医疗卫生信息安全等保的管理与思考【何萍】
基于等级保护要求加强医院信息安全管理
基于等级保护要求加强医院信息安全管理摘要:为优化医院服务流程,提升医院工作效率,医院对信息化建设的重视程度及建设情况也不断优化,极大程度为医院工作提供了便利,但是医院信息安全管理中存在的问题也日益突出,医院信息安全将直接对公民、群体及国家利益产生影响,所以加强医院信息安全管理质量就显得十分重要,本文就基于等级保护要求,加强医院信息安全管理措施的效果进行分析。
关键词:等级保护;医院信息;安全管理随着网络信息技术的不断发展,网络犯罪情况日益严重,医院信息安全关系重大,只有确保医院信息安全,才能够维护社会及家庭的安定和谐,为减少数据泄露、信息丢失及数据破坏的风险,减少信息系统漏洞,提升数据库安全审计质量,保证信息系统配置安全,确保医疗质量及医疗安全,基于等级保护要求加强医院信息安全管理就显得尤为重要。
一、医院信息安全等级保护内容(一)信息安全管理等级保护存在的问题为确保信息安全管理的顺利实施,必须加强信息安全等级保护,主要从以下三个方面进行信息安全管理体系的构建,首先,确保信息管理人员能够接受规范化的培训,进行信息安全等级保护工作需要漫长的时间,需要专业化的信息技术人才,但是由于医院缺少相关人才,导致工作人员无法短期内掌握相关内容的管理方法,这就需要加强人员培训,提升工作人员对等级保护技能的掌握。
其次,安全管理投入不足,医院在工作过程中大都将资金投入于先进医疗设备的引入和医疗物品的购进,对信息安全管理的投入较少,导致信息安全等级管理存在较大隐患[1]。
第三,缺少安全意识,信息工作人员安全保护意识不足,医院工作人员保护意识不足,都直接导致医院信息泄露风险增加,影响信息安全等级保护质量的提升。
(二)信息等级安全技术内容数据安全是信息等级安全的主要内容,信息化在医院工作的普及,资源的日常运行数据及财富收入情况均属于医院的重点信息内容,所以必须对这些重要的信息数据进行保护,合理数据备份,强化数据备份机制,以降低数据丢失风险。
论如何构建医院信息系统的安全运行体系
2 04
计算机应用与软件
2007 年
据库、应用程序、操 作系 统、系统 的灾 难恢 复 ) 以及 多样 的备 份 机制 ( 本地、异地、磁带 )达到文件归 档及离线 异地保 存的目的, 提高服务器数据的安 全性和可管理性。
6) 加强客户机管理 医院信息的特点 是分散处 理、高 度共享, 用 户涉及 医生、护 士、医技人员和行政管理 人员。我 们制定 了一套长 期、稳定、统
换机、66台服务器, 2600多台 工作站 为骨 干形成 的三 级交 换局
域网, 安全问题也一直困扰着我们, 我们 强烈意识到加强医院信
息系统 的安全建 设工作, 改变系统 现状, 防患于未然 , 使系 统具
备防单点故障能力, 提高信 息中心应 对灾难 发生的 能力刻 不容
缓。经过 几年 的努 力和积 累, 对 H IS 系统 在 2000 年 ) 2007 年
3) 排除楼宇之间网络单点故障 (图 3) 目前医院网络主干由 科教楼、外科 楼、新门诊 楼、高 干楼 四 处的多层交换机形成 的半网 状结构 组成, 主干 速率 1000M。 这 些设备既是网络主 干又 是 其他 楼宇 二级 交换 机的 汇聚 接入 设 备。一旦网络设备发生故 障则造 成的影 响面相 当大, 因此科 教 楼和新门诊大楼采用 Cata ly st7600交换机、外科大 楼和高干大楼 采用 Cata lyst3500交换机与原主 干设备 构成热备 份工作 模式 进 行工作。所有的二级工作 组交换 机分别 与各个 主、备 两台交 换 机连接, 从而保证整个网络 运行的 安全。对于 二级工 作组交 换 机, 其 发生故障 时影响面小, 考虑 到投资成 本与效能的 产出, 采 用冷备份方式进行安 全备份。但 我们还 是发现 存在一 个缺点: 无法排除医保前置机或医保通信线路发生的单点 故障。
