医院信息系统安全风险与应对
医院信息系统风险分析及对策
医院信息系统风险分析及对策医院信息系统在现代医疗领域中起着重要的作用,但同时也面临着许多潜在的风险。
本文将对医院信息系统的风险进行分析,并提出相应的对策,以确保系统的安全稳定运行。
一、系统安全风险1. 数据泄露:医院信息系统中存储了大量的患者隐私信息,如姓名、联系方式、病史等。
如果系统被黑客攻击或员工泄露数据,将导致患者隐私泄露风险增加。
对策:加强网络安全防护,包括使用强密码、定期更新防火墙、限制访问权限等措施,定期对系统进行安全检查和漏洞修复,并加强员工教育,提高他们的安全意识和保密意识。
2. 病毒感染:医院信息系统可能会受到病毒和恶意软件的感染,导致系统崩溃、数据丢失或被破坏,从而影响日常工作和患者的医疗安全。
对策:安装并及时更新杀毒软件,定期对系统进行全面扫描和清理,同时加强对外部设备(如U盘、移动硬盘)的检查和过滤,禁止未经授权的外部设备插入系统。
二、数据管理风险1. 数据丢失:医院信息系统中存储了众多患者的医疗记录和诊断结果等重要数据,如果由于意外或系统故障导致数据丢失,将直接影响医院的正常运转和患者的治疗。
对策:建立严格的数据备份和恢复机制,定期对数据进行备份,并将备份数据存储在不同的物理设备和地点,确保数据的安全可靠性。
2. 数据错误:医疗过程中产生的大量数据容易出现错漏,如果错误的数据被误用或参与决策,将可能给患者的身体健康和生命安全带来严重后果。
对策:建立高效的数据质量管理机制,包括数据验证、数据清洗和数据纠错等措施,同时加强对医务人员的培训和考核,提高其数据录入和管理的准确性和规范性。
三、系统可靠性风险1. 系统故障:医院信息系统可能因为硬件故障、软件错误或网络问题而出现系统瘫痪或运行不稳定的情况,从而导致患者信息无法准确记录和获取,甚至影响到紧急救治和手术等关键医疗工作。
对策:建立定期维护和巡检制度,对系统硬件和软件进行及时维护和更新,同时建立备用系统和冗余设备,以确保系统的高可用性和稳定性。
医院信息系统风险分析及对策
医院信息系统风险分析及对策医院信息系统是一个重要的组成部分,它提供了医院管理、医生和护士的工作流程以及患者诊疗过程中所需的信息技术支持。
然而,随着医院信息化程度的越来越高,信息系统面临的风险也越来越复杂和多样化。
为了保障医院信息系统的安全性和稳定性,需要对其进行风险评估和管理。
下面我们将对医院信息系统的风险进行分析,并提出相应的对策。
1. 网络安全风险:由于医院信息系统需要通过网络进行数据传输和交换,因此网络安全风险是医院信息系统最常见的风险之一。
攻击者可能通过网络攻击技术获得医院信息系统的访问权限,从而对系统进行攻击、篡改或病毒感染等。
2. 数据丢失和泄露风险:医院信息系统中包含了大量的患者个人隐私、医疗记录和财务信息等。
一旦这些信息泄露或意外丢失,可能会对患者和医院造成严重的损失和影响。
3. 系统故障和漏洞风险:医院信息系统需要长时间运行,具有很高的可靠性和稳定性要求。
一旦系统出现故障或漏洞,可能导致系统崩溃、数据丢失、服务中断等问题,对医院的日常运作和患者的诊疗造成严重的影响。
4. 人为误操作风险:医院信息系统需要大量的人员参与操作,医院职工也会因各种原因疏忽或错误地处理信息,容易出现人为误操作的情况,并可能对患者和医院的安全造成影响。
1. 网络安全管理:加强网络层面的安全防护,包括设置防火墙、入侵检测系统、安全漏洞扫描等。
同时建立安全管理制度,对网络管理人员进行安全培训,提高他们的安全意识和技术水平,保障医院信息系统的稳定运行。
