第一篇:医院医院网络与信息系统安全自查工作报告
医院网络与信息系统安全自查工作报告
为进一步加强我院信息系统的安全管理,强化信息安全和保密意识,提高信息安全保障水平,按照省卫计委《关于××省卫生系统网络与信息安全督导检查工作的通知》文件要求,我院领导高度重视,成立专项管理组织机构,召开相关科室负责人会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,由主管院长负责安排、协调相关检查部门、监督检查项目,建立健全医院网络安全保密责任制和有关规章制度,严格落实有关网络信息安全保密方面的各项规定,并针对全院各科室的网络信息安全情况进行了专项检查,现将自查情况汇报如下:
一、医院网络建设基本情况
我院信息管理系统于××年××月由××××科技有限公司对医院信息管理系统(HIS系统)进行升级。升级后的前台维护由本院技术人员负责,后台维护及以外事故处理由××××科技有限责任公司技术人员负责。
二、自查工作情况
1、机房安全检查。机房安全主要包括:消防安全、用电安全、硬件安全、软件维护安全、门窗安全和防雷安全等方面安全。医院信息系统服务器机房严格按照机房标准建设,工作人员坚持每天定点巡查。系统服务器、多口交换机、路由器都有UPS电源保护,可以保证在断电3个小时情况下,设备可以运行正常,不至 1 于因突然断电致设备损坏。
2、局域网络安全检查。主要包括网络结构、密码管理、IP管理、存储介质管理等;HIS系统的操作员,每人有自己的登录名和密码,并分配相应的操作员权限,不得使用其他人的操作账户,账户施行“谁使用、谁管理、谁负责”的管理制度。院内局域网均施行固定IP地址,由医院统一分配、管理,无法私自添加新IP,未经分配的IP无法连接到院内局域网。我院局域网内所有计算机USB接口施行完全封闭,有效地避免了因外接介质(如U盘、移动硬盘)而引起中毒或泄密的发生。
3、数据库安全管理。我院对数据安全性采取以下措施:(1)将数据库中需要保护的部分与其他部分相隔。(2)采用授权规则,如账户、口令和权限控制等访问控制方法。(3)数据库管理系统提供一套方法,可及时发现故障和修复故障,从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障,可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数据错误等;数据库容灾备份是数据库安全管理中极为重要的一部分,是数据库有效、安全运行的最后保障,也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份,每天凌晨1点备份整个数据库,包含用户表、系统表、索引、视图和存储过程等所有数据库对象。(4)数据库账户密码专人管理、专人维护。(5)数据库用户每6个月必须修改一次密码。(6)服务器采取虚拟化进行安全管理,当当前服务器出现问题时,及时切换到另一台服务器,确保客户端业务正常运行。
三、应急处置 我院HIS系统服务器运行安全、稳定,并配备了大型UPS电源,可以保证在大面积断电情况下,服务器可运行六小时左右。我院的HIS系统刚刚升级上线不久,服务器未发生过长宕机时间,但医院仍然制定了应急处臵预案,并对收费操作员和护士进行了培训,如果医院出现大面积、长时间停电情况,HIS系统无法正常运行,将临时开始手工收费、记账、发药,以确保诊疗活动能够正常、有序地进行,待到HIS系统恢复正常工作时,再补打发票、补记收费项目。
四、存在问题
我院的网络与信息安全工作做的比较认真、仔细,从未发生过重大的安全事故,各系统运转稳定,各项业务能够正常运行。但自查中也发现了不足之处,如目前医院信息技术人员少,信息安全力量有限,信息安全培训不全面,信息安全意识还够,个别科室缺乏维护信息安全的主动性和自觉性;应急演练开展不足;机房条件差;个别科室的计算机设备配臵偏低,服务期限偏长。
