信息系统项目管理师论文范文之安全管理.docx

3 3 2017年10月，我作为项经理参与了 XX县卫健局区域医院信息系统建设 项th该项日总投资870万元，建设工期为9个月，建设内容由区域基层医疗机 构信息系统和数据交换共享平台组成，使用对象涉及县卫健局和15家乡镇（街 道）卫生院。该项U的成功实施，夯实了基层医疗信息化基础，提升了基层医疗 机构服务能力和服务效率，为居民提供了全生命周期的健康管理服务。项LI于 2018年7月顺利通过了业主方组织的验收，获得一致好评。由于本项目具有政 策要求强、用户多、系统结构复杂、隐私信息多等特点，要使项LI能够成功实施， 执行严格的安全管理至关重要。本文根据作者的实际项H经历，论述了安全管理 在本信息系统项U管理中的重要作用，主要从规划安全管理策略、加强管理安全、 保证技术安全三个方面进行了阐述。 为推进电子病历和电子健康档案的连续记录，实现院前预防、院中诊疗、院 间转诊和院后康复的全程连续闭环的医疗健康服务，增强群众获得感，XX县卫 健局于2017年启动了区域医院信息系统（以下简称区域HIS）建设项|_|。在此 背景下，我司通过公开招投标方式成为该项U的承建单位，我有幸作为该项LI的 项目经理，全程负责项目管理工作。该项忖总投资870万元，建设工期为9个 月，用户涵盖县卫健局、15家乡镇（街道）卫生院、44家社区卫生服务站和140 家村卫生室。该系统釆用“业务协同、数据整合、服务创新”的设计，通过建设 县乡村一体化的业务应用系统和统一的数据交互共享平台，实现医疗处方、PACS 影像、LIS检验检查、医疗物资、药品耗材使用的一体化管理和医疗健康数据统 一的釆集、清洗、转换、交换和质量控制。 本系统采用面向对象的、模块化的建模与开发方法，主体采用典型的B/S架 构，使用JAVA语言开发，数据库采用ORACLE 12C,操作系统釆用IBM AIX 7. 2, 中间件釆用WebLogic；应用服务器采用13台浪潮PC服务器，利用VMware搭建 虚拟化环境，数据库服务器釆用两台IBM P750互做冗余和负载均衡。系统可以 提供良好的安全性，能够有效保障基层医疗服务机构的信息系统安全。2018年7 月，项目顺利通过验收，获得用户的高度好评。 鉴于本项LI具有政策要求强、用户多、系统结构复杂、隐私信息多等特点, 信息安全管理对项LI的成功实施显得尤为重要，有必要通过科学分析，在管理、 技术方面制定信息安全管理策略来确保系统的安全稳定运行。在本项LI中，我除 了对其它管理领域进行严格的把握外，针对安全管理，我主要做好了规划安全管 管、管理安全策略和技术安全策略三个方面的工作。 规划安全管理。 在安全管理上，业主对本项目具有相对明确的安全要求，即按照省卫健委卫 生行业区域信息系统安全等级保护要求，保证本项LI信息系统安全等级符合二级 安全等保要求；本项□安全管理策略依据适应性原则、动态性原则、简单性原则、 系统性原则和最小授权原则，遵循国标gb/t22239-2008《信息系统安全等级保护 基本要求》的要求，将系统安全管理划分为管理类安全要求和技术类安全要求。 管理类安全要求主要与信息系统中各种角色参与的活动有关，通过控制各角色的 活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。技术类安全 要求与信息系统提供的技术安全机制有关，主要通过在信息主体中部署软硬件并 正确的配置其安全功能来实现。管理要求和技术要求是确保信息系统安全不可分 割的两个部分。 管理安全策略。 管理安全主要从安全管理制度、安全管理机构、人员安全管理儿个方面进行 综合考虑。 制定系统的信息安全管理制度时，明确安全口标、范圉、原则和框架等。本 人参照本公司信息安全管理体系的要求，并结合系统实际惜况，在充分征求了客 户和公司领导的前提下，制定出本系统的安全管理制度。并就制定出来的制度与 相关干系人进行讨论和评审，评审通过后请客户领导签字确认，并正式实施。针 对权限划分最小权限，介质（U盘等插拔设备）管理制度，安全、应急事件处理 流程等。 在信息安全的组织和人员的设置上，设置网络与信息安全工作小组，办公室 设在局信息中心，统一管理系统信息安全工作。并设置了相关的系统安全管理人 员，如机房管理员、网络管理员、系统工程师、安全管理员等职位，签署保密协 议并定义各自职责和考核指标。在项U实施过程中对相关干系人进行了 3次安全 知识和技术培训。在组织和流程上保证了信息安全的科学、合理、可幕。 技术安全策略。 技术安全主要从物理安全、网络安全、主机安全、应用安全和数据安全儿个 方面进行综合考虑。 （1）物理安全策略 该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。本系 统部署在卫健局原有信息中心机房内，符合国家B类机房要求，针对本系统项LI 增加了一组UPS进行断电保护。