区医院信息安全自查自纠报告

2024-04-22

区医院信息安全自查自纠报告（精选7篇）

篇1：区医院信息安全自查自纠报告

***人民医院化学危险品安全自查报告

为了贯彻落实自治区卫生计生办公室关于《全区医疗机构危险化学品安全管理专项整治方案》的文件精神，进一步加强医院危险化学品的使用管理工作，我院对化学品安全使用管理进行了一次彻底检查，现就检查情况汇报如下：

一、医院危险物品的范围主要是酒精、甲醛、、次氯酸钠、液氧等易燃易爆易腐蚀产品。

二、对于易燃、易爆等危险物品的采购、储存保管与使用，严格遵照《化学危险物品安全管理》的有关规定，实行统一采购，其中乙醇、甲醛溶液由器械科采购；次氯酸钠、液氧由总务科采购。产品由器械科、总务科集中管理，严格使用制度。

三、器械库乙醇、甲醛设单独货架存放，双人收发。双人记账、双人双锁、专人保管。存放地点符合安全要求，仓库内外，严禁烟火。杜绝一切可能产生火花的因素。酒精进入仓库时，应进行严格的检查。

四、各科室在领用酒精等易燃、易爆危险物品，专人负责，领用时写明领用数量用量、领用时间、使用科室、领用人等。

五、加强危险物品的安全防范措施，库房门口设置监控，各科室均配有干粉灭火器，加强防火防盗措施。

篇2：区医院信息安全自查自纠报告

在接到卫计委医院信息安全的通知后，我院领导高度重视，立即召开相关科室负责人会议，深入学习和认真贯彻落实文件精神，充分认识到开展网络与信息安全自查工作的重要性和必要性，对自查工作做了详细部署，由主管院长负责安排、协调相关检查部门、监督检查项目，由信息科负责具体检查和自查工作，并就自查中发现的问题认真做好相关记录，及时整改、完善。长期以来，我院在信息化建设过程中，一直非常重视网络与信息安全工作，并采取目前国内较先进的安全管理规范、有效的安全管理措施。自2015年起全院开展网络与信息安全工作，根据互联网安全和院内局域网安全的相应特点，逐项排查、消除安全隐患，现将我院信息安全工作情况汇报如下。

信息安全工作情况

一、网络安全管理

我院的网络分为互联网和院内局域网，两网络实现物理隔离，以确保两网能够独立、安全、高效运行。重点抓好“三大安全”排查。1.硬件安全，包括防雷、防火、防盗和UPS电源连接等。医院HIS服务器机房严格按照机房标准建设，工作人员坚持每天巡查，排除安全隐患。HIS服务器、多口交换机、路由器都有UPS电源保护，可以保证短时间断电情况下，设备运行正常，不至于因突然断电致设备损坏。此外，局域网内所有计算机USB接口施行完全封闭，这样就有效地避免了因外接介质，如U盘、移动硬盘，而引起中毒或泄密的发生。2.网络安全:包括网络结构、密码管理、IP管理、互联网行为管理等，网络结构包括网络结构合理，网络连接的稳定性，网络设备、交换机、路由器、光纤收发器等的稳定性。HIS系统的操作员、每人有自己的登录名和密码，并分配相应的操作员权限，不得使用其他人的操作账户，账户施行“谁使用、谁管理、谁负责” 的管理制度。互联网和院内局域网均施行固定IP地址，由医院统一分配、管理不允许私自添加新IP，未经分配的IP均无法实现上网。为保障医院互联网能够满足正常的办公需要，通过路由器对于P2P等应用软件进行了屏蔽，有效地阻止了有人利用办公电脑在上班期间在线看视频、玩游戏等，极大地提高了互联网的办公利用率。

二、数据库安全管理

我院目前运行的数据库为利翔HIS数据库是医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础，为确保医院各项业务正常、高效运行，数据库安全管理是极为有必要的。数据库系统的安全特性主要是针对数据的技术防护而言的，包括数据安全性、并发控制、故障恢复、数据库容灾备份等几个方面。我院对数据安全性采取以下措施。

