摘要: 根据市纪委、市卫生局的统一安排和部署,中大五院对“防统方”工作高度重视。2011年上半年,为保障医院信息安全,加强“防统方”工作的实施并推进医院的信息化建设,进一步深入开展治理商业贿赂专项工作,我院信息科在“防统方”工作即医院信息安全工作方面开展了一系列工作:...
根据市纪委、市卫生局的统一安排和部署,中大五院对“防统方”工作高度重视。2011年上半年,为保障医院信息安全,加强“防统方”工作的实施并推进医院的信息化建设,进一步深入开展治理商业贿赂专项工作,我院信息科在“防统方”工作即医院信息安全工作方面开展了一系列工作:
一、制定和完善医院信息安全工作的相关制度,如《中山大学附属第五医院防止违规统方制度》、《中山大学附属第五医院信息安全保密制度(试行)》、《中山大学附属第五医院计算机安全使用保密管理规定》等。
二、落实责任制。凡在内部业务网上有权进行后台数据访问的人员均要签订《中山大学附属第五医院“统方人员”保密承诺书》,作出承诺不泄露医院任何业务数据信息,否则将承担相应责任。《承诺书》存放医院监察科备案。
三、医院信息系统更新。在珠海市治理商业贿赂专项工作开展后,HIS系统中所有有关医务人员姓名和统方的数据、报表均做了处理,并且相关页面再无法被导出。
四、建立健全机制。所有到医院信息科进行数据查询的申请工作均需要按照数据提取流程进行,并将数据提取人、申请理由、审批人、执行人员及执行时间等做详细登记。
五、网络整改,外部网与内部业务网络隔离。即凡能访问因特网的电脑终端上均无法运行医院内部信息系统,在医院内部业务网的电脑终端上无法访问外部网,从网络环境上保障信息安全。
六、网络接入控制。我院购入上网行为控制软件,现已做到对所有连入医院网络的电脑终端的接入控制,在未经过信息科授权的情况下,任何外来人员无法通过私用电脑终端进入我院网络。
七、电脑终端桌面行为全局控制。我院购入桌面管理控制软件,彻底控制医院内部电脑桌面的行为,就以下方面做到了绝对控制:
1、控制工作站“白名单”,在名单列表以外的软件无法运行,严格控制非法应用程序在全院所有工作终端的运行;
2、控制工作终端“U盘”使用,未经信息科授权的移动存储介质无法在全院任何一台接入网络的电脑终端使用,有效杜绝信息泄露和外来移动存储介质的使用;
3、后台日志。任何终端就泄露信息或损坏终端安全的行为将会被记录在案,为事后处理提供有效证据。
游侠观点:
现在站长所在公司也在做防统方方案,从:网络安全、系统安全、应用安全等个层面都提出了相应的解决方法,包括:医生、护士等一般操作员;信息中心、集成商等运维人员的操作、管理,均有相应的访问控制、安全审计手段。
防统方,主要还是HIS安全,包括统方审计、运维人员操作审计等。
有防统方需求,亦可与游侠联系,QQ:55984512
