医疗行业网络安全建设方案.docx
《医疗行业网络安全建设方案.docx》由会员分享,可在线阅读,更多相关《医疗行业网络安全建设方案.docx(16页珍藏版)》请在冰豆网上搜索。
医疗行业网络安全建设方案
医疗行业网络安全建设方案
一、概述
卫生信息安全工作是我国卫生事业发展的重要组成部分。
做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
1.1工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
1.2工作原则
(一)遵循标准,重点保护。
遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。
卫生行业信息安全等级保护工作实行行业指导、属地管理。
地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。
卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。
在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。
因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
1.3工作任务
(一)定级备案。
1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级:
第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
以下重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
2.拟定为第三级以上(含第三级)的卫生信息系统,应当经信息安全技术专家委员会论证、评审。
3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。
跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
(二)建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。
第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.卫生行业各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评。
1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。
对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训。
1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2.卫生行业各单位应当开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促本单位开展信息安全等级保护工作。
3.省级卫生行政部门信息化工作领导小组应当于每年年底,向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
1.4工作要求
(一)高度重视,加强领导。
卫生行业各单位要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。
各单位主要负责同志要负总责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
(二)保障经费,加强监管。
卫生行业各单位要建立经费投入机制,将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算,并加强对资金使用的监管。
(三)加强沟通,密切合作。
各级卫生行政部门应当加强与本地信息安全等级保护管理部门的沟通交流,建立协作机制,在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作,共同推进信息安全等级保护工作。
1.5参考标准
《中医医院信息化建设基本规范》
《卫生行业信息安全等级保护工作的指导意见》
《医疗机构信息系统安全等级保护基本要求》
《医疗行业信息系统安全等级保护定级工作指导意见》
《计算机信息系统安全保护等级划分准则》
《信息安全技术信息系统安全等级保护基本要求》
《信息安全技术信息系统安全保护等级定级指南》
《信息安全技术信息系统安全等级保护实施指南》
《信息安全技术信息系统安全等级保护测评要求》
《信息安全技术信息系统安全等级保护测评过程指南》
医院信息化基础建设评分标准与方法
IATF3.1信息保障技术框架
GB/T21052-2007信息安全等级保护信息系统物理安全技术要求
GB/T20271-2006信息安全技术信息系统通用安全技术要求
GB/T20270-2006信息安全技术网络基础安全技术要求
GB/T20269-2006信息安全技术信息系统安全管理要求
二、医院信息系统安全建设
2.1医院管理信息系统概述
HospitalInformationSystem:
利用电子计算机和通讯设备,为医院所属各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力,并满足所有授权用户的功能需求。
一个完整的HIS包括HMIS(HospitalManagementInformationSystem)和CIS(ClinicalInformationSystem)。
2.1.1医院管理信息系统(HMIS)
HMIS的主要目标是支持医院的行政管理与事务处理能力,减轻事务处理人员的劳动强度,辅助医院管理、高层领导决策,提高医院的工作效率,从而使医院能够以较少的投入获得更好的社会效益与经济效益,像门诊收费系统、住院收费系统、财务管理系统、药库管理系统、门急诊药房管理、住院药房管理、出入院管理及结算、病案管理系统、供应室管理系统、“一卡通"系统、物资管理系统等就属于HMIS的范围。
2.1.2临床信息系统(CIS)
CIS的主要目标是支持医院医护人员的临床活动,收集和处理病人的临床医疗信息,丰富和积累临床医学知识,并提供临床咨询,辅助诊疗、辅助临床决策,提高医护人员的工作效率,为病人提供更多、更快、更好的服务、像门急诊挂号系统、门急诊医生工作站、住院病人出院管理、住院医生工作站、病区护士工作站、电子病历系统、临床检验系统、医学影像系统、抗菌药物管理系统、体检管理系统等就属于CIS范围。
2.2HIS对信息处理的三个层次
完整的医院信息系统对信息的处理大体上可分为三个不同的层次:
数据的收集过程;数据的集中加工、处理与分析过程和决策咨询与决策支持过程。
一般来说,数据的收集过程与基层科室的事务处理活动相联系;数据的集中处理与分析过程与中层科室的工作任务相联系;决策、支持过程则与高层领导相联系。
2.2.1支持联机事务处理
通常,信息流是伴随着各式各样窗口业务处理过程发生的,这些窗口业务处理可能是医院人、财、物的行政管理业务,也可能是有关部门、急诊病人、住院病人的医疗事务。
例如:
人事处要办理医院职工工资的调整与变化;总务处要负责全院各部门的物资、材料、办公用品、低值易耗品的供应、采购与发放;病房的医生要不断地为住院病人开出医嘱;护士要不断地整理医嘱或各种摆药单、领药单、注射单、治疗单、化验检查单,并执行和记录这些执行的过程;而门诊的药房药剂士要为处方划价,要为病人配药和发药;门诊收费处则要完成划价收费业务,在各种处方、化验、检查单上加盖已收费标记和付给病人帐单(报销单)。
在所有这些繁杂、琐碎的业务活动过程中,大量的信息产生了。
我们开发的HIS要支持这些日常的、大量的前台事务处理。
事务处理级的计算机系统(例如门诊收费系统、病房医嘱处理系统等)应该同时担负双重的任务。
对于窗口业务人员来说,这些系统是帮助他们完成日常繁重窗口业务的工具。
借助计算机系统,使他们凌乱的工作变的有条理,解脱他们需要记忆大量信息(药品的规格、价钱,疾病的名称与编码等)的困难。
保证他们遵守某些规范,减轻他们汇总、统计、报告、传递这些信息的负担。
因此,尽量符合这些事务处理级工作人员的工作秩序与工作习惯、功能完整、操作简单、响应迅速、界面友善、易学易用成为这类软件必须满足的功能要求。
应该让使用者感到该系统是专门为帮助他们完成窗口业务而设计的。
系统所拥有的任何其他功能(指支持窗口业务处理之外的功能)应该尽量的是后台的、隐藏的、不被终端用户所感知的、不增加或尽量少增加窗口业务处理人员的负担。
对于整个医院信息系统来说,窗口事务处理的计算机系统同时又是完整的HIS数据收集端口。
它们是HIS伸向信息发源地的触角、感受器。
例如:
办理病人入出转(ADT)业务的系统必然向住院处实时提供病人入出转的信息,同时也是住院病人动态统计的主要信息来源。
门诊收费系统在完成病人交费过程的同时也收集到了相应的为门诊提供医疗服务的各门诊科室及辅助科室的门诊收入与工作量信息。
所有这些数据都是上一层直至最高一层信息系统用以进行统计、分析等数据加工的原料。
从数据采集的角度,HIS要求窗口业务系统收集的信息完整、准确、及时和安全。
2.2.2支持科室级信息的汇总与分析
医院的中层科室担负着繁重的管理任务,例如,医务处负责全院医疗工作的计划、组织与实施,医疗动态的监督控制,医疗质量的检查管理;人事处负责全院机构设置与调整,考勤考核,各级各类专业技术职务的评审;护理部负责全院护理工作的组织实施,全院护理质量的管理,护理人员的管理……等等。
随着这些管理级工作的日趋科学化,中层科室会越来越多地依赖于它们从基层收集来的基本数据进行汇总、统计与分析,用来评价他们所管理的基层部门与个人的工作情况,据以做出计划,督促执行,产生报告和做出决定。
计算机化的信息系统要支持中层科室的数据收集,综合、汇总、分析报告与存储的工作。
科室级的信息系统要能够定期自动地从基层科室收集数据,按照需要,对数据进行各种加工处理,产生出能够支
升级会员 