1、将数据库中需要保护的部分与其他部分相隔。

2、采用授权规则，如账户、口令和权限控制等访问控制方法。

3、对数据进行加密后存储于数据库，如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并发事件。当一个用户取出数据进行修改，在修改存入数据库之前如有其它用户再取此数据，那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制，排除和避免这种错误的发生，保证数据的正确性。数据库管理系统提供一套方法，可及时发现故障和修复故障，从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障，可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数据错误等，数据库容灾备份是数据库安全管理中极为重要的一部分，是数据库有效、安全运行的最后保障，也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份，每天凌晨备份整个数据库，包含用户表、系统表、索引、视图和存储过程等所有数据库对象。在备份数据的过程中主、从服务器正常运行。各客户端的业务能正常进行也即是热备份。

三、软件管理

目前我院在运行的软件主要分为三类，HIS系统、常用办公软件和杀毒软件。HIS系统是我院日常业务中最主要的软件，是保障医院诊疗活动正常进行的基础。自2014年上线以来，运行很稳定，未出现过重大安全问题，并根据业务需要，不断更新充实。对于新入职的员工，上岗前会进行一次培训，向其讲解HIS系统操作流程、规范，也包括安全知识，确保其在使用过程中不会出现重大安全问题。常用办公软件均由医院信息科统一安装，维护。杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。所有电脑，均安装了正版杀毒软件360杀毒软件和360安全卫士。并定期更新病毒库，以保证杀毒软件的防御能力始终保持在很高的水平。

四、应急处置

我院HIS系统服务器运行安全、稳定，并配备了大型UPS电源，可以保证大面积断电情况下，服务器坚持运行八小时。虽然医院的HIS系统长期以来，运行良好，服务器未发生过长时间宕机时间，但医院仍然制定了应急处置预案，并对收费操作员和护士进行过培训。如果医院出现大面积、长时间停电情况，HIS系统无法正常运行，将临时开始手工收费、记账、发药。以确保诊疗活动能够正常、有序地进行。待到HIS系统恢复正常工作时，再补打发票、补记收费项目。

总体来说，我院的网络与信息安全工作做得很成功的，从未发生过重大的安全事故，各系统运转稳定，各项业务能够正常运行。但自查中也发现了不足之处，如目前医院信息技术人员少，信息安全力量有限，信息安全意识还不够。个别科室缺乏维护信息安全的主动性和自觉性。今后要加强信息技术人员的培养，更进一步提高信息安全技术水平，加强全院职工的信息安全教育，提高维护信息安全的主动性和自觉性，加大对医院信息化建设投入，提升计算机设备配置，进一步提高工作效率和系统运行的安全性。经过了为期一周的自查工作，我院充分意识到安全工作是一个需要常抓不懈的工程，同时要不断创新，改变旧有的管理方法和理念，以适应新形势下的安全管理需要。

建安医院信息科

篇3：区医院信息安全自查自纠报告

我院是一所综合性三级甲等医院,医院信息系统历经10多年的努力已完成了门诊、住院HIS、LIS、PACS、麻醉手术管理、输血管理等系统建设,建成了拥有3500多个信息点、1800多个终端工作站的有线和无线局域网络系统。医院网络已覆盖门诊、住院、检查、检验、治疗、实验室及管理部门(科室)。软件及相关系统也多次升级改造,已建成一套基于医院信息系统应用的服务于医、教、研、管理、办公的全流程、多系统、网络化的体系。系统的安全性将直接影响到医疗活动能否正常运作。因此,建立一个完整的安全体系,显得越来越重要。许多医院曾经因此蒙受过巨大的损失,为了有效避免网络灾难的发生,我们有针对性的从理论与实践的角度进行了初步的探索和研究,逐步形成了一套实用、有效的安全管理体系,取得了较好的效果。

