第二讲 如何建立完善的医院信息网络安全管理制度.docx

PAGE

PAGE1

第二讲如何建立完善的医院信息网络

安全管理制度

福建省立医院许志君

随着时代的发展，信息技术的不断进步，医院信息系统已覆盖医院日常运营的各个环节。稳定、可靠的医院网络信息环境已经成为医院正常运行的重要保障。如何建立完善的信息网络安全管理制度，成为我们必须关注与重视的课题。

一、网络安全制度的作用与原则

建立医院网络信息安全制度，是为了保证医院网络系统安全，加强和规范医院信息化建设，进一步推进医院信息化，根据国家相关法律法规、标准规范和行业管理规定，结合医院信息化建设的实际情况而制定的。

要制定完善医院信息网络安全管理制度，首先要明白医院信息网络安全制度的目标与原则。

医院网络安全工作的总体目标是：建立信息系统安全保障体系，运用等级化保护理念，结合医院实际，总体规划、短板优先，以保障业务为核心，建立安全策略和制度规范、组织人员完备、技术先进实用、安全管理到位、日常运维高效的网络安全保障体系。

医院的网络安全管理推行治理、管理与技术并重原则和PDCA(“Plan：规划”—“Do：实施”—“Check：检查”—“Act：处置”)动态循环管理原则。

1.治理原则：网络安全管理要符合医院的治理原则。在战略层面上，网络安全决策必须由最了解医院整体目标与价值的权威部门来决定，使网络安全问题得到最高管理层的关注，并进入医院战略层的日常议题；在战术层面上，网络安全实践由国际和国内得到普遍实践与认可的治理标准（如ISO27001等）来指导。

2.管理与技术并重原则：网络安全不是单纯的技术问题，在采用安全技术和产品的同时，重视采取有效的管理措施，不断积累完善针对实际情况的各类安全管理策略、规章制度，全面提高网络安全管理水平，达到成本效益最优目标。

3.PDCA动态循环管理原则：对网络与信息系统的建设、运行、维护、废止的全过程进行网络安全管理；在对信息资产的管理上遵循PDCA动态循环管理原则，针对医院内外部业务环境及技术条件的变化情况，进行周期性的风险评估，根据风险状况及时调整网络安全管理策略和方法。

二、网络安全管理办法

在网络安全方面，应遵循网络安全等级保护要求，从技术和管理两方面构建医院信息平台的综合防御机制，保证医院信息系统的稳定运行以及业务数据的安全可靠。建立健全网络安全管理组织、规章制度、岗位职责以及检查审核和风险评估机制，制订完备的系统恢复及应急预案，完善网络安全技术措施，保障医院信息系统安全、平稳和高效的运行。

同时，医院网络安全管理组织应由医院主要领导及相关职能部门负责人组成。主要职责：

1、制定统一的安全策略和信息系统安全管理制度；

2、组织信息系统安全教育及技术培训；

3、开展信息系统安全自查，发现问题，及时整改；

4、组织信息系统安全防范、应急演练。

医院信息系统安全管理执行《网络安全等级保护管理办法》等规定，开展定级备案工作。医院信息系统安全按照等级保护要求进行安全建设。

医院网络安全技术管理主要包括身份认证、访问控制与授权、数据备份与灾备系统、安全分域及边界防护、防病毒系统、入侵检测、漏洞扫描、补丁管理、邮件安全网关、远程接入、网络审计等，应建立与之相配套的管理制度。基本要求：

1、身份认证管理：计算机入网运行应经备案批准，重要主机的用户名、开机口令、应用口令和数据库口令实施重点管理，严格控制设备存取及加密；

2、访问控制与授权管理：根据网络主机不同的安全级别采取相应的访问控制、数据保护、监控管理和系统安全等技术措施，定期对用户的访问及授权情况进行检查，不得超过授权设置权限；

3、备份与恢复管理：建立备份和恢复的管理制度和操作规程，定期对备份和恢复策略进行测试，制定系统恢复的预案并定期演练；

4、边界安全的防护管理：根据安全区域划分情况明确安全防护边界，实施有效的访问控制策略和机制，应在网络系统或安全域边界的关键点采用严格的安全防护机制；

5、病毒防护管理：部署有效的网络病毒防范软硬件系统、入侵检测系统，制定相应的病毒防范管理办法、计算机病毒和恶意代码防护策略以及规章制度，实施对计算机网络病毒和安全事件的监控和有效防范；

6、远程接入管理：在有效部署防火墙、入侵检测和防病毒系统的基础上实施远程接入，使用公用网络应采取安全措施，内网业务与外网业务应进行隔离，涉密计算机禁止与非涉密网络联接；

7、数据安全管理：制定必威体育官网网址防范措施，重要数据、软件的修改应留有操作痕迹，并具有恢复功能。严格审查数据的输入、处理、存储、输出；重要数据须加密存储，对存储介质的文件和数据，应有软件保护措施；

8、网络审计管理：部署有效的网络安全审计系统，制定相应的安全审计策略及规章制度，对网络系统中