关于医院信息系统信息安全等级保护的思考
关于医院信息系统信息安全等级保护的思考发布时间:2023-03-28T05:33:04.109Z 来源:《中国科技信息》2023年第1月第1期作者:黄佳倍[导读] 如今社会信息化水平逐步提高,医院中信息系统发挥着极为重要的作用,但是网络具有一定的开放性,因此容易受到病毒、黑客攻击等影响,导致信息系统的安全性受到威胁。
黄佳倍张家港市中医医院 215600摘要:如今社会信息化水平逐步提高,医院中信息系统发挥着极为重要的作用,但是网络具有一定的开放性,因此容易受到病毒、黑客攻击等影响,导致信息系统的安全性受到威胁。
通过大量的实践研究分析,对信息系统进行分级保护能够使信息安全问题得到有效的处理。
信息安全等级保护是信息安全保障的重要方法,将其应用到医院中能够有效的维护信息数据安全,改善医院的信息安全。
本文以二级医院为例,对信息安全等级保护建设实践进行分析。
关键词:医院;信息系统;信息安全;等级保护;思考前言:近些年来,医院信息化水平逐步提高,医疗卫生机构开始应用信息系统,如果出现问题将对医院医疗活动的顺利开展产生直接影响,所以必须要强化医院的信息安全工作。
信息安全等级保护是由国家出台的信息安全分级保护制度,能够使医院的信息系统安全得到维护,使信息系统的防护和应急水平得到提升。
此外卫生部门还就医疗行业的实际情况发布相关通知,使信息安全等级保护工作在医院中有效落实。
1医院信息安全等级保护简述为保护医院的信息安全应实行信息安全等级保护,使信息系统的安全问题得到妥善的处理,使医院信息的安全现状进行分析。
信息安全等级保护是对国家、法人、公民等的专有信息、公开信息等进行储存、传输以及处理,对这些信息进行分等级的安全保护,对信息系统中的信息安全产品进行登记管理,有效处理信息安全系统中的安全事件。
在《信息安全等级保护信息安全等级保护管理办法》中,信息安全等级保护需要做到自主定级和自主保护。
信息系统的安全保护等级确定需要结合信息系统中国家的安全、经济建设以及社会生活的重要性进行确定,如果信息系统被破坏,国家安全、社会秩序、公民、法人等的合法权益也会受到威胁。
医院信息安全等级保护的探讨
医院信息安全等级保护的探讨
随着信息化时代的到来,医院信息化建设也成为了医院管理的重要组成部分。
然而,随之而来的医院信息安全问题却一直困扰着医院及其患者。
为此,医院信息安全等级保护的探讨显得尤为重要。
首先,医院信息安全等级保护的目的是什么?简单来说,就是保护医院信息系统和患者隐私数据不被非法获取、非法存储、非法转移等风险。
信息安全的等级保护可分为几个等级,例如:一级保护、二级保护、三级保护等。
不同的等级保护对信息安全有不同的要求等级。
然后,医院应如何进行信息安全等级保护呢?首先,医院需要认真认识信息安全等级保护的重要性,建立相应的保护责任制。
其次,医院要做好信息系统安全控制,包括技术控制、人员控制、物理控制等,从而达到保护信息系统和患者隐私数据的目的。
同时,医院还需定期的进行信息安全评估和安全培训,并采取相应的安全措施,加强信息安全意识。
最后,需要注意的是,信息安全等级保护的工作还需要和政府、信息安全厂商、专业的信息安全公司等各方面的专业力量合作。
