医院信息系统安全保障措施.docx

信息系统安全保障措施

一、根据国家信息安全等级保护制度（GB/T22240-2008）、信息系统安全基本要求（GB/T22239-2008）及卫发[2012]14号文件的要求，结合我院信息系统安全级别现状，为保障我院信息系统的安全及病患者隐私，特制订本措施。

二、信息系统安全保障技术措施

（一）、机房物理安全

我院建有计算机中心机房和灾备机房，机房严格按照计算机机房设计标准（GB50174-2008）建设，机房具备防火、防雷击、防水防潮、防静电条件，机房内部温湿度可控并对机房内部进行电磁防护，并建立了《机房管理制度》。

（二）、网络安全

我院网络采用双核心、双链路三层网络结构设计，网络边界部署访问控制设备，并结合VLAN的划分对整个网络不同层级、不同区域间进行访问控制。内网与外网采取物理隔离方式以提高医院内部数据安全性，对内部网络客户端可进行实时监控，同时对访问外部网络的客户端进行行为控制，并建立网络应急预案。

（三）、信息系统设备安全

我院所有信息系统服务器由综合信息科统一管理，主要业务系统服务器都具备防灾备份系统及防病毒、入侵措施，服务器硬件设备统一安放在计算机机房内并对所有设备进行标识、建立档案，定期对设备进行巡检并建立《综合信息科机房巡检制度》以确保设备正常运行。

（四）、信息系统应用安全

我院所有业务应用系统都有专用的登陆控制模块对登陆用户进行身份识别，根据不同身份的用户制定《信息系统操作权限分级制度》，严格限制所有账户的访问权限并由综合信息科统一授权。对医院信息系统数据制定《信息系统数据备份恢复管理制度》，以保障数据安全。

三、信息系统安全保障管理措施

（一）、管理机构及人员设置

综合信息科为医院信息系统的专门管理科室，科室在科长、副科长的领导下设立信息系统管理员、网络系统管理员、数据库管理员等岗位，制定《综合信息科岗位职责》并对各岗位权限做出严格划分。

（二）、系统建设管理

明确我院信息系统安全等级，严格按照信息系统安全保护基本要求

（GB/T22239-2008）建设我院信息系统，制定《信息系统采购工作流程》明确责任。

（三）、系统运维管理

针对我院信息系统、网络系统、数据库的运行维护制定了一系列的管理制度和反馈制度，建立信息系统管理科室与使用科室之间的沟通协调机制。综合信息科将根据我院信息化建设的发展，不断总结经验持续改进信息安全保障措施，以确保我院信息系统安全保障措施完善。