根据《信息安全技术信息系统安全等级保护基本要求》,结合医院实际,制定了我院信息系统安全策略:实体可信,行为可控,资源可管,事件可查,运行可靠的原则。

1 依据及技术

《计算机信息系统安全保护等级划分准则》GB17859-1999、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239—2008。防恶意代码技术:主要通过防毒、终端防护等手段实现;数据防护技术:主要通过终端防护、数据防泄露、数据加密等手段实现;PC生命周期管理:通过资产生命周期管理产品,配合采购、使用、维护、报废等资产管理各环节的操作流程,进行标准化、流程化管理;通过身份认证、备份恢复等技术手段加强终端安全的管理;网络访问控制:主要是通过终端的网络准入机制进行策略遵从和强制策略执行,并实施网络接入的控制;通过防火墙、隔离网闸实现网络不通安全区域分隔;管理和报告问题:通常需要建立一个安全管理平台将上述技术手段、产品相关的事件、日志等进行集中收集和分析,形成综合性的管理性报告,满足管理需要。

2 总体框架

任何一个安全工作的落实,都依赖于组织(人)、技术、流程作为支撑。结合医院的实际情况,我们提出了从网络、系统、数据,终端的行为,以及整体管理几个方面的全方位安全总体规划框架(图1),并提出了相应的规划内容。

3 安全策略内容

3.1 机房及物理线路安全

机房的设计和管理要符合国家规范。建立较为完善的机房监控设施,包括:门禁、供电、漏水、温湿度等,设置警戒值并能通过声、光及短信报警。机房应采用两路供电系统,设置专用配电箱,与其它负荷应分别供电。主机房配备的不间断电源(UPS),保证8h的后备供电量。还须做好防火、防雷、防静电和接地工作,确保机房安全。在各栋的楼层设置专用配线间,专人负责管理,主干光缆冗余布放。

3.2 网络安全与准入控制

遵循安全分区、横向隔离、纵向认证的原则。内网与外网应用(医保、新农合等),使用防火墙、IDS(入侵检测)、隔离网闸设备,实现网络访问控制、流量及连接数控制、内容过滤、入侵检测、VPN(虚拟专用网)接入。院区局域网为3层架构,交换机均为cisco产品。按科室(部门)及工作站用途(如医生、护士、财务)规划ip地址和vlan,在核心交换机上配置多生成树协议(Multiple Spanning Tree Protocol,MSTP)+GLBP(Gateway Load Balancing Protocol,网关负载均衡协议)进行vlan融合和逻辑隔离,在接入层交换机上进行cisco的端口安全配置,当MAC地址改变时,端口将自动变迁为shutdown状态,阻止非授权设备接入内部网络,实现不同安全区域的独立化、差异化防护。

通过用户名+口令和标准的RADIUS服务器配合,完成对用户的身份认证的强制检查。进行基于角色的访问控制技术,实现用户的分级管理及系统管理员、安全管理员与审计管理员的三权分立。通过终端准入控制、Windows2003的活动目录或RADIUS服务器来控制第三方合作人员准入。

3.3 系统及应用安全

虚拟机服务器的管理已经成为服务器管理中很重要的一部分,通过虚拟机管理解决方案,通过统一的平台架构对于VMWARE ESX进行统一有效的管理,将虚拟机服务器管理纳入服务器管理规范中。

内部网络部署Symantec™Endpoint Protection 12.1基于特征的防病毒和反间谍软件防护。它提供代理端,通过管理控制台即可进行管理,从而简化端点安全管理,如策略更新、统一的集中报告及授权许可和维护计划。使用威胁防御能力,能够保护端点免遭目标性攻击以及之前没有发现的未知攻击。使用主动防御,从而建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。建立统一部署、统一管理的个人防火墙,个人防火墙依据应用程序、主机ip地址及vlan、通讯特征,制定过滤规则,阻止/容许端口和协议进出。利用个人防火墙技术,一方面可以防止病毒利用漏洞渗透进入终端,另一方面,可以有效地阻断病毒传播路径。在核心交换机上将各vlan转发的数据包镜像到入侵检测系统(IDS)上,入侵检测和防火墙设备联动,产生自动阻断识别的攻击行为和误操作,这样即实现了各网段黑客攻击行为的检测,也及时对重要区域的攻击行为进行阻断。定期对相关日志进行收集、审计、分析,以发现系统的脆弱性和漏洞。定期进行安全检查、风险分析和安全隐患整改。