与此同时,信息安全等级保护的要求不仅针对医院信息系统,还要考虑到患者信息的保护。
例如:患者信息的保护、数据备份、灾备等问题。
这些方面的保护同样需要高度重视。
总的来说,随着信息化建设的深入推进,医院也需要加强信息安全等级保护,保障患者信息的安全。
否则,不仅会影响医院的准确性和可靠性,而且还有可能会危害到患者的隐私权,带来难以想象的损失。
因此,医院管理者需要重视信息安全等级保护工作的重要性,加大投入,加强培训,共同建立起信息安全的坚实屏障。
医疗卫生行业信息安全等级保护的现状与对策
医疗卫生行业信息安全等级保护的现状与对策随着信息化的发展,医疗卫生行业的信息化进程也日益加速。
医疗卫生信息化的推进,为患者提供了更加便捷的就医服务,也提高了医院的管理效率。
在信息化的大潮中,医疗卫生行业信息安全问题也备受关注。
医疗信息系统的安全性问题牵动全社会的心弦,因此医疗卫生行业信息安全等级保护亟待解决。
本文将围绕医疗卫生行业信息安全等级保护的现状与对策展开讨论。
一、现状分析1. 医疗信息安全问题依然突出医疗信息安全问题一直备受关注。
在医疗信息系统中,患者的个人隐私、医疗机构的管理信息等大量敏感信息存在着泄露、篡改、丢失等安全风险。
医疗信息的泄露甚至可能导致患者的隐私权受到侵犯,给医院和患者带来不可挽回的损失。
2. 医疗信息系统安全防护薄弱医疗信息系统中存在着一系列的安全漏洞,比如网络攻击、未经授权访问、信息泄露等。
一方面,医院的信息系统建设可能存在着安全性设计不足;人为因素也是导致信息系统安全防护薄弱的主要原因,比如医护人员对信息安全的重视不够、密码管理不严谨等。
3. 缺乏统一的信息安全标准医疗卫生行业的信息安全等级保护标准尚未得到全面的制定,不同医院、不同信息系统中对信息安全的认识和标准不一致。
缺乏统一的信息安全标准,不利于医疗卫生行业信息安全等级保护工作的推进。
二、对策建议1. 健全医疗信息安全制度和管理体系医疗卫生行业信息安全等级保护,首先要健全相关的制度和管理体系。
建立健全的医疗信息安全管理制度,制订合理的信息安全政策,建立信息安全管理规章制度,划定不同权限医护人员的操作权限,建立信息安全保密责任制度,加强对医护人员的信息安全教育培训,提高医护人员对信息安全的重视,全面提高医院的信息安全防护能力。
医院需要不断完善信息系统的安全技术,包括建立安全的网络体系结构、采用先进的防火墙和入侵检测系统、加强对医院信息系统的实时监控和管理、建立完善的安全审计机制,及时发现和应对安全事件,确保医疗信息系统的安全可靠。
谈我院信息安全等级保护建设工作
业务信息安全被破坏时 对相应客体的侵害程度
所 侵 害的客体
特别严 重损 一般 损害 严 重损 害 害
公 民 、法 人 和 其 他 组 织 第
的合法权 益
一 级 第二 级 第 三级
社会 秩序 、公共 利益 篦 一匀 第三 级 第 四级
国家安全
第 =级 第 四级 第 五级
关键 词 :医院信 息安全 ;等级 保护 工作 ;等级 测评
一 、 引言
随着 我 国信息 化建设 的快 速发 展与广 泛应 用 ,信 息安 全 的重要 性愈 发 突出 。在 国家重视 信息 安全 的大 背景 下 ,推 出 了信息安全等级保护制度。为统一管理规范和技术标准 ,公 安部等四部委联合发布了 《信息安全等级保护管理办法》(公 通字 f2007]43号 )。随着等级保护工作的深入开展 ,原卫生 部制定了《卫生行业信息安全等级保护工作的指导意见 》(卫 办 发 『2011185号 ),进 一步规 范 和指 导了 我 国医疗 卫生行 业 信 息安 全等级 保 护工作 ,并 对 三级 甲等 医院核 心业务 信息 系 统 的安全 等级作 了要求 ,原则上 不低 于第三 级 。
