基于信息安全视角的公立医院内部审计研究.docx

?

?

基于信息安全视角的公立医院内部审计研究

?

?

范慧明

摘要：缓解看病难、看病流程烦琐，是老百姓最普遍的民生问题之一。“互联网+医疗健康”可以提高人们的医疗体验，给群众带来好处。同时对医院网络安全提出新的挑战，加强信息安全内部审计，保障医院运行畅通，显得尤为重要。本文对此进行了探讨。

关键词：公立医院;信息安全;内部审计;研究

一、“互联网+医疗健康”惠及百姓

（1）“看病难”可以通过互联网+的手段得到缓解。比如：预约、缴费、查询可以走到线上。网上主要有两种形式，一种是通过智能移动终端的形式直接上网，另一种是利用医院自助设备的形式。

（2）在线上医学咨询。除首诊外，首诊后的复诊、出院复诊、慢病复诊、用药咨询、体检咨询等，都可以在线上进行一定程度的咨询。通过移动医疗的在线服务可以直接地让患者与医生进行沟通，真正解决“看病难”。

二、医院信息安全的重要性

由于医院资产规模逐年扩大，近两年增长速度非常快速，医院的行政管理、医疗业务处理、财务核算及分析、临床医疗信息系统运用、医疗设备安全稳定运行等方面的不断发展与进步，给医院在信息化管理方面，在各系统的信息收集、存储、处理、数据交换、用户授权等方面提出了更大的挑战。

1.关键信息基础设施确定情况

医院HIS系统的正常运行，关系着医院的业务是否能够正常高效的运作，同时系统中保存着大量患者的个人信息，存在着患者个人信息泄露的风险，因此定义为关键信息基础设施。

2.网络安全主要工作情况

（1）定期组织信息安全领导小组成员以及信息科全体人员学习《网络安全法》和安全管理制度，提高信息相关人员的网络安全意识。

（2）检查所有服务器以确保所有服务器都被安全地加固并配置了安全参数，检查工作内容：更新操作系统漏洞补丁、关闭不必要和高风险端口、安装杀毒软件并保证病毒库的更新、配置密码复杂度策略、检查密码强度等。

（3）更换全院计算机的网络准入控制系统和桌管系统，更加完善了现有准入和桌管系统的功能和策略，达到全院统一管理、统一防护的效果，提升内网计算机接入的安全性。

（4）按照三级等保测评的要求，逐步完善了HIS+电子病历系统的系统安全功能，明确和细化用户的权限分配。

（5）完成院内面向患者开放的WIFI的搭建和备案管理工作，完善该WIFI的网络隔离和信息安全防护措施。

（6）通过信息安全整改和定期检查安全审计日志等多方面加强管理，年内没有发生网络信息安全事（案）件。

三、利用审计软件开展信息安全审计

为了更好地促进规范管理，规范经营，增加效益，医院计划内审覆盖信息化系统审计，审计内容涵盖信息化系统审计全过程。从信息化系统审计复杂度分析复杂性因素。根据系统业务流程、系统特性、处理交易、系统数据、计算方式、信息技术环境等相关因素建立信息系统资料库。评价确认信息系统关键业务流程，关注风险管理中的人力资源、采购管理、财务管理、质量管理、信息安全管理、绩效优化风险点，审计流程及流程风险契合审计准则要求。这对内部审计的效率和质量提出了更高标准的要求。所以医院审计科借助风险管控与内部审计系统作为审计的工具，提高准确的数据处理和运算能力，加强审前调查，把握审计方向，提高数据分析准确性，通过审计工作流的管理让审计业务流程标准化，提高审计成果质量，帮助医院提升经济效益和管理效益。

1.简介

信息系统应用控制审计主要由三部分组成：输入控制审计、处理控制审计和输出控制审计。运用风险管控与内部审计系统开展信息系统审计，确定审计实施对象，编制审计通知书，了解被审计对象确认审计事项指定审计方案，运行审计方法开始审计调查工作，照实采集审计证据，编制审计工作底稿，对发现的问题进行充分论证，出具审计报告。

审计前，应对被审计单位组织机构进行调查，摸清信息系统在组织机构内部的分布及应用情况，确定信息系统审计对象，了解信息系统的开发情况、系统管理员设置情况等，根据对审计目标的把握，提出可行性审计方案。并收集相关联的文件包括政策、系统安全说明书、管理制度等文档。确认审计过程中应用上述制度、设备及安全配置的技术人员和专家指导人员。本次信息系统审计以机房管理为审计实施目标展开的内部审计工作。

2.审计系统软件模块的运用

（1）审前调查。该模块包含选择业务类型、被审计单位基本情况、审计通知书三项期功能。确认业务类型IT审计，系统自动筛选IT审计风险点及审计方案和报告模板，调取IT审计底稿模版。

填写被审计单位基本情况，项目负责人及审计相关重要信息，避免在底稿中涉及相同的信息重复录入，提高审计基础工作效率。

输入基本信息，自动生成并导出审计通知。可以编辑审计通知，以便审计通知的内容满足该审计的要求。

（2）收集信息，確认审计范围。

（3）确定审计要点，生成审计方案。审计经理编辑审计要点库，安排审计工作进度，提出审计指导意见。

风险管控与