医院信息系统安全应对
2011-12-31张海霞史敬华孔明军
张海霞 史敬华 孔明军
(山东省泰安市中心医院信息中心,山东 泰安 271000)
1 威胁信息系统的安全因素
1.1 系统管理人员的操作错误;
1.2 第三方软硬件维护造成系统停运;
1.3 维修(网络维修、电力维修)导致主机停运或主网断线;
1.4 有严重问题的软件上线造成应用软件整体或局部不能正常运行;
1.5 硬件故障导致。
2 树立应对安全理念
管理决定质量,管理决定安全,俗话说三分技术七分管理,管理制度与技术解决方案相结合是应对医院信息系统安全的基本原则。
2.1 要建立有效的安全管理组织架构,明确责任,理顺流程,争取领导的重视是做好信息系统安全的关键,以便在预算支持或人员落实方面有所保障。
2.2 要对现有信息系统进行全面的安全审计,必要时重新进行全面规化设计,以便逐步进行完善。
2.3 要制定完善的系统安全管理制度,包括计算机终端使用管理制度、数据中心机房管理制度、应用软件使用管理制度、数据备份管理制度、信息系统运行管理制度、信息系统文档与配置管理制度等。
2.4 要建立信息系统的应急预案,保证业务不间断运行;事故发生时可按照预案以最短时间、最小损失来恢复系统,应急预案的制定要简单明了,便于操作,要有启动预案的相关流程规定,确保其正确性及可行性。
2.5 信息管理人员要加强对网络中心的安全管理,严格按照等级保护的基本要求标准实施安全管理。
2.6 加强培训,除加强信息系统管理人员的安全技术与管理知识培训外,还要提高操作人员素质,操作人员素质决定安全程度。要加强操作人员的安全意识培训、操作技能培训、规章制度培训。针对目前医院信息系统已发生的故障大多出自内部人员非规范使用的特点,加强内部人员的培训管理非常必要。
2.7 加强对财务数据、医疗过程数据、药品信息等敏感数据进行保密管理、防止外泄。
3 几项关键措施
3.1 门急诊系统设立专门备份服务器。万一主机系统停运,门急诊系统保证5分钟内投入运行。
3.2 准备一套测试系统。用于软件维护及系统模拟测试。
3.3 关键操作做实战演习,如门急诊备份系统切换、主机备份系统切换、系统重启等。
3.4 培养一至两名服务系统管理员或数据库维护人员,在非核心硬件故障时,保证在指定时间内将系统重新启动而且数据不丢失。
3.5 给中心机房一个安全环境,包括电力设施、温控设施、消防设施等。
3.6 异地备份,其中一个为主数据中心,用于日常操作,另一个为灾难备份中心。第二个数据中心要保持与主数据中心运行系统完全同步,以支持灾难恢复。
医院信息系统没有绝对的安全,不同医院有不同情况,不能一要概而论,要看各个医院对各种风险的承受能力,基于这种承受能力医院信息系统管理中心才能做出相应的应对策略,通过应对策略实施来保障信息系统的可靠性和可用性。
[1]张正惠.浅谈医院信息系统的安全建设[J].现代医院,2004-10-08.