技术 类安全 要求 按保护 侧重点 进一 步划分 为三类 :业务 信 息安 全 类 (S类 )、系 统 服务 安全 类 (A类 )、通 用 安全 保护类 (G类 )。如受条件限制,可以逐步完成三级等级保护, A类 和 S类 有一 类满 足 即可 ,但 G类 必须 达到 三级 ,最 严格 的G3S3A3控制项共计 136条 。医院可以结合 自身建设情况, 选择其 中一 个标准进 行差距 分析 。
2.1定 级 与备 案 。根 据公 安 部信 息 安 全等 级 保 护评 估 中心编制的 《信息安全等级保护政策培训教程 》,有两个定 级 要素 决定 了信 息 系统的 安全保 护 等级 ,一个 是等 级保护 对 象受到破坏时所侵害的客体 ,另外一个是对客体造成侵害的 程度。表 1是根据定级要素制订的信息系统等级保护级别。
医疗集团信息安全等级保护整改建议方案书
医疗集团信息安全等级保护整改建议方案书一、背景随着信息技术的不断发展和应用,医疗集团的信息系统已经成为医疗机构日常工作中不可或缺的一部分。
现有的医疗信息系统在方便了医护人员的工作的同时,也面临着信息安全等级保护的挑战。
尤其是在数据保护和隐私保护方面存在一定的漏洞,需要加强整改。
二、存在问题1. 数据安全风险:医疗集团的数据库存在未加密存储、权限控制不完善等安全风险,容易受到黑客攻击和数据泄露。
2. 网络安全隐患:医疗集团网络安全设施不够完善,存在未及时更新补丁、缺少入侵检测等问题,容易受到网络攻击。
3. 信息泄露风险:未能建立健全的信息泄露预警机制和应急响应机制,一旦发生信息泄露事件,容易造成严重后果。
4. 技术保障不足:医疗集团的信息技术保障体系不够完善,缺少信息安全专业人员和信息安全培训。
三、整改建议1. 加强数据安全保护:对医疗集团的数据库进行加密存储,建立完善的权限控制机制,限制敏感数据的访问权限。
2. 完善网络安全设施:加强网络安全设施的建设,包括加强入侵检测与防范、定期更新安全补丁、加强网络流量监控等。
3. 建立信息泄露预警机制:建立信息泄露事件的预警机制和应急响应机制,及时发现和处理信息泄露事件,减少损失。
4. 提升技术保障能力:加强医疗集团的信息安全技术人员培训,提高员工信息安全意识,建立信息安全管理制度,加强信息安全监管。
四、整改措施1. 由医疗集团的信息安全专业人员牵头对现有信息系统进行全面的安全评估,制定综合整改方案。
2. 升级医疗集团的信息安全设施,加强网络安全防护,部署网络入侵检测系统,加强数据加密和访问控制。
3. 建立健全的信息泄露预警机制和应急响应机制,明确应急处理流程,及时发现和处理信息泄露事件。
4. 加强医疗集团信息安全培训,提高员工信息安全意识,建立信息安全管理制度,加强信息安全监管,确保整改措施的贯彻执行。
五、预期效果通过上述整改方案的落实,医疗集团的信息安全等级保护能力将得到有效提升,可以更好地保护医疗数据和患者隐私,降低信息安全风险,提升医疗服务质量。
医疗卫生行业信息安全等级保护的现状与对策
医疗卫生行业信息安全等级保护的现状与对策随着信息化程度的不断提升,医疗卫生行业也逐渐实现了信息化管理,包括医疗数据的电子化、病历管理系统的建立等。
医疗卫生行业所涉及的患者隐私信息、医疗机密等敏感信息的泄露,对个人和社会带来的潜在危害也显而易见。
信息安全等级保护已成为医疗卫生行业亟需解决的问题之一。
本文将就医疗卫生行业信息安全等级保护的现状与对策进行分析探讨。