配置主域、备份域服务器,应用Windows2003的活动目录,根据科室(部门)及工作站用途及用户角色,建立域树、域,规划组织单元,建立组策略规则,利用组策略管理组织单元中的用户,实现应用程序的统一部署,保证各类工作站具有统一的用户界面、统一的应用软件版本,同时软件限制策略可以防止计算机环境中被安装运行未知的或不被信任的软件(阻止通过exe文件进行软件安装;阻止终端透过msi文件进行软件安装);并能实现补丁的统一发布。

3.4 数据备份与容灾

对数据库采用日备份、差量备份策略,将生产数据库数据备份到带库中,即便当天数据出现了错误的情况下仍然可以将数据库恢复到前2小时的状态,保障将数据损失控制在最小情况;建立在线存储、近线存储和离线存储的三级存储机制,每天将30天前的生产数据转储到近线存储和离线存储阵列中,这样既保证了历史数据的安全,也确保了新增数据存储的高效响应。在院区相距1500米的另1楼体内,建设双活应用级容灾被用机房,以保证医院24h系统不间断运行。

3.5 资产管理与运维

建立运维管理系统,对终端以及服务器进行全面管理,从购买到部署、使用到管理,维护到报废。控制台可对资产变更自动监控,及时反映资产变化状况,能实现全面的收集,快速统计分析,快速生成满足各个部门所需要的资产报表,为资产评估以及更新提供依据。资产信息自动收集(如计算机硬件信息、安装的软件包、操作系统配置等),可协助实现终端以及服务器管理的合规性、可管理性。同时,也作为故障申报平台,记录申报的设备故障、维修维护结果记录,从而建立运维知识库,提高信息设备资产的维护、管理效率。

3.6 安全管理组织机构

建立以信息主管副院长为负责人、信息中心为安全技术实施、管理负责、科室设置安全管理员的三级安全组织机构,坚持“谁主管谁负责,谁运行谁负责”的原则。

3.7 安全管理制度

我院制定了一套较为健全完善的安全管理制度建立并有效执行,安全管理制度包括:《信息中心岗位职责》、《信息中心保密制度》、《信息中心值班制度》、《中心机房管理制度》、《信息中心设备管理制度》、《信息系统设备维修流程》、《信息中心网站管理办法》、《信息系统查询统计功能和规定》、《信息系统安全巡检制度》、《信息系统人员权限设置制度》、《医院信息变更与发布管理制度》、《计算机信息资源共享管理制度》、《个人桌面终端管理办法》、《医院计算机网络安全管理制度》、《信息中心应急预案》等,从组织和制度上强化安全管理。

4 结束语

我们清楚的认识到,无论所使用安全技术有多先进,都只是实现信息安全的手段而已,三分技术,七分管理,信息安全源于有效的管理,为此,我们建立了信息安全管理机构,坚持“谁主管谁负责,谁运行谁负责”的原则;坚持决策层参与信息安全管理工作,建立健全了安全管理制度,它是计算机网络安全的重要保证,需要不断加大计算机信息网络的规范化管理力度。我们也清楚的认识到信息安全建设、管理工作要坚持从实际出发,区分不同情况,分级、分类、分阶段进行信息安全建设和管理。加强各工作站操作人员的教育和培训,在医务人员中普及安全知识,对安全管理人员进行专门培训和考核。只有从安全技术、安全服务、和安全管理三个方面高度重视,不断提高,才能保障医院信息系统健康稳定的运行。

参考文献

[1]杨俊志.医院信息系统安全体系建设实践[J].医学信息.2011.

[2]GB50174-2008.电子信息系统机房设计规范.[S].

[3]GB9361,计算站场地安全要求[S].

[4]GB2887.计算站场地技术条件[S].

[5]曾凡.医院信息系统安全策略中值得关注的问题[J].重庆医学.2009.

[6]李娜,卢沙林.军队医院网络信息系统的安全分析[J].计算机与现代化.2011.