今后要加强信息技术人员的培养,提升信息安全技术水平,加强全院职工的信息安全教育,提高维护信息安全的主动性和自觉性,加大对医院信息化建设投入,提升计算机设备配臵,进一步提高工作效率和系统运行的安全性。
二0一五年一月二十四日
第二篇:信息系统安全检查工作报告(医院)
医院信息系统安全检查报告
为认真贯彻落实县政府及卫生局布置工作要求,做好我院“两节”及“十八大”期间安全生产工作,我科组织人员对全院范围内的信息系统工作站进行了一次全面的自查工作。现将自查情况报告如下:
一.信息安全状况总体评价:
1、领导重视,机构健全。我院信息安全管理工作由分管信息科领导,信息科负责具体执行。
2、制定方案,加强检查。我院使用信息系统作为办公工具已有十余年的历史,在信息安全管理方面已拥有一整套完善规范合理的信息安全制度。为了保证我院应用系统信息的安全、完整和保密,保证各应用系统稳定、高效运行,我科制定了医院信息系统安全管理制度、医院内网防病毒制度、数据备份及服务器应急方案等一系列信息安全规范和制度。
二.信息安全自查情况:
1、我院信息系统采取内外网物理隔离的方式,从根本上了防止医院业务信息系统遭到外部的攻击和窃取,充分保护涉及医院和患者信息的安全。
2、严格把关接入内网电脑接口。我院所有内网电脑一律禁止使用U盘、光盘等外接存储设备,所有需要进入内网的数据一律在信息科确定其安全性后方能存入。
3、对医院信息系统各操作员权限进行严格控制。按操作者的职务和专业分配使用医院业务系统的权限。医院的各工作人员只能获取与其工作相关和与其职称职务相关的信息,充分保护了医院机密和患者隐私。
4、全院电脑安装国产专业杀毒软件,并及时更新病毒库,做到病毒防护软件等的补丁及时升级。
5、建立了完善的信息设备安全监控手段和值班制度。我科定期对软件进行测试,对检测和用户反应的问题进行研究,制定相应的措施,并做好版本的备案。对服务器,杀毒软件,安全策略,系统安全日志,进行定期安全检测保证其在安全的前提下,确保数据传输和信息的安全。
6、我科已经做好各项准备工作,对可能发生的各类信息安全事件做到心中有数,进一步完善了信息安全应急预案,明确应急处置流程,明确了应急技术支撑队伍,把信息安全工作落实到位。积极组织开展了应急演练,检验了应急预案的可操作性,提高了应急处置能力。
三.检查发现的主要问题及整改情况
(一)存在的问题及其原因
1、医院工作人员较多,信息安全意识总体水平较低,且层次不齐。广大医务工作者工作繁忙,我科多次对各科室进行信息安全相关培训,但收效甚微。
(二)下一步工作打算
1、加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平。继续加强对医护人员、行政后勤人员的安全意识教育,提高做好信息安全工作的主动性和自觉性。
2、加大网络安全设备的投入,购买防病毒及防攻击型网络交换机,进一步加强网络安全。
3、切实增强信息安全制度的落实工作,定期不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识。
4、是要加大对线路、系统等的及时维护和保养,加大设备更新力度。各科室对本科室电脑设备要爱护和保养,定期擦拭清除电脑显示器、键盘及主机上面的灰尘,保持电脑设备的干净整洁。
第三篇:医院网络信息系统安全制度
医院网络信息系统安全制度
一、信息系统安全管理措施
(一)硬件方面
为保证系统数据安全,医院网络信息系统核心设备均采用双机、并行架构,在保证系统稳定性的同时提高主机利用效率。网络设备采用双核心,并行方式;网络链路双冗余,安装有IDS入侵检测系统、防火墙检测和过滤网络信息。同时建有灾备机房,在主机房发生火灾及其他灾害时快速接管医院主要业务系统。
