医院信息系统安全策略.docx

医院信息系统安全策略一、数据安全医院信息系统的安全性关系到医院能否正常运转，甚至与病人的生命忧关，因此医院系统的安全性至关重要。系统建立了严格的权限控制系统,每人有自己的用户名和口令，每个用户名对应不同的权限。1、系统管理员权限：维护系统，对于系统维护模块操作，对数据库与服务器进行维护。2、查询权限：对于医院管理人员可以用此权限查询数据，而不能输入、修改数据。3、操作员权限：对于各个系统的使用人员，每人针对其工作范围给予操作权限，超出范围即使在同一系统也不允许操作。对于医院管理方面需要严格控制的特殊操作，只将权限给予相关科室负责人，例如退费操作，发生特殊操作时需由科室负责人签字认可后方可受理。二、数据库加密1、对数据库进行加密，密码在应用程序中进行解密，这样不知道密码的用户是不能访问数据库的，应用程序用户通过应用程序才能访问数据；2、数据访问与处理是通过中间表提供的服务，前端程序不能直接修改数据。3、数据库中有表和视图，根据用户的权限和系统功能的不同来决定是访问表，还是访问视图；这样减少对原始数据的直接访问、修改和删除。三、备份策略实现一个策略防止数据丢失是系统管理的重要部分，相应的措施快速地恢复生产并使数据丢失最少，确保医院重要数据的安全性。双机热备和网络异地备份是医院采用的备份策略。双机热备双机热备系统是一种保证服务器上重要应用业务连续运作的系统。它提供了数据的高可靠性、系统自动切换及短时间恢复，可以实现多机数据镜像。双机热备系统把两台服务器连接在一起，一台作为主服务器，另一台作为备份服务器。备份服务器通过镜像主服务器上的数据到本地硬盘来提供容错功能。络异地备份通过建立一个后台任务使系统定时完成网络异地备份。异地备份采取完全备份方式，而不使用增量备份方式，这样可以避免因一个备份损坏而使连续多天的数据同时丢失。信息保护管理制度为了确保医院信息系统的准确性、可靠性、完整性、安全性及保密性，加强对医疗及相关辅助信息的安全管理，特制定以下信息管理保密制度，有关秘密信息设专人负责，多人分权管理，相互制约和监督。一、在网络环境下，使用多种技术手段保护中心数据库的安全。数据的安全性、保密性应符合国家的有关规定：1、中华人民共和国计算机信息系统安全保护条例2、中华人民共和国保密法3、中国计算机安全法规标准在国家没有制定电子文档合法性相关法律之前，医院必须保留纸张文档作为法律依据。4、严格执行内、外部网络物理分离的原则从根本上杜绝医院内部资料信息通过互联网外泄并传播。二、对信息系统数据的全程安全保密管理：1、重要数据资料要遵守国家有关保密制度的规定。对数据输入、处理、存储、输出的各个环节严格审查和管理，不允许通过医院信息系统非法扩散。2、重要保密数据，要对数据进行加密处理后再存入专用存储设备内，对存贮磁性介质或其它介质的文件和数据，由专人负责收集保管并建立登记制度以备查询。3、严禁私自转储医院内部重要数据及资料，秘密资料的收发、传递和外出携带，由指定人员担任，并采取必要的安全措施，需上报的涉密资料必须请示主管领导，经有关部门批准后方可上报。4、对载有重要数据资料的纸质资料做到及时销毁。不得将其按普通废旧物资进行回收处理。5、不准私自复制和摘抄秘密资料，不准携带机密资料到与工作无关的场所，不得在公共场所谈论秘密事项和交接秘密资料，不得在公开发表的文章中引用秘密资料。6、发现失密、泄密现象，及时报告，认真处理。