[7]胡建理,李小华,周斌.医院信息系统安全保障策略探析[J].中国数字医学.2010.

[8]王越,杨平利,李卫军.涉密计算机信息安全管理体系的设计与实现[J].计算机工程与设计.2010.

[9]王保中,庄军,刘侃等.应用活动目录加强医院网络管理[J].医疗卫生装备.2008.

篇4：区医院信息安全自查自纠报告

经历改革开放30余年的积累，浙江已经成为中国经济的“模范生”。在新的历史起点上，如何打造浙江经济“升级版”，一直是新一届浙江省委、省政府思考的大事。今年5月20日，《浙江省人民政府关于加快发展信息经济的指导意见》（以下简称《指导意见》）正式下发，这份文件明确提出，浙江要通过5年努力，把信息产业培育成为重要的支柱产业，成为长三角地区乃至全国信息经济发展的先行区。

一个月后的6月24日，浙江省省长李强在杭州专题调研信息经济工作。他强调，信息经济是支撑未来浙江发展的大产业之一，是浙江经济转型升级的重要拉动力。这位省长形象地比喻说：“要像当年抓大包干、乡镇企业改制、加入WTO那样，抓住时间窗口，大力发展信息经济。”公开的报道中，省长李强干脆省略了“长三角地区”，直接要求各地“努力推动我省从制造大省向信息经济大省跨越，打造全国信息经济发展的先行区”。

“先行区”提出的背景及目标

毋庸讳言，“低小散”一直是浙江经济的隐痛。上半年“江浙赛马，浙江完败”的传言一度令社会猜疑。而除了经济总量的差距越拉越大外，就连人均GDP江苏也已超过浙江的事实，使中国经济的“模范生”——浙江不得不冷静反思自身产业结构的短腿。在这样的背景下，“三改一拆”也好、“四换三名”也好、“五水共治”也好，贯穿其中的一条红线，其实都是为了淘汰落后产能，为了浙江经济的转型升级。现在，制造大省要向信息经济大省跨越，这样的转型“路径”已日渐清晰——在《指导意见》中，勾画了“七中心一示范区”的明确目标，每一项目标都是国家级甚至国际级的：国际电子商务中心、全国物联网产业中心、全国云计算产业中心、全国大数据产业中心、全国互联网金融创新中心、全国智慧物流中心、全国数字内容产业中心以及“信息化和工业化深度融合国家示范区”。这些宏大的目标，昭示了这个东部大省浙江，已将发展信息经济作为打造浙江经济“升级版”的战略选择，大刀阔斧、雄心勃勃。

信息经济是一种创新性经济、全球型经济、可持续发展经济。加快发展信息经济是顺应新一轮科技革命和产业变革趋势，抢占未来发展制高点的必然要求，是发挥浙江拥有阿里巴巴、网盛生意宝等在内的电商产业优势，确保经济可持续发展的重要途径。打造全国信息经济发展的“先行区”，按照《指导意见》的要求，当前要做的事情很多很多。其中，怎样扩大信息消费是一个大课题。比如：如何有效释放老百姓的信息消费需求？如何务实推进智慧城市建设？如何加快电子政务发展？值得注意的是，前不久，作为本届浙江省政府“三张清单一张网”的重要内容——浙江政务服务网正式上线。这个首开全国先河的省级政务服务网，集行政审批、便民服务、政务公开等功能于一体，省市县三级联动，不仅实现了全省政府行政审批等服务事项“一站式”网上搞定，而且还通过记录权力运行轨迹，实现了权力的“全流程”效能监督。

