS及DBMS）维护服务 1、系统巡检：合同期内针对甲方所有支撑乙方开发的应用系统运行的数据库服务器进行两次全面巡检（每半年1次），详细检查其操作系统运行状态、数据库运行状态