2. 数据备份和加密管理:对重要数据进行备份和加密,防止数据丢失和泄露,设置访问权限和加密传输等技术手段,提高数据的安全性和完整性。
3. 系统漏洞修补和升级:定期对系统进行漏洞扫描和修补,及时更新和升级系统版本,保持系统安全性和稳定性。
4. 健全人员管理制度:建立完善的人员管理制度,对医院信息系统的操作人员进行安全培训和考核,提高人员的安全意识和技术水平,减少人为误操作的风险。
医院信息系统风险分析及对策
医院信息系统风险分析及对策医院信息系统已经成为医疗机构管理、医疗服务提供和医学资源配置的重要依托工具,可以帮助医院提高医疗质量和效率。
然而,与此同时,医院信息系统也面临着一系列的安全风险和数据泄露的风险。
本文将对医院信息系统的风险进行分析,并提出相应的对策。
1. 数据泄露风险医院信息系统存储了海量的医疗数据,包括患者个人信息、病历、诊疗记录等。
这些数据一旦泄露,不仅会对患者造成隐私和财产上的损失,也会对医院造成声誉和经济上的损失。
数据泄露的风险主要来自于以下几个方面:(1)攻击者利用安全漏洞入侵系统。
(2)内部人员利用职权泄露数据。
(3)数据备份和转移过程中的信息泄露。
解决方法:(1)加强数据安全管理,建立完善的安全策略和管理制度,加密敏感数据,并对系统进行安全检测和漏洞修复。
(2)对内部人员进行管理和监督,加强培训和教育,提高安全意识。
(3)对数据备份与转移进行加密和防护,建立备份数据的完整性验证机制。
2. 病人信息失实风险由于诊断、治疗和用药等方面的差异,医生可能为同一种病提出不同的治疗方案。
在这种情况下,需要不断收集和整理病人的信息,来进行下一步的治疗决策。
但是,由于信息系统的病人信息录入和查询都是通过文本输入和采用模糊搜索的方式进行,因此可能存在输入错误、业务逻辑错误等导致病人信息失实的风险。
(1)建立病人信息录入的规范和标准。
(2)病人信息要尽量采用数字化的方式进行,减少人工干预的概率。
(3)建立病人信息标准化的模板,减少文本输入的误差。
3. 信息系统性能不足风险医院信息系统是一个复杂的系统,由硬件设备和软件构成,需要包括医院、电信系统、IT工程师、应用服务供应商等多方合作。
在运行过程中,系统可能面临很多的问题,例如系统扩展性不足、网络超时、数据丢失、系统崩溃等,从而导致医院的运营和医疗服务受到影响。
(1)建立和运行一个可扩展的系统,拥有强大的数据存储系统和计算资源中心。
(2)使用虚拟化技术,降低对硬件带来的压力,提高系统性能。
医院信息系统安全风险评估与防范策略
医院信息系统安全风险评估与防范策略一、引言随着信息技术的快速发展,医院信息系统在医疗行业的应用日益广泛,对提高医院管理效率和医疗质量起着至关重要的作用。
然而,与此医院信息系统所面临的安全威胁也在不断增加。
本报告旨在对医院信息系统的安全风险进行评估,并提出相应的防范策略。
二、现状分析1. 医院信息系统的应用及影响医院信息系统已经广泛应用于医院的各个部门,如医疗,行政,人力资源等。
它的应用不仅提升了医院管理效率,还改善了医疗服务质量,提高了医患关系。
2. 医院信息系统面临的安全威胁医院信息系统是一个包含大量敏感医疗数据的网络系统,其面临的安全威胁主要包括以下几个方面:a. 数据泄露:医院信息系统中存储了大量患者的个人信息和病历数据,一旦泄露,将对患者的隐私权造成严重侵害。
b. 网络攻击:黑客和恶意软件的攻击可能导致医院信息系统遭到破坏或数据丢失,影响医院的正常运作。
c. 内部威胁:医院信息系统中的工作人员对系统内部的访问权限可能被滥用,导致敏感数据被窃取或篡改,造成严重后果。