“安全岛”的建设还需发力

大力发展信息经济，浙江的路线图已经绘就，只争朝夕、时不我待的决心和信心，从省领导到各部门各相关单位负责人，也已跃然纸上。然而，在行进的过程中，如何打掉一个又一个的“拦路虎”？如何为信息经济发展保驾护航、提供保障机制？这些也日益成为一个现实难题。以浙江省消保委接触到的有限事实为例：最近几年来，有关网络购物的投诉量呈直线上升态势。网络购物存在诸多乱象，包括：低价虚假销售、虚增销量、虚构热销假象，涉嫌套取消费者个人信息，随时随意改写库存量、诱发消费者冲动下单，不履行发货时限承诺、虚构发货假象，推卸售后责任、增加消费者负担，快递送货不到位、甚至造成丢失等等；消费者对中国移动、中国联通和中国电信三大运营商有关电信资费的不透明、不合理以及垃圾短信的投诉也与日俱增；超过60%的调查对象遭遇过个人信息被盗用、被垃圾短信所困扰的情况；新《消法》从今年3月15日正式实施以来，消费者对网络第三方支付、网络众筹、网络信贷、网络理财等互联网金融的投诉量也迅猛增长。

就像一块硬币的正反两面一样，如何构建安全、诚信、有序的信息消费环境，是打造全国信息经济发展“先行区”的重要保障。笔者建议从以下几个方面着手，构建信息消费“安全岛”：

首先，要营造有利于扩大信息消费的政策环境和法制环境。比如，在个人信息保护方面，浙江省完全可以积极推进网络信息安全等方面的地方性立法。又比如，当前像杭州、宁波、温州等各地都在争先恐后地搞智慧城市建设，然而，“智慧交通”、“智慧旅游”、“智慧健康”等的内涵和外延究竟是什么，有些地方也是各唱各调、各说各话。所以，当务之急是需要一定的“顶层设计”，需要制订和实施智慧城市建设政策制度和标准化建设行动计划。加快形成智慧城市建设政策法规体系和一批技术、业务与监管流程融合的国家标准、行业标准和地方标准。

其次，要切实规范信息市场秩序。有关部门要加强对信息服务、网络交易行为、产品及服务质量等的监管，依法查处侵犯知识产权、网络欺诈等违法犯罪行为。

再次，要切实提升信息安全保障能力。为了强化互联网信息安全管控，应尽快建设电子政务安全云平台，加强党政机关重要信息系统、基础信息网络以及涉及国计民生的重要应用系统的信息安全防护，加强对工业控制系统、信息化和工业化融合、电子商务等经济领域的信息安全监管，强化信息安全风险评估和定期检查。

最后，要切实发挥好企业自律和社会他律的共同作用。加强从业规范宣传，引导企业诚信经营，切实履行社会责任。强化行业自律机制，积极发挥行业协会作用，鼓励符合条件的第三方信用服务机构开展商务信用评估。完善企业争议调解机制，进一步拓宽和健全消费维权渠道，强化社会监督。

总之，只要按照“市场主导、企业主体、政府主推”的方式大力发展信息经济，浙江成为全国信息经济发展的“先行区”就指日可待。当改革的红利、发展的潜力、市场的活力像钱塘江大潮一样聚合起来，碰撞之后所产生的化学反应，必将强力促进浙江这个中国经济的“模范生”，顺应新一轮科技革命和产业变革的时代趋势，继续保持一种走在全国前列的昂首姿势。

链接：确保浙江省加快发展信息经济的六大措施

5月20日，浙江省政府印发了《关于加快发展信息经济的指导意见》，这是国内首个省级层面提出的关于信息经济发展的指导意见。为确保达到“七中心一示范区”的目标，《指导意见》提出了六大措施。

加强信息基础设施建设。加快宽带网络建设，全面推进“三网融合”，优化提升云计算中心建设。

优先发展信息产业。加快发展电子信息制造业，大力发展软件和信息技术服务业，着力发展应用电子产业，加快发展大数据和云服务产业，大力发展数字内容产业，积极发展网络安全产业。

提升发展电子商务。推进电子商务应用和模式创新，加快发展电子商务产业体系，加快智慧物流体系建设，促进互联网金融规范发展。

扩大信息消费。激发居民信息消费，务实推进智慧城市建设，加快电子政务建设。

推进信息化和工业化深度融合。提升企业信息化水平，突出重点抓好行业信息化，分类抓好各类园区信息化工作。

优化发展环境。强化组织保障，优化要素保障，加大财税金融支持，强化人才创新支撑，着力引进项目，加强信息安全保障，健全评价机制。

篇5：区医院信息安全自查自纠报告

根据晋城市公安局《关于印发<2018年晋城市公安机关网络安全执法检查工作方案>的通知》及《2018年晋城市公安机关网络安全执法检查工作方案》的文件精神，我院高度重视，认真组织相关人员对我院的网络系统进行了全面检查，现将检查的情况报告如下：

