医院信息系统安全保障措施.pdfVIP

信息系统安全保障措施

一、根据国家信息安全等级保护制度（GB/T22240-2008）、信息

系统安全基本要求（GB/T22239-2008）及卫发[2012]14号文件的要

求，结合我院信息系统安全级别现状，为保障我院信息系统的安全及

病患者隐私，特制订本措施。

二、信息系统安全保障技术措施

（一）、机房物理安全

我院建有计算机中心机房和灾备机房，机房严格按照计算机机房设计

标准（GB50174-2008）建设，机房具备防火、防雷击、防水防潮、防

静电条件，机房内部温湿度可控并对机房内部进行电磁防护，并建立

了《机房管理制度》。

（二）、网络安全

我院网络采用双核心、双链路三层网络结构设计，网络边界部署访问

控制设备，并结合VLAN的划分对整个网络不同层级、不同区域间进

行访问控制。内网与外网采取物理隔离方式以提高医院内部数据安全

性，对内部网络客户端可进行实时监控，同时对访问外部网络的客户

端进行行为控制，并建立网络应急预案。

（三）、信息系统设备安全

我院所有信息系统服务器由综合信息科统一管理，主要业务系统服务

器都具备防灾备份系统及防病毒、入侵措施，服务器硬件设备统一安

放在计算机机房内并对所有设备进行标识、建立档案，定期对设备进

行巡检并建立《综合信息科机房巡检制度》以确保设备正常运行。

（四）、信息系统应用安全

我院所有业务应用系统都有专用的登陆控制模块对登陆用户进行身

份识别，根据不同身份的用户制定《信息系统操作权限分级制度》，

严格限制所有账户的访问权限并由综合信息科统一授权。对医院信息

系统数据制定《信息系统数据备份恢复管理制度》，以保障数据安全。

三、信息系统安全保障管理措施

（一）、管理机构及人员设置

综合信息科为医院信息系统的专门管理科室，科室在科长、副科长的

领导下设立信息系统管理员、网络系统管理员、数据库管理员等岗位，

制定《综合信息科岗位职责》并对各岗位权限做出严格划分。

（二）、系统建设管理

明确我院信息系统安全等级，严格按照信息系统安全保护基本要求

（GB/T22239-2008）建设我院信息系统，制定《信息系统采购工作流

程》明确责任。

（三）、系统运维管理

针对我院信息系统、网络系统、数据库的运行维护制定了一系列的管

理制度和反馈制度，建立信息系统管理科室与使用科室之间的沟通协

调机制。综合信息科将根据我院信息化建设的发展，不断总结经验持

续改进信息安全保障措施，以确保我院信息系统安全保障措施完善。