三、存在问题在医院信息系统安全方面依然存在以下问题:1. 安全意识不足:医院员工对信息安全的重要性缺乏足够的认识,缺乏安全意识教育。
2. 技术防范不足:医院信息系统的技术安全防范措施相对薄弱,缺乏完善的防护机制和及时的漏洞修补。
3. 安全管理不规范:医院缺乏完善的安全管理制度和流程,对安全事件的应急响应能力较弱。
四、对策建议为了加强医院信息系统的安全风险评估与防范,我们提出以下对策建议:1. 提高安全意识:应加强医院员工的信息安全培训和教育,增强他们对信息安全重要性的认识,以减少因员工操作不当导致的安全风险。
2. 加强技术防范:医院应投入足够的资源,实施有效的信息安全技术措施,包括网络防火墙、入侵检测系统、数据加密等,以防止黑客攻击和恶意软件的侵入。
3. 建立完善的安全管理制度:医院应制定并实施严格的安全管理制度,包括信息资产管理、访问控制、安全审计等,以确保医院信息系统的安全性。
医院信息系统安全措施及应急预案
医院信息系统安全措施及应急预案一、背景如今,医院信息系统已成为医疗行业中一项不可或缺的工具,它能够帮助医院实现安全、快速、高效、精准服务。
然而,随着信息技术的发展,各种网络攻击也随之而来,医院信息系统的安全面临着严峻的挑战。
一旦发生信息泄露、系统瘫痪等安全漏洞,将会给患者造成不可挽回的损失,同时也会给医院造成重大的财务和声誉损失。
因此,加强医院信息系统的安全措施和应急预案显得尤为重要。
二、主要内容1. 安全措施•网络安全方面:采用专业的网络安全设备,设置网络访问控制和防火墙严格控制内外网数据流、实现信息安全隔离,限制外部人员和未授权人员访问医院内部网络系统,确保内部网络的安全。
•密码安全方面:所有用户账号需要实行强制密码策略和密码强度控制。
用户登录需要通过多因素认证,可设置密码安全标准,如必须使用包含大写字母、小写字母、数字和特殊字符的超长密码。
•数据备份方面:定期对医院信息资料和服务器数据进行备份,保证数据不会因为系统故障而丢失。
同时,备份数据需要加密和分散存储,防止数据泄露风险。
可以采用不断备份的紧急恢复方式,最小化数据损失时间。
•安全审计方面:对所有系统进行安全审计,并建立安全日志系统,及时记录和报告安全事件,以快速定位和纠正潜在安全隐患和漏洞。
2. 应急预案•安全预案制定方面:建立完善的应急处理预案制定机制,从安全威胁、风险、漏洞、安全技术以及安全管理等方面建立一套完整、协调、合理的安全应急预防方案,根据实际情况进行创新,并建立应急反应预案,即在安全突发事件发生后迅速响应的拥有相应资源的预案。
•安全预案设计方面:按照安全预案进行架构细分,灵活利用主机防火墙、门户网站安全、应用的漏洞处理和反病毒技术等进行多维度设计方案。
•信息安全演练方面:定期组织信息安全演练,测试应急预案的可行性和有效性,根据演练情况对应急预案进行修订,不断提升应对突发事件的能力。
三、总结医院信息系统的安全问题不容忽视,只有采取全面、有序、有效的安全措施及应急预案,才能最大程度保障患者的隐私信息安全,保证医疗服务质量。
医院信息系统风险分析及对策
医院信息系统风险分析及对策医院信息系统在现代医疗保健体系中起着至关重要的作用。
它不仅能够帮助医院高效管理患者的医疗信息,也能够为医务人员提供必要的支持和帮助。
随着信息技术的快速发展,医院信息系统也面临着诸多的风险和挑战。
本文将对医院信息系统可能存在的风险进行分析,并提出相应的对策。
一、安全漏洞医院信息系统中包含着患者的个人和医疗信息,一旦系统出现安全漏洞,这些信息就可能被泄露或者被不法分子侵入,导致信息安全受到威胁。