(二)软件方面
数据方面,定期对HIS、PACS等系统数据进行全备份。客户端配备桌面管理软件,管理外接存储设备和监控。客户端配备网络防病毒软件,定期升级病毒库、查杀全网病毒。
(三)管理方面
计算机中心设24小时专人值班,监控网络运行,每天检查主机硬件及附属设备运行情况,及时排除各种安全隐患。一旦发现问题,及时处理并迅速向科室领导报告。故障排除后,完成相关记录。信息系统、数据库、服务器、网络设备密码由专人进行管理,不得外泄。新人院职工必须经过系统培训、考试合格后方可上机操作。
二、信息系统安全管理制度
(一)敏感数据(指涉及医院药品、财务运营、消耗材料的数据)统计
1.申请人或部门(包括院外单位)提出书面申请,科室负责人签字并盖章确认,提交医务部。2.医务部审核无误,签字并盖章,提交纪检部门。3.纪检部门审核无误,签字并盖章,提交计算机中心。4.计算机中心审核无误,签字确认,安排相关人员进行数据统计,统计人员要做到对统计结果不扩散、不泄密、不修改。
5.计算机中心将申请归档保存。
(二)普通数据统计
1.申请人或科室(包括院外单位)提出书面申请,科室负责人盖章并签字后,提交医务部。
2.医务部审核无误,签字盖章,提交计算机中心。
3.计算机中心负责人审核无误,签字确认,安排相关人员进行数据统计,统计人员要做到对统计结果不扩散、不泄密、不修改。
4.计算机中心将申请归档保存。
(三)系统用户账户管理
1.用户注册流程。开通信息系统账户,由个人或部门提出书面申请(需提供人员信息:姓名、工资号、性别、出生年月、职称、人员类型等),经科室负责人签字,医务部、护理部、财务科、人力资源部等主管部门审核盖章后,交由计算机中心完成信息注册。
2.用户转科流程。转科流程参照注册流程,送交的信息中需注明原科室和更换科室的名称。科室内部调整,经科室负责人签字并盖章后,报送医务部。
3.退休流程。干部科、人劳办以书面形式通知医务部,注销或变更退休人员在信息系统中的权限。
(四)信息系统权限管理 1.用户账号管理。登录系统须有用户账号,相当于身份标识。进修人员由医务部统一编号。
2.用户密码管理。第一次登录信息系统时,由管理员分配用户初始密码。登录信息系统后,由使用人员自行设定,系统每三个月强制用户修改一次密码。用户密码遗失,须持工作证、胸牌或科室证明文件由本人到计算机中心重置密码。
3.用户权限管理。按照操作功能与访问数据的限制,授予不同用户、不同角色一定级别的应用功能,保证信息系统安全运行。
4.部门所属权限。财务科拥有财务部分系统权限;护理部拥有病区护士管理系统权限;医务部拥有医生工作站管理系统权限;药学部拥有药师工作站管理系统权限;系统管理员拥有系统用户新增、变更、注销等系统维护权限。
5.责任承担。账号所有者应对该账号在系统中所做的操作及结果负全部责任。
(五)终端安全管理
1.安装到位的网络工作站作为医院统一专用内网终端设备,使用者不得擅自安装软件或外接硬件,如需安装必须由计算机中心监督安装或授权使用科室安装使用硬件。
2.新入网的工作站必须由计算机中心统一安装医院正版HIS系统和网络安全管理软件、杀毒软件后按人医院内网。
3.网络工作站外接硬件,须由计算机中心统一管理驱动程序。4.连接医用仪器设备的网络工作站必须由计算机中心监督安装,统一管理。5.严禁在医院内网网络终端使用U盘和外接存储设备,或使用其他用途私人外接设备。
6.严禁人为破坏网络终端设备。
7.网络终端设备报修,应及时联系仪器维修室。
8.使用网络终端前,由计算机中心统一组织培训,合格后方能上岗。
9.操作人员要熟练掌握用户入网口令,并注意严格保密。10.每次使用时需记录用机时间、工作内容和机器运转情况,机器运行期间操作人员不得擅自离开。
11.使用时如发现运行故障,应及时向计算机中心值班人员报告并做好记录。
