2021信息科质量与安全评价分析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息科质量评价分析
为加强信息科应用系统维护、数据维护、硬件维护、网站开发与管理、日常计算机故障排除等信息服务质量管理,进一步规范管理流程,提高工作效率,促进服务质量和用户满意度持续改进,依据《二级综合医院评审细则(2012版)》相关要求,医务科对全院信息应用与管理进行督导检查,现将检查结果反馈如下
存在问题
1.个别人员接到维护电话后语言生硬、解释不耐心
2.有时服务不到位,未做到随叫随到。
延误维护、维修时间,人为影响用户工作
3.个别人员业务技能有待提高,解决复杂疑难问题能力欠缺
4.对用户操作培训、跟踪指导力度不足,部分新用户未能及时掌握网络操作技能
5.缺少与用户沟通,对用户需求了解不足,工作协调不够,服务拖延。
整改措施
1.树立“一切为了用户、为了用户一切、为了一切用户”理念,强化在职培训和继续教育,一方面经常组织专科基础知识、基本技能授课培训,另一方面新开发信息项目和日常工作需要有针对性的专题学习,提高信息技术人员技能和信息素养,主动学习,提高职业能力,不断创新,推动信息工作持续发展
2.合理分工,优化组合,切实提高工作效率。
3.将计算机操作技能列入新入医护人员岗前培训内容,培训内容为医
院正在运行的软件系统的性能和操作技能,积极配合人力资源管理部门搞好教学。
4.利用办公网络征求用户对信息网络服务意见和建议,对问卷调查和平时用户反馈进行原因分析,制定整改措施,能及时解决的问题马上办理,难度较大问题尽快研究,明确解决时间,同时建立服务质量考核机制,与绩效挂钩。
5.针对服务流程不畅,加强与用户沟通,以用户需求作为服务导向,科学协调、合理分工、消除服务中的死角,促进流程优化。
信息科质量评价分析
为加强信息科应用系统维护、数据维护、硬件维护、网站开发与管理、日常计算机故障排除等信息服务质量管理,进一步规范管理流程,提高工作效率,促进服务质量和用户满意度持续改进,依据《二级综合医院评审细则(2012版)》相关要求,医务科对全院信息应用与管理进行督导检查,现将检查结果反馈如下
存在问题
1.信息科无明确的介质管理制度。
员工在工作中无法根据相应制度工作,使用自己的移动介质在外面和中心终端进行数据交换,容易泄露中心数据以及传播病毒。
2、信息安全培训教育不足,很多员工无法理解信息安全的重要性。
3、无信息安全应急演练,当员工出现病毒感染、数据泄露的情况下无法第一时间上报也不能自己处理,任由事态蔓延。
4.机房从空间、监控、UPS、消防等方面已无法满足日益增长的信息系统的需要。
5、办公室终端由于信息设备的增加和格局的改变,原有的信息接口和强电插座已不能满足办公的需求。
后勤保障科人员采用插线板接插线板的方式供电,办公环境线路凌乱,存在火灾隐患。
6、防病毒、防入侵软件授权数量有限,临床多数终端上的杀毒软件病毒库不是最新的,防病毒、防入侵能力低。
7、由于内外网的分离,临床终端电脑无法及时打补丁,存在安全漏洞。
8、办公电脑存在防火墙关闭,没必要打开的共享文件端口打开。
9、办公终端电脑没有部署介质访问策略,无法辨别合法与非法的移动介质。
10、办公终端电脑没有安装防数据泄露软件,不能有效防止数据的泄露。
11、信息安全意识淡薄,电脑没设置开机密码,无屏保密码,下班离开后电脑不关机,私自搭建WIFI。
整改措施
1、制定并完善信息安全介质管理制度,规范信息科信息安全操作
2、定期开展信息系统故障应急演练,提高信息安全意识和应急处置能力
3、购买防病毒、防入侵系统,实现补丁及时更新,完成病毒库在线升级和介质管理,打开操作系统防火墙,关闭不必要的共享端口。
4、实施全院统一共享文件服务器,杜绝科室自建共享文件夹。
5、做好员工信息安全培训,提高员工信息安全意识,规范员工操作,内网电脑一律禁止使用U盘、光盘等外接存储设备,所有需要进入内网的数据一律在信息科确定其安全性后方能存入。
6、对医院信息系统各操作员权限进行严格控制。
按操作者的职务和专业分配使用医院业务系统的权限。
医院的各工作人员只能获取与其工作相关和与其职称职务相关的信息,充分保护医院机密和患者隐私。
信息科质量评价分析
为加强信息科应用系统维护、数据维护、硬件维护、网站开发与管理、日常计算机故障排除等信息服务质量管理,进一步规范管理流程,提高工作效率,促进服务质量和用户满意度持续改进,依据《二级综合医院评审细则(2012版)》相关要求,医务科对全院信息应用与管理进行督导检查,现将检查结果反馈如下