信息系统还涉及电子病历和处方,如果这些数据被非法获取或篡改,将会对患者的健康和生命造成严重影响。
对策:医院应加强信息系统的安全管理措施,包括加强对系统的监控、设置强大的防火墙和加密措施、定期对系统进行安全漏洞扫描和漏洞修复,同时加强对员工的信息安全培训,提高员工的信息安全意识。
二、数据丢失信息系统中的数据丢失可能是由于硬件故障、软件错误或人为疏忽等原因造成的,如果没有及时备份,将对患者的医疗服务和信息管理带来严重的影响。
对策:医院应建立完善的数据备份和恢复机制,定期对系统进行数据备份,并确保备份数据的安全和可靠性。
加强对数据丢失原因的分析和定位,及时修复硬件故障和软件错误,并加强对员工的数据管理培训,提高数据管理意识。
三、合规风险医院信息系统必须符合国家和地方的相关法律法规和行业标准,否则将会面临合规风险。
医院信息系统中包含的患者隐私数据必须受到保护,否则将面临法律责任和金钱赔偿。
对策:医院应建立健全的合规管理制度,确保信息系统的合规性,及时对系统进行合规性审计和整改,定期更新和调整信息系统的合规政策和流程,并加强对员工的合规意识培训,提高员工对合规风险的认识。
四、技术更新风险随着信息技术的发展和更新换代,医院信息系统也需要不断进行技术更新,但技术更新也可能带来一系列的风险,包括系统不兼容、数据迁移困难等。
五、人为疏忽人为疏忽是造成信息系统风险的主要原因之一,包括员工的疏忽、错误操作、违规行为等。
医院信息化系统安全威胁分析及防范研究
医院信息化系统安全威胁分析及防范研究一、前言医院信息化系统的发展带来了极大的便利性和效率提升,但也伴随着安全风险。
医院信息化系统的信息传输、处理与存储,如果没有得到保障,将会遭受各种安全威胁,如信息泄露、数据篡改、黑客攻击等。
因此,医院信息化安全问题引起了深刻的关注。
本文将从医院信息化系统存在的安全威胁进行分析。
二、医院信息化系统安全风险1. 病人隐私泄露目前医院信息化系统中患者病历、药物处方、身体诊断结果等信息均存储在电子化数据中心内,组成了医院的系统。
如果医院系统存在漏洞,黑客可以轻易地获得患者的病历、药物处方、身体诊断等资料,导致病人隐私泄露。
2. 数据篡改医院信息化系统中的病人治疗计划、化验数据、检查结果等患者数据都会被储存,这些数据的完整性对病人的诊疗治疗有着十分重要的影响。
黑客可通过攻击系统,篡改病人的诊疗记录,导致病人看病出现误诊。
3. 丢失数据医院的电子化数据中心中会存储大量病人的个人信息,如医院员工信息、账户信息、患者信息、处方等,如果系统服务器遭遇灾难性情况,如黑客攻击、大面积系统崩溃等,将导致大量病人信息资料丢失,危及患者的诊疗安全。
4. 恶意软件入侵恶意软件包括病毒、蠕虫、木马等,可以通过未进行系统升级的用户计算机进入网络。
由于医院的数据中心同时连接着各个部门的计算机,因此恶意软件一旦感染进入比较关键的部门计算机,如核心管理系统,那么恶意软件就能够搭乘管理系统的网络进入全局系统,从而影响整个医院信息化系统的安全性。
5. 系统升级漏洞医院信息化系统每年都需要进行更新,以保障系统的稳定性与安全性。
但是,升级过程中,往往会出现漏洞未被发现,此种现象被非专业人员所发现也称之为"后门"。
若出现后门不小心泄露或被黑客利用,医院信息化系统的安全性将会大大降低。
三、医院信息化系统安全防范解决医院信息化系统的安全问题,主要包括两个方面,分别是技术性防范和管理性防范:1. 技术性防范a. 强化防火墙设置,规范数据传输。
医院信息化建设的风险与对策
医院信息化建设的风险与对策随着科技的不断发展,医院信息化建设已经成为了医疗领域中的重要趋势。
