2020年度信息安全持续改进报告.docxVIP

PAGE PAGE 2 2020 年度信息安全持续改进报告 近年来，我中心网络信息系统建设发展迅猛，移动医疗、移动支付、电子病历、集成平台等各类系统不断上线。无处不在的网络系统， 已成为维系中心日常工作的重要一环，承载着维持各个部门正常运转的重任，给中心和患者带来了极大的便利。 在信息系统带来便利的同时，其安全稳定压力越来越大，一旦发生故障，轻则导致工作停滞，减低患者满意度，重则导致数据泄露、数据篡改或丢失，甚至引起医患纠纷，带来严重的法律和经济后果。因此，其安全性十分重要，可以说网络信息系统安全管理是中心信息 科日常维护工作的首要任务。 中心结合日常监督分析查找网络信息系统管理中存在的主要问题，引入 FOCUS －PDCA 循环管理法，及时反馈和持续改进网络信息安全管理中存在的不足，以期不断提高和改进中心网络信息系统安全质量。 图一：FOCUS －PDCA 循环管理法 一、发现问题（F） （一）管理层面 1、制度不全： ①针对信息科内部，无明确的信息安全岗、服务器管理岗、系统管理岗等岗位区分，导致分工不明确，很多交叉问题处理上存在漏洞。导致信息安全监管上出现遗漏。 ②针对中心员工，无明确的介质管理制度。员工在工作中无法根据相应制度工作，使用自己的移动介质在外面和中心终端进行数据交换，容易泄露中心数据以及传播病毒。 2、信息安全培训教育不足，很多员工无法理解信息安全的重要性。 3、无信息安全应急演练，当员工出现病毒感染、数据泄露的情况下无法第一时间上报也不能自己处理，任由事态蔓延。 （二）信息系统物理环境层面 1、机房从空间、监控、UPS、消防等方面已无法满足日益增长的信息系统的需要。 图二：杂乱的机房 2、弱电井老旧，强电弱电不分离，加上这几年信息设备的增长， 弱电井在电源不足的情况下，只能插线板接插线的方式供电，在空间不足的情况下，只能把交换机搁置在机柜外面，造成线路凌乱，容易 引起火灾和网络环路。 图三：凌乱的弱电井 3、办公室终端由于信息设备的增加和格局的改变，原有的信息接口和强电插座已不能满足办公的需求。在节省费用的约束下，后勤保障科人员采用插线板接插线板的方式供电，信息科人员采用交换机接交换机的方式供网。日积月累，导致办公环境线路凌乱，并且存在火灾隐患。 （三）终端机运行环境方面 1、由于目前的防病毒、防入侵软件授权数量有限，不能满足全面铺开的原因，临床多数终端上的杀毒软件病毒库不是最新的，防病毒、防入侵能力低。 2、由于内外网的分离，临床终端电脑无法及时打补丁，存在安全漏洞。 3、办公电脑存在防火墙关闭，没必要打开的共享文件端口打开。 4、办公终端电脑没有部署介质访问策略，无法辨别合法与非法的移动介质。 5、办公终端电脑没有安装防数据泄露软件，不能有效防止数据的泄露。 （四）人员方面 1、信息安全意识淡薄。 2、电脑没设置开机密码，无屏保密码，下班离开后电脑不关机。 3、存在私自搭建WIFI 情况。 4、私自安装未经允许的软件。二、成立改进小组（O） 谢XX：统筹规划、组织会议、人员分工邢XX：策划执行、标准化流程 孙XX：现状调查、数据收集、结果分析、持续改进赵XX：实施和监控 三、明确流程和规范（C） 1、现行安全状况，信息安全薄弱环节。 根据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价。需评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对中心造成的影响。 业务 业务 战略 依赖 脆弱性 暴露 资产 具有 资产 价值 利用 未被满足 增加 威胁 增加 风险 导出 安全 需求 残留 演变 抵御 降低 安全 事件 可能诱发 残余 风险 未控制 安全措施 图四：风险要素关系图 类别 类别 风险点 物理安全 网络安全 终端和应用系统安全 数据安全 地震 火 灾 漏水渗水 雷 击 黑客攻击非法操作数据篡改 数据销毁 盗窃 UPS 空 调 设备故障病毒入侵系统漏洞 数据丢失 四、根本原因分析（U） 根据 GB/T 1.1-2009《信息安全技术 网络安全等级保护基本要求》，结合我中心实际网络信息系统环境，欲提升我中心网络信息系统安全健壮性，需从以下几个方面着手，详见图五： 图五：我中心信息系统安全问题分析鱼骨图 图五：我中心信息系统安全问题分析鱼骨图 6 重庆市公共卫生医疗救治中心Chongqing Public Health Medical Center 重庆市公共卫生医疗救治中心 Chongqing Public Health Medical Center PAGE PAGE 12 五、方案选择（S） 1、成立信息安全领导小组，明确小组成员工作职责。 2、制定相关制度，从管理层面