一、现状分析1. 敏感信息泄露频发随着医疗信息化的进程,医疗机构所涉及的患者个人信息、病历信息以及医疗机密等敏感信息的泄露事件屡见不鲜。
这些泄露事件可能由内部员工的疏忽大意所导致,也可能是由于系统漏洞、网络攻击等外部因素所致,给个人隐私和机构利益带来了巨大威胁。
2. 法律法规不完善目前,我国在医疗卫生行业信息安全等级保护的法律法规体系建设尚不完善,对于医疗信息的收集、存储、处理和传输等方面的规范性要求不够明确,对于信息安全等级的保护措施也缺乏有效的监管与制约。
这使得医疗信息安全等级保护存在法律空白和执行不力的现象,难以有效保护医疗信息的安全和隐私。
3. 安全意识薄弱在医疗卫生行业中,对于信息安全保护的重视程度不够,机构和从业人员的信息安全意识薄弱。
很多医务人员在对待医疗信息安全问题上存在轻视和疏忽的态度,导致信息安全等级保护措施的执行不到位,容易出现信息泄露等问题。
2. 增强安全技术措施医疗机构应当加强信息安全技术投入,建立完善的信息安全管理系统,采取有效的技术措施保护医疗信息的安全。
包括完善的防火墙系统、数据加密技术、网络安全监控系统等,预防和抵御网络攻击、病毒侵袭、黑客入侵等安全威胁,保障医疗信息的完整性、可靠性、保密性和可用性。
3. 加强安全意识培训医疗机构应当加强对从业人员的信息安全意识培训,筑牢信息安全的第一道防线。
开展信息安全等级保护的培训教育,提高医务人员对于信息安全等级保护的认识和重视程度,增强他们的信息安全意识,规范其在信息处理和管理中的行为规范,减少信息泄露的风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
抗风险角度
• 在信息网络环境里的安全指的是一种能够识别和消除不安全因素的能力。
安全就是一个系统地保护信息和资源相应的机密性和完整性的能力
来自外部的威胁
• • • • • • 口令破解 病毒攻击 非法服务 拒绝服务 网络漏洞 操作系统漏洞
物理安全
来自内部的威胁
操作步骤安全
DMZ区:部署专用防火墙,发布WEB应用
网络边界区:即Internet出口,这个区域 的防护尤为重要 远程接入区:安全的VPN技术实现移动办公 运维管理区:集合网管软件、堡垒机、数 据库审计等运维设备,实现全面的安全运 维 无线接入及无线认证区:基于中国移动的 无线设备,采用本地vlan转发的方式,并 部署无线认证平台,为无线医疗提供数据 传输服务
信息等级保护贯彻“谁主管谁负责、谁运营谁负责” 原则,由各主管部门和运营单位依照国家相关法 规和标准,自主确定信息系统的安全等级并按照相关要求组织实施安全保障。
同步建设原则
信息系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
动态调整原则
由于信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息
节点,如何保证整个系统在高效运行情况下的网络安全,是一个至关重要的问题。
• 对系统自身的网络安全工作是个考验,而且在各个医院的网络部署也提出了更高的 要求:既要保证医院节点和区域数据中心的交互,又要确保各医院网络与区域卫生
信息平台相对独立,互不干扰。
2015/6/18
提
纲
2
失,着实让享受互联网便利的网民惊出一身冷汗。
拥有大数据的互联网公司对于天灾人祸应该有一套严格的防范措施。 网络安全不仅事关国家安全和国家发展,也直接关系到每一个人的切身利益。
2015/6/18