一、自查情况

（一）信息网络安全组织落实情况。

成立了晋煤集团总医院信息网络安全工作领导小组，赵瑞峰院长及薛伟民书记任组长，张红庆副院长、王光林副院长、周文华主席、杨大明副院长、李华兵副院长、赵立生书记、徐峰副院长及靳江涛副院长任副组长，其他职能科室中层领导为成员，并设置了专职信息安全员，做到了分工明确、责任到人。

（二）信息网络安全管理规章制度的建立和落实情况。

为确保信息网络安全，我院实行了网络专管员制度、计算机安全保密制度、网络安全管理制度、网络信息安全突发事件应急预案等以有效提高管理人员的工作效率。同时我院结合自身情况制定网络信息安全自查工作制度，做到四个确保：一是信息安全员于每周五定期检查单位计算机系统，确保无隐患问题；二是制定安全检查工作记录，确保工作落实；三是实行领导定期询问制度，由信息安全员汇报计算机使用情况，确保情况随时掌握；四是定期组织全院人员学习网络知识，提高计算机使用水平，加强安全防范。

（三）技术防范措施落实情况。

一是制定了网络信息安全突发事件应急预案，并随着信息化程度的深入，结合我院实际，不断加以完善；二是严格OA文件的收发，完善了清点、整理、编号、签收制度，并要求信息管理员严格管理；三是及时对系统和软件进行更新，对重要文件、信息资源做到及时备份，数据恢复；四是计算机由专业公司定点维修，并商定其给予应急技术支持，重要系统皆为指定的产品系统；五是涉密计算机经过了保密技术检查，并安装了防火墙。同时配置安装了专业杀毒软件，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。安装了针对移动存储设备的专业杀毒软件；六是涉密计算机都设有开机密码，由专人保管负责。同时，涉密计算机不和其它计算机之间相互共享。对重要服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。

（四）有害信息的制止和防范情况。

截至目前，暂未发现我院门户网站及公众号平台存在散播有害信息的现象，并安排信息安全人员定期浏览排查，及时发现问题。加强对卫生系统工作人员的信息安全宣传教育，提高信息安全防范意识和应急处理能力。

（五）重要信息系统等级保护工作开展情况。

我院已经按照国家信息安全等级保护有关要求,将全面开展信息系统的定级、备案和测评工作，目前此项工作因为我院体制改革的影响暂停。目前已经完成前期的调研工作。

二、存在问题

根据《通知》的具体要求，在自查过程中也发现了一些不足，一是信息管理技术人员较少，满足不了医院日益跨越式发展的需求，信息系统安全方面可投入的力量有限；二是规章制度体系初步建立，但还不完善，未能覆盖信息系统安全的所有方面；三是个别职工保密意识还不够高，要加强防范意识；四是遇到计算机病毒侵袭等突发事件处理不够及时。

三、整改措施

针对以上自查中发现的隐患与不足，为进一步加强信息网络系统安全，应围绕信息系统安全综合治理的工作目标，重点在完善规章制度、丰富技术手段上下功夫，认真开展整改工作。

（一）强化应急响应机制建设。制定周密的应急预案，加强应急技术支援队伍建设，认真做好应急演练、重大信息安全事故处置、重要数据和业务系统备份等各项工作，确保信息系统安全正常运行，保障广大患者和家属的正常就诊秩序。

（二）强化制度保障。一是以制度为根本，在进一步完善信息安全制度的同时，安排专人，完善设施，密切监测，随时随地解决可能发生的信息系统安全事故；二是不定期的对安全制度执行情况进行检查，对于导致不良后果的责任人，要严肃追究责任，从而提高人员安全防护意识。