然而,信息化建设也带来了一定的风险,这对医院的安全和运营都带来了影响。
在这篇文章中,笔者将探讨医院信息化建设的风险和对策。
一、医院信息化建设的风险1. 安全风险在医院信息化建设中,信息的安全问题是最为关键的问题。
医院信息系统中所含的患者个人情况、病历信息等都是敏感的数据,如果这些信息被黑客攻击或泄露,就会对患者的隐私造成不良影响。
此外,黑客还可能通过恶意攻击来影响医院的正常运营。
2. 技术风险医院信息化建设需要采用各种技术工具,如数据库、网络、系统、软件等。
这些技术工具都具有一定的技术门槛,要求医院在使用时需要具备相应的技术能力。
如果医院缺乏相应的技术人员,就可能难以进行信息化建设。
此外,技术的快速更新换代也会带来技术更新的风险。
3. 设备风险医院信息化建设需要大量的设备支持,如服务器、电脑、存储设备等。
这些设备在使用时会遇到故障和损坏,这会对医院的运营造成不良影响。
修复和更换这些设备也需要一定的资金和时间成本。
二、医院信息化建设的对策1. 加强信息安全信息安全是医院信息化建设的重中之重,所以需要医院针对信息安全制定专门的安全方案,加强安全培训,增强员工的安全意识。
医院还需要加强网络安全防范,如加强网络监测、加强设备的安全措施等。
此外,医院还需要在系统设计时注重数据的安全性,制定完善的数据备份机制。
2. 增强技术能力医院需要考虑提高技术人员的专业能力,增加执行能力,特别是在保证信息安全的情况下。
医院可以实行培养本土化、专业化的技术团队,同时推广信息化知识,提高其他员工的信息化技能,使大家都能更好地运用医院信息化系统。
此外,医院还需要定期维护和更新设备,确保每个设备处于最佳状态,减少故障和故障的影响。
3. 提高管理制度和流程医院信息化建设也需要加强管理制度和流程。
对于网络、系统、软件的监控,医院需要建立一套完整的管理流程,加强对各项数据统计的分析和监测。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
医院信息系统安全风险与应对
黄慧勇① 黄冠朋① 胡名坚①
①佛山市第一人民医院,528000
关键词 安全风险 信息系统安全 医院信息系统
摘 要 近几年来,随着医院对经营管理、医疗质量、医疗服务等各个方面提出的更高要求,医院均加大投入,全面地、大规模地进行医院信息系统建设。
各类的应用系统、IT硬件、网络设施在医院内建立起来,医疗业务、管理业务也对信息系统的依赖性也越来越高,信息系统的任何短暂停顿都可能会导致业务运行的中断。
面对医院对信息系统如此高的要求,以及信息系统面对的如此复杂的应用环境,IT管理者如何解决信息系统的安全问题,确保信息系统的“永续”运行,本文根据多年的医院信息系统建设与运维实际情况,试图从医院信息系统安全角度出发,对信息系统安全所面临的风险进行初步的识别,并针对性地提出应对办法。
近几年来,随着信息系统在医院更全面,更深入的应用展开,信息系统的规模空前的扩大了,所采用的各种IT软硬件设施种类繁多。
医疗业务、管理业务对信息系统的依赖性也越来越高,信息系统的任何短暂停顿都可能会导致业务运行的中断。
与此同时,信息系统运行的环境却越来越恶劣,开放式的使用环境、各类计算机病毒、各类恶意非恶意的破坏都在威胁着信息系统的安全。
面对医院对信息系统如此高的要求,以及信息系统面对的如此复杂的应用环境,IT管理者如何解决信息系统的安全问题,确保信息系统的“永续”运行,是当前迫切需要处理好的问题。
1医院信息系统主要的安全风险
1.1物理安全风险