12.工作站配置的电脑、打印机等设备须指定专人使用、保管和维护,转交他人保管时需严格交接,并报请计算机中心批准备案。
13.操作人员要保证工作站电脑正常运行、数据及时录入和提取。14.操作人员须严格遵守操作规程,工作完毕时,必须切断电源,盖好机罩,锁盘。
三、信息安全问题处置措施
一旦网络出现安全问题,计算机中心值班人员或发现人应立即向计算机中心信息安全负责人报告,检查信息系统的日志等资料,确定问题来源,并迅速采取适当措施,保证信息系统尽可能不影响终端和数措安全。若事态严重,应立即向主管领导报告,组织院内相关部门处理。
四、设备安全处理措施
(一)交换机等关键设备损坏后,应立即查明原因.并向有关部门 或单位报修。
(二)如果能够白行恢复,应立即用备件替换受损部件。
(三)如果不能自行恢复,应立即与设备提供商联系,请求派遣维护人员前来维修。
(四)如果设备不能立即修复,应向科室负责人报告,如有需要,向院领导报告。
五、设备密码安全紧急处置措施
交换机等设备密码保存在计算机中心,紧急情况下值班人员经计算机中心主任授权方可使用,不得随意更改密码。
第四篇:2017信息系统安全自查工作报告
2013年信息系统安全自查工作报告
A市气象局
按照《A市2017年信息安全检查实施方案》的要求,我局高度重视,制定信息安全检查计划,按照方案要求对我局的信息网络进行了详细检查。
一、检查信息安全管理情况
针对我局信息安全管理规章制度的建立、信息安全责任制落实及事故责任追究情况、资产采购、管理等方面进行了清理检查。对管理制度的细化方面提出整改意见。
二、检查信息安全技术防护情况
着重检查了我局在信息网络安全防护方面的情况。我局领导在网络信息安全工作方面非常重视,在安全防护方面我局已经建立了防火墙+IPS+IDS+上网行为管理+终端安全审计+网络版杀毒软件+WSUS补丁分发系统的多层次立体的安全防护。WSUS服务器为局域网内所有机器分发微软发布的漏洞补丁,系统进行及时升级,每个星期一进行定时杀毒。保障我局网络信息稳定运行。此次特别检查了各个安全防护设备的安全策略配置和病毒库的升级情况,对即将要到期的设备病毒库及时进行了升级。
为了实现互联网的接入控制、访问控制。将黄色网站、反动网站等不受欢迎的网络应用拒之门外,真正发挥互联网的效用,全面控制管理单位全体人员以及家属区对互联网的使用,分别为单位办公和家属区购置了上网行为管理设备,实现了web过滤、P2P下载控制、带宽流量管理、信息收发监 控和终端系统安全审计等功能,净化了网络环境。
随着网络应用的普及,A市气象局门户网站已经成为面向县市局、公众、专业用户的主要信息渠道。近年来网站的安全性越来重要,网络黑客针对网站的攻击也越来越多,网页内容被恶意修改影响越来越大。针对此类问题,利用专业技术对网站实行了内外网隔离,有效地防御了网页内容被恶意修改的情况,对网站内容、代码、数据库进行较好的防护,保障我局门户网站的安全。
三、应急工作情况
按照A市网络与信息安全事件应急预案要求,检查了我局在信息安全事件应急预案制定和修订情况,对应急预案逐条进行检查,检查了2017年应急预案演练情况等。
四、安全教育培训方面的检查
A市气象局在专业技术人员的专业培训方面非常重视,每年都进行不同级别的安全技术培训,保障技术人员的信息网络安全技术知识的提升。在对全局各级人员的信息安全技能知识的普及方面虽然也做了大量的工作,但仍然存在思想意识上的差距,在这方面还需要加大宣传普及。
五、安全问题整改情况
通过此次检查,发现了一些问题需要进行整改。在信息安全管理制度需要更加细化,还需加强对全体人员的信息网络安全教育普及,保证每位干部职工的安全意识的到提升。