存在问题
1.同省市平台、合作单位(医保、银行)等部门设有接口,未部署终端安全产品进行边界防护,存在被黑客入侵、网络攻击的风险。
2.HIS业务系统缺少有效的安全保护措施和审计机制,存在应用系统模块使用不规范、账号共用、文件拷贝、业务数据被非法读取的风险。
3.各终端设备UPS配备不足或UPS电池已经损坏而未更换,易造成数据上传终断。
4.受条件限制,服务器和网络设备未能建成双机互备及灾备系统,一旦设备或磁盘发生故障数据将会丢失,无法恢复。
5.机房空调无法达到恒温、恒湿和自动开启,机房和监控室灭火器配备不足。
整改措施
1、区域边界的一体化防护:在安全域边界,如合作单位的接入区域、互联网接入边界部署一体化安全网关,实现检测防火墙的所有功能,更具有网络入侵防御功能和网络防病毒功能,能够检测并阻断木马连接、蠕虫病毒、网络扫描等各种威胁。
2、加强Web业务的保护:医院的门户网站和网上诊疗业务是典型的基于Web的应用,面临的主要风险是来自互联网的SQL注入攻击、跨站脚本攻击等应用层攻击,这些攻击能够穿越防火墙,对Web业务造成毁灭性的破坏。
必须采用一些入侵防御类产品,实现基于入侵原理的攻击识别,精确识别SQL注入攻击并予以阻断,以加强Web业务的保护。
3、分析核心网络入侵行为:在核心交换机的位置旁路部署设备,用来监视网络中的安全事件和流量变化情况,包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等各种入侵事件,以及P2P下载等流量信息。
当检测到入侵和流量事件时,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
4、安全审计消除业务风险:在HIS等核心业务系统之前部署网络安全审计系统,对业务数据进行记录和审计。
网络安全审计可采用旁路部署的形式,这种情况下无论是通过HIS系统访问数据库,还是通过客户端对数据库直接访问,特别是对数据库关键表(处方表、医师表)的联合查询都能够进行记录和审计。
5、终端准入确保内网合规:在《医疗机构信息系统安全等级保护基本要求》中规定,系统应具备记录、允许或拒绝终端PC接入医院网络的能力,应对医院内接入信息系统的终端的设备接口(如光驱、软驱、USB口等)进行管理和控制。
通过在医院的合法终端部署终端安全产品既能够防止非法终端私自接入网络,又能够确保合法终端的安
全状态都是合乎医院的管理规定的:比如不能修改注册表、不能安装点对点应用程序、不能非法使用USB接口等。
6、定期的漏洞和脆弱性评估:在网络中部署脆弱性扫描和风险评估系统,对网络主机、数据库和应用系统定期进行漏洞扫描,对发现的网络、系统安全漏洞进行及时的修补。
定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份。
信息科质量评价分析
为加强信息科应用系统维护、数据维护、硬件维护、网站开发与管理、日常计算机故障排除等信息服务质量管理,进一步规范管理流程,提高工作效率,促进服务质量和用户满意度持续改进,依据《二级综合医院评审细则(2012版)》相关要求,医务科对全院信息应用与管理进行督导检查,现将检查结果反馈如下
存在问题
1.网络访问随意性大,医院网络可随意访问,信息共享与信息流通无阻,在任何一个工作站点,均可随意访问整个网络资源,数据很容易非法窃取。
2.数据库访问无监测,现有HIS系统很少对数据库访问用户进行监测、存档和登记工作,即使数据库关键数据被盗窃或破坏时,也无从查起。
3.客户端硬件访问无封锁,现有的客户端都带有USB等硬件接口,可随意接入移动硬盘等外部设备,将危害信息安全的软件流入医院内部网络。
4.数据安全备份缺乏相对完整的数据备份计划和检查落实,容易引起数据丢失。
5.病毒防范能力弱,内外网互连,非安全设备接入,又没有部署病毒防护软件。
普通办公PC机可以浏览到关键业务用机,普通用户可以进入重要的数据服务器系统,外来人员用便携式电脑可接入医院内部局网对服务器进行攻击或对数据进行窃取。
6.机房建设、综合布线缺乏全面规划、建设不规范,存在安全隐患,
没有必要的设备冗余,难以应对应急情况。
整改措施
1.硬件系统安全管理措施
做好相关硬件系统安全管理,在机房管理工作中,配备专人对设备进行日常管理,并记录对相关工作内容进行详细记录。
同时,计算机设备等工作中散发大量热量,因此要严格控制机房温度,避免因温度过高而产生的设备损坏,湿度控制在30-70%