篇6：区医院信息安全自查自纠报告

网络与信息系统安全自查工作报告

为进一步加强我院信息系统的安全管理，强化信息安全和保密意识，提高信息安全保障水平，按照省卫生厅《关于印发<2013年黑龙江省卫生行业网络与信息安全商用密码检查工作方案>的通知》文件要求，我院领导高度重视，成立了专项管理组织机构，召开相关科室负责人会议，深入学习和认真贯彻落实文件精神，充分认识到开展网络与信息安全自查工作的重要性和必要性，对自查工作做了详细部署，由主管院长负责安排、协调相关检查部门、监督检查项目，建立健全了医院网络安全保密责任制和有关规章制度，严格落实有关网络信息安全保密方面的各项规定，并针对全院各科室的网络信息安全情况进行了专项检查，现将自查情况汇报如下：

一、医院网络建设基本情况

我院信息管理系统于2013年1月由哈尔滨中联广信科技有限公司对医院信息管理系统（HIS系统）进行升级。目前系统正在升级中，升级后的前台维护由本院技术人员负责，后台维护及以外事故处理由重庆中联信息产业有限责任公司技术人员负责。

二、自查工作情况

1、机房安全检查，机房安全主要包括：消防安全、用电安全、硬件安全、软件维护安全、门窗安全和防雷安全等方面安全。医院HIS服务器机房严格按照机房标准建设，工作人员坚持每天 1 定点巡查。HIS服务器、多口交换机、路由器都有UPS电源保护，可以保证在断电6个小时情况下，设备可以运行正常，不至于因突然断电致设备损坏。

2、局域网络安全检查，主要包括网络结构、密码管理、IP管理、存储介质管理等；HIS系统的操作员，每人有自己的登录名和密码，并分配相应的操作员权限，不得使用其他人的操作账户，账户施行“谁使用、谁管理、谁负责” 的管理制度。院内局域网均施行固定IP地址，由医院统一分配、管理，无法私自添加新IP，未经分配的IP无法连接到院内局域网。我院局域网内所有计算机USB接口施行完全封闭，有效地避免了因外接介质（如U盘、移动硬盘）而引起中毒或泄密的发生。

3、数据库安全管理包括，我院对数据安全性采取以下措施：（1）将数据库中需要保护的部分与其他部分相隔。（2）采用授权规则，如账户、口令和权限控制等访问控制方法。（3）数据库管理系统提供一套方法，可及时发现故障和修复故障，从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障，可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数据错误等；数据库容灾备份是数据库安全管理中极为重要的一部分，是数据库有效、安全运行的最后保障，也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份，每天凌晨1点备份整个数据库，包含用户表、系统表、索引、视图和存储过程等所有数据库对象。在备份数据的过程中，主、从服务器正常运行，各客户端的业务能正常进行，采取rman备份，备份文件存储本机，定时将备份文件。（4）数据库账户密码专人管理、专人维护。（5）数据库用户每6个月必须修改一次密码。（6）服务器采取双机形式进行安全管理，当当前服务器出现问题时，及时切换到另一台服务器，确保客户端业务正常运行。

三、应急处臵

我院HIS系统服务器运行安全、稳定，并配备了大型UPS电源，可以保证在大面积断电情况下，服务器可运行六小时左右。我院的HIS系统刚刚升级上线不久，服务器未发生过长宕机时间，但医院仍然制定了应急处臵预案，并对收费操作员和护士进行过培训，如果医院出现大面积、长时间停电情况，HIS系统无法正常运行，将临时开始手工收费、记账、发药，以确保诊疗活动能够正常、有序地进行，待到HIS系统恢复正常工作时，再补打发票、补记收费项目。

四、存在问题

我院的网络与信息安全工作做的比较认真、仔细，从未发生过重大的安全事故，各系统运转稳定，各项业务能够正常运行。但自查中也发现了不足之处，如目前医院信息技术人员少，信息安全力量有限，信息安全培训不全面，信息安全意识还够，个别科室缺乏维护信息安全的主动性和自觉性；应急演练开展不足。机房配线架路比较凌乱，标签不清晰。个别科室的计算机设备配臵偏低，服务期限偏长。