随着近几年进行的网络信息安全检查,有效保障了我局信息网安全保障,逐步提高了全局干部职工对网络信息安全的认识,增强了网络信息安全的防护意识。由于网络病毒木马等无孔不入,而且网络使用人员的计算机水平参差不齐,还无法做到绝对的安全。我们只有在做好硬件安全防护的基础上通过一些网络安全培训来逐渐提高全体干部职工的网络信息安全防护意识,才能做到真正的安全。
第五篇:2012信息系统安全自查工作报告
2012******信息系统安全检查工作报告
按照《关于组织开展2012全区党政机关信息系统安全检查工作的通知》要求,我局高度重视,立即组织开展全局范围的信息系统安全检查工作。现将自查情况汇报如下。
我局信息系统运转以来,能严格按照上级部门要求,积极完善各项安全制度、加强信息化安全工作人员教育培训、全面落实安全防范措施,信息安全风险得到有效降低,应急处置能力得到切实提高,保证了信息系统持续安全稳定运行。
一、信息安全组织管理工作情况
我局高度重视信息系统安全工作,成立有由主要领导任组长、分管领导任副组长、各科室负责人为组员组成的局信息安全工作领导小组,明确了局办公室为主要职能部门,确定了一名兼职信息安全员,召开了由分管领导、信息安全工作职能部门和重点部门负责人参加的会议,对上级有关文件进行了认真学习,对自查工作进行了周密的部署,确定了自查任务和人员分工,真正做到领导到位、机构到位、人员到位、责任到位、措施到位。为确保我局网络信息安全工作有效顺利开展,我局要求以各科室、下属单位为单位认真组织学习相关法律、法规和网络信息安全的相关知识,使全体人员都能正确领会信息安全工作的重要性,都能掌握计算机安全使用的规定要求,都能正确的使用计算机网络和各类信息系统。
二、日常信息安全管理工作情况
我局目前没有信息系统,只有一个对外门户网站。本着结合我局实
际和制度实用原则,我局制度了信息安全和保密责任制度、资产管理制度、机房及重要区域管理制度、人员安全管理制度、门户网站信息发布管理制度等,对信息安全工作做到按制度办事,提高执行力。我局还与全局所有工作人员签订了安全保密协议,对兼职管理人员签订了离岗离职安全承诺书。
三、信息安全防护管理工作情况
我局目前有终端计算机40台,安全管理方式是由各自用户分散管理的,可能存在一些安全薄弱环节,如存在空口令、弱口令等,但我局在访问路由器上请网络供应商网通公司派专业技术人员进行了接入互联网安全控制设置,加之局域网内部并没有涉密信息存在,安全还是能得到保障的。门户管理管理制定了信息发布管理制度,门户网站在工信部进行了备案。近期,门户网站出现了一起被攻击后留下后门文件的事件,我局领导高度重视,立即整改,即时向省信息中心进行了反馈,目前已经采取了有效措施防止网站被篡改、攻击。
四、信息安全专项检查工作情况
目前,局信息安全工作领导小组针对我局的信息安全形势,定期组织由专业技术人员组成的检查小组到各个办公室专项检查网络和信息安全情况,仔细排查信息系统的漏洞和安全隐患,用专用工具查杀木马、病毒,及时加强防范措施,为所有计算机安装了正版杀毒软件和防火墙,有效提高了计算机和网络防范、抵御风险的能力。
五、信息安全检查工作发现的主要问题及整改情况
(一)存在的主要问题
一是专业技术人员较少,信息系统安全方面可投入的力量有限。二是规章制度体系初步建立,但还不完善,未能覆盖到信息系统安全的所有方面。
三是遇到计算机病毒侵袭等突发事件处理不够及时。
(二)下一步工作打算
根据自查过程中发现的不足,同时结合我局实际,将着重以下几个方面进行整改:
一是进一步扩大对计算机安全知识的培训面,组织信息员和干部职工进行培训。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,从而提高人员安全防护意识。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息安全事故。
点击咨询 