1.1.1环境场地安全风险 主要有水灾、火灾、地震、雷击、计算机系统电源供应不稳定、温度过高或过低、消防设施不合适、静电防护不合格、防尘不达标、其他电磁干扰等等,这些人为的或自然的安全风险对信息系统有可能造成灾难性的毁坏。
1.1.2设施与设备安全风险 主要有采购到不符合国家相关标准或规范要求的计算机产品、主机系统没有专有机房保护、网络设备放置于不安全地方、未做好防毁防盗、新购的核心设备未做好测试就投入运行、故障的设备没有及时检修、信息系统的数据中心没有严格人员进入管理、信息系统存在线路非法截获、核心设备没有冗余等。
事实证明,由于医院是一个开放环境,人员来去自由,身份复杂,防盗问题比较突出。
1.2数据安全风险
1.2.1介质安全风险 由于医院信息系统实施周期长,所涉及的应用系统众多,目前各应用系统大多是不同厂家开发,存在着异构的数据平台,数据存储在不同的服务器或不同的存储产品中。
主要的风险有存储介质故障、备份介质如硬盘故障风险、磁带损毁风险、自动备份策略不生效等。
1.2.2数据库安全风险 由于医院信息系统中的数据大多存放在数据库中,主要风险有:数据库用户管理混乱、内部或外部的非授权用户从不同渠道进行攻击[1]、未做数据库审计、非法机器接入、人员误操作导致数据删除、数据库产品本身缺陷等。
其中由于权限管理不严格,造成的对数据非法操作或误操作的现象是屡见不鲜,对信息系统危害很大。
1.3网络安全风险
1.3.1网络体系结构设计上的风险 医院信息系统的网络不是一个封闭的网络,还涉及到与社保、银行、其他医疗机构、上下级机构连接,内网又有不同应用,因此在网络体系结构设计时必须考虑网络安全的设计,而不是单纯考虑容量、带宽、性能等指标,还应考虑内外网是否应物理隔离、网段划分是否合理、路由是否正确、核心网络设备是否需要冗余设计等。
但很可惜的是,许多医院网络是逐步扩容或升级而成,很少有做周全的规划。
1.3.2配置管理上风险 由于信息系统中大量依赖网络进行信息传递,网络设备如交换机、路由器等如果存在路由信息误改、交换机配置出错,将导致网络大面积的瘫痪。
密码管理不严、网络配置无及时备份、参数修改控制不严格都是较常见的问题。
1.3.3网络管理安全风险 网络随应用需求而变更频繁,网口增减随意性大、走线杂乱无章、网络管井的跳线、面板标识不清、网络跳线杂乱无章、各科室或病区私架无线或有线局域网,如果没有一套规范的管理,对网络故障快速定位都是一个很大的挑战。
在实际使用过程中,用户私自架设局域网、私自在计算机上安装不安全的软件情况比较严重。
1.3.4病毒与入侵风险 这些风险即有来自于内部的,也有来自于外部的。
由于网络的开放性与共享的需求,大多数医院都建立了Internet的应用,如门户网站、邮件系统、OA系统的建立,都给网络安全带来隐患。
电子邮件现已成为计算机病毒最主要的传播媒介,占病毒总传播的87%。
因此收取来历不明邮件、访问不安全的网站、局域网内大量设置共享目录、没有安装必要防病毒软件和防垃圾邮件、没有配置防入侵系统都加大了这种网络异常故障的风险。
在实际医院信息系统维护工作中,病毒造成的干扰是最大的。
1.4应用安全风险
1.4.1应用软件安全风险 由于众所周知的原因,医院信息系统应用软件的变更频率是很大的,未做充分软件测试、版本管理不严格、技术文档缺失、配置管理与变更管理不规范、软件设计不合理等情况比比皆是。
1.4.2系统软件安全风险 不论是IOS、WINDOWS,还是UNIX,都存在安全漏洞,因此系统软件非正版、没有及时升级打补丁、未设专人管理是这类主要风险。
1.4.3用户使用安全风险 人为因素对网络系统安全的影响是多方面的[2],这类风险主要有非授权访问数据与程序、各用户职责不清、不充分的应用培训、不规范地使用计算机终端、用户密码过于简单、角色与权限分配不当等,轻则造成个人隐私或财务数据泄漏,重则导致系统崩溃。