网络发展迅速, 较少考虑安全问题; 管理人员的缺乏及对安全知识和意识的不足; 全球超过26万个黑客站点提供系统漏洞和攻击手段及工具等方面的知识; 容易使用的攻击软件和黑客教程比比皆是,成为一名“黑客”变得越来越简单。
系统的安全保护等级需要根据情况的变化,适时重新确定,并相应调整对应的保护措施。
安全域的 合理划分
网络可信 接入
网络信任 跨平台数据 交换安全 体系保障 信息安全
安全管理与 服何做好卫生信息三级安全等保工作
信息等保工作(技术要求、管理制度、人员制度 )
•位置选择 •物理访问控制 •防盗窃破坏 •防雷击 •防火 •防水防潮 •防静电 •温湿度 •电力供应 •电磁防护
物理防护
描述
三甲医院网络安全需要严格按照等保的 要求进行构建,规划为多个安全区域:
核心区域:负责全网络的高效稳定的数据 交换 服务器安全区:承载HIS等核心服务器,根 据服务器的重要程度,提供不同安全级别
挂号收费系统 挂号收费系统
药房管理系统 医技管理系统 药房管理系统 医技管理系统
乡镇医院
家庭医生
• 医生的问题 • 医院的问题 • 信息中心的问题
• 帐号混用 • 密码简单,长期不变 • 权限划分不清晰
• 医生的问题
• 内部需要数据共享 • 对外上报接口多 • 内外网划分不清晰 • 重纸质(法律)、轻信息
美国FBI调查,每年因网络安全造成的损失高达170亿美金;
平均每五个站点就有一个遭受不同程度地攻击;
中国公安部资料表明,网络犯罪每年以30%的惊人速度递增.
信息网络安全的定义
通常理解 科学定义
• 防止未授权的用户访问信息
“信息网络安全就是避免危险”
• 防止未授权而试图破坏与修改信息
随着移动互联网和云计算的发展
“话在网上说,钱在网上花,事在网上办,现今已经成为一种习惯、一种常态。” 但安全问题已经成为互联网最大的安全漏洞。 “一根光缆绊倒一个巨头”。微信、网易、支付宝等多个应用因机房出问题或
光缆被挖断,出现了短暂的故障,
“员工错误操作导致携程官网及APP瘫痪事件” 。虽未造成全网络的安全损
(3)系统安全等级
区域卫生平台最后安全等级从信息和服务的等级较高者确定,定为三级。
市区二级平台即要优先重点保障信息安全、又要优先重点保障服务可用可靠,未来
拓展服务内容时,应动态完善
单位
系统名称 HIS 系统
建议等级 三级
备注
面向患者提供服务的系统 管理病人隐私、商业秘 密的系统
真实性 完整性 保密性 可用性 可靠性 可控性
• 信息内容真实、来源真实 • 信息生成、传输、存储等过程不被非授权修改 • 信息生成、传输、存储等过程不被非授权泄露
• 信息和服务能为授权使用者所用 • 服务能够长时间稳定运行
• 行为可管可控可追溯
“谁主管谁负责、谁运营谁负责”原则
卫生信息安全等保要求
17
《关于印发<卫生行业信息安全等级保护工作的指导意见>的通知》(卫办发〔2011〕85 号)
--保障“六类”安全:真实、完整、保密、可用、可靠、可控 --增强“三种”能力:安全防护能力、隐患发现能力、应急响应能力
人口信息
“46312”工程为核心
人口信息
医疗卫生机构众多
与老百姓健康保障紧密相关 业务全面渗透
系统普遍互联
信息广泛共享
健康卡
人口信息
互联互通、应用协同、服务保障
统一标准体系
信息安全防护体系
总体思路:按照信息安全等级保护制度要 求,结合业务特点优先满足重点安全需求
• 医院的问题
• 信息中心的问题
• 安全意识淡漠
• 信息安全制度缺失 • 医院门户网站缺少必要的安全保护措施
• 医生的问题
• 隐私保护培训不足 • 安全人员不够专业 • 数据审计不足 • 生产、测试不分 • 数字证书问题 • 权限过于集中
• 医院的问题
• 信息中心的问题
