《上海市医院计算机信息网络系统安全策略》的制定、实施跟效果.pdfVIP

《上海市医院计算机信息网络系统安全策略》 的制定、实施与效果 作者单位：上海市卫生局信息中心 作者姓名：沈惠德（高级工程师）、陆培明（副主任、高级统计师）、范启勇（主 任助理、副主任技师） 通讯地址：上海市汉口路223 号401 室 邮政编码：200002 E-mail : shenhuide@smhb.gov.cn 联系电话：021804 内容摘要：《上海市医院计算机信息网络系统安全策略》（以下简称《安全策略》）为 上海市各级各类医院计算机信息网络系统（以下简称“网络系统”）的安全建设提供 规范标准，为上海市卫生系统其他单位“网络系统”的安全管理提供参考。《安全策 略》包括信息安全技术策略、信息安全管理策略和医院信息系统应急预案，是为保 证全市医院“网络系统”安全运行，以确保医院信息化应用而制定的一系列规定和 技术措施的总合，是正常使用和管理 “网络系统”的正式描述，是 “网络系统”使 用和管理人员必须遵守的规则。 主题词：计算机网络、信息系统安全 《上海市医院计算机信息网络系统安全策略》（以下简称《安全策略》）是在 2003 年 8 月印发，指导全市医院开展医院计算机信息网络系统安全建设，并对 58 家上海市区县中心以上医院按照《安全策略》的要求开展了信息安全检查。下面谈 一下《安全策略》是如何制定及实施的、以及实施效果。 一、《安全策略》的制定依据 1、 随着计算机和互联网在上海市各行各业的普及应用，上海市信息化办公室 发出了《上海市国民经济和社会信息化领导小组印发关于加强上海市信息安全 工作的若干意见的通知》（沪信息办安[2001]135 号文），通知要求与国计民生密 切相关的重要信息系统必须加强信息安全工作。医院计算机信息网络系统关系 到市民的及时就医和生命保障的大事，因此需要将通知精神传达到各医院； 2 、上海市医院计算机信息网络系统是与上海市医保实时结算系统（广域网）相 连接的，在实际应用中，发生过几次医院计算机信息网络系统出现故障而造成数百、 上千名患者不能及时就医，新闻媒体也报道了，造成了不良影响，因此医院计算机 信息网络系统的安全建设已经非常迫切； 3、医院的HIS 系统多数是由不同的计算机公司开发实现的，一方面HIS 系统 本身存在一些不安全的隐患，另一方面大多数医院的计算机人员尚不具备全面的安 全建设技能和制定安全建设规划的能力，因此有必要形成规范性的指导文件印发到 医院； 于是，我们从战略高度充分认识医院计算机信息网络系统安全工作的重要性和 紧迫性。信息安全工作，从全国和全市范围来说，已成为影响国家安全、社会稳定 和人民生活的大事；从全市卫生系统来看，各部门、各单位的卫生信息是否安全（包 括信息完整、准确、及时的按需提供）、重要信息系统的能否正常运行，已成为影响 全市卫生系统及各部门、各单位正常工作、市民及时就医和生命保障的大事。因此， 卫生信息安全是全市卫生信息化建设的重要组成部分。要求各部门、各单位在管理、 技术和快速响应三个方面，建立起与全市卫生信息化发展水平相适应的信息安全防 御体系，确保全市卫生系统的信息安全。 在制定《安全策略》时参照了 《中华人民共和国计算机信息网络系统安全保护 条例》（国务院147号[1994]）和《计算机信息网络系统安全保护等级划分准则》 （GB17859-1999）等有关规定，结合上海市医院的实际情况，制定上海市医院计算 机信息网络系统安全策略，指导各级各类医院进行安全建设。 二、《安全策略》的主要内容 上海市医院计算机信息网络系统（简称“网络系统”）是指医院内部使用的、为 医教研管服务的联网计算机信息系统，包含医院管理信息系统（HMIS）、临床信息系 统（CIS）、药品信息系统（PHIS）、实验室管理信息系统（LIS）、电子病历（EPR）、 医学影象系统（PACS）、远程医学（远程医疗咨询和远程医学教育）系统等。《安全 策略》包括信息安全技术策略、信息安全管理策略和医院信息系统应急预案，是为 保证“网络系统”安全运行，以确保医院信息化应用而制定的一系列规定和技术措 施的总合，是正常使用和管理 “网络系统”的正式描述，是 “网络系统”使用和管 理人员必须遵守的规则。信息安全技术策略是针对网络系统中的各类资源的配置、 防护、冗余、存放、备份、访问、防攻击