1.5管理安全风险
1.5.1规划安全风险 目前的情况是,各医院信息系统均是历经多年、由众多供应商实施完成,对信息系统安全缺乏总体规划。
“重建设、轻运维、轻安全”,管理组织架构未建立,安全预算不到位等情况很普遍。
1.5.2规章制度风险 未建立各类信息系统规划、实施、运行、安全的管理规范,缺乏相应的约束或惩罚办法,对安全违规行为没有一个好的约束机制。
1.5.3安全人员风险 医院信息系统管理人员普遍配置不足,专业的安全管理人员很多医院都没有,经验欠缺,也导致处理安全故障不及时。
三分技术七分管理,管理制度与技术解决方案相结合,是制定信息系统安全风险应对的基本原则。
投入多大预算来进行信息系统安全体系的建设,取决于各医院对已识别出来的风险的承受能力。
某些高频发,破坏性大的风险则一定要解决。
但某些较少出现,但破坏性大的风险也一定要有相应的管理解决方案或技术解决方案。
2针对以上风险,提出如下应对策略
2.1建立有效的安全管理组织架构,明确职责,理顺流程,争取领导的重视是做好信息系统安全工作的关键,以便在预算支持、人员落实方便有所保障。
2.2对现有信息系统进行全面的安全审计,必要时重新进行全面规划设计,以便逐步进行完善。
如果医院没有相关专业技术,可采用外包方式,请专业信息系统安全设计公司进行设计安全管理体系,并根据资金预算及风险承受能力进行实施,并在应用中逐步完善。
2.3制定完善的信息系统安全管理制度,如计算机终端使用管理制度、数据中心机房管理制度、应用软件使用管理制度、数据备份管理制度、信息系统运维管理制度、信息系统文档与配置管理制度等。
同时加强对管理制充的执行力度,在获得领导支持的情况下,严格处罚机制。
2.4要建立信息系统应急预案,保证业务不间断运行。
包括有:主机系统应急预案,网络应急预案,应用系统应急预案,数据灾备系统等。
在事故发生时,按照预案以最短时间、最小损失来恢复系统,应急预案的制定要简单明了,便于操作,同时必须确认相关人员充分了解。
预案中应说明紧急事件发生时,应向谁报告、谁负责回应,谁来做决策启动预案。
而且有条件的话,应对应急预案进行预演,以便及时发现问题,对预案进行修正,确保其正确性及可行性。
由于风险无法避免,所以应急预案尤为重要。
2.5信息管理人员还要加强对物理场所的安全管理,如用电、环境、防盗、防灾等一系列安全管理。
2.6加强培训,除加强信息系统管理人员的安全技术与管理知识培训外,还需在全院加强信息系统使用人员的安全意识培训、操作技能培训、规章制度培训。
针对目前医院信息系统已发生的故障大多出自内部人员非规范使用的特点,加强内部人员的管理。
2.7加强对财务数据、医疗过程数据、药品信息等敏感数据进行保密管理,防止外泄。
世界上没有一个绝对安全的信息系统,不同的医院有不同的情况, 不能一概而论, 包括管理现状、资金状况、人员配备、技术支持等都会影响到信息安全的实施[3],取决于各个医院对各种风险的承受能力,基于这种承受能力,IT管理部门才能制定出相应的应对策略。
通过这些应对策略的实施,最大限度的保障信息系统的可用性、可靠性。
参考文献
[1]马丽娅,程学军,陈强,等.“军字一号”工程的风险因素和安全策略[J].北京军区医药,2000,10(12):326-327.
[2]余洋,揭金良.数据库系统风险评估方法的探索与实践[J].福建电脑,2007,12:48-49.
[3]王晓华.医院管理系统中的信息安全探讨.中国水电医学,2006,5:32.。