• 明码通讯
医疗卫生信息安全等保 管理与思考
何 萍 上海申康医院发展中心
2015年6月
2015/6/18
提
纲
1 2 3 4
信息网络安全与卫生信息化 卫生信息安全等保要求 如何做好卫生信息三级安全等保工作
总结与展望
2
提
纲
1
信息网络安全与卫生信息化
3
根据医院系统现状进行 资产收集和整理
前期准备工作定 级备案
如何定级 (谁拥有谁负责、谁运营谁负责)——明确目标
以居民健康档案为核心的区域卫生信息平台
(1)业务信息安全等级
省、市级区域卫生信息平台的居民健康档案数据一旦遭到破坏,影响到该地区广大人民群众的生命健康 保障,对社会秩序和公共利益造成“严重损害”,可定为三级。
(如信息系统外包、药房托管等等)
• 所有医疗机构包括患者基本信息、诊疗病史资料、医疗费用资料、检验检查报告、 医学影像检查报告等信息在内的大量数据交换,如何预防与监控医疗敏感数据和各 类统方行为的发生? • 区域卫生信息安全覆盖一二三级医院,并与市级、区县级卫生局互联。如此众多的
区域平台
六大重点
业务应用 系统
• 卫生信息平台上各类系统服务的可用
性、可靠性如何保证?
公共 卫生 计划 生育 医疗 保障 医疗 服务 药品 管理
综合 管理
一、信息化技术发展引起安全与投入、效率的矛盾
安全挑战
2015/6/18
二、惠民项目的倡导与居民隐私保护的矛盾
三、外包服务的普及带来信息泄露的风险
由安全事件反观医院信息系统安全
医院作为社会公
共服务领域的重要
组成部分,收集和 储存了海量患者信 息。医院信息系统 安全问题是关注焦 点。
贯穿患者的整个就医过程的医疗信息 实验室管理系统
社区医院
PACS 出入院结账系统 出入院结账系统
综合医院
由HIS构成的医疗数据 电子病历
ERP 专科医院
遵循标准、重点保护
同步建设、动态完善
--根据卫生信息系统应用业务的重要程度及其实际安全需求,实行分级、分类、
二、
等级保护概念
分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益 和社会稳定。 --等级保护核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建
设、管理和监督。
--国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,重点保 障重要信息资源和重要信息系统的安全。
• 明确定级保护对象 • 从信息和服务两方面合理分析,准确定级
• • • •
分域保护、纵深防御 技术和管理并重 加强网络信任体系建设,保障信息安全 加强安全管理和服务保障,保障业务连续性
等保测评 信息安全管理制 度完善
整改建议及实 施 相关阶段输出文 档 依据等保要求进 行差距分析及评 估
区\县级平台
• 居民健康档案在生成、传输、存储、
再利用等过程的安全性如何保证?
社区卫生 医院
以居民健康档案为核心的区域卫生信息平台
风险
拒绝服务 病毒、恶意代码 关键组件失效 环境自然灾害 服务不可用,业务 连续性面临挑战
影响
影响到医疗服务、公共卫生、 医疗保障等业务的正常开展, 影响到人民群众的生命健康, 影响到社会秩序
系统安全
信息安全 领域
管理人员安全 网络安全
• • • • •
物理安全 误用和滥用 不当的接入方式 数据监听(Sniffer) 劫持攻击
来自管理人员的威胁
• 网络安全中人是薄弱的一环,许多安全因素是与人密切相关; • 提高安全管理人员对设备管理的责任感。 • 网络管理员的安全意识对提高网络安全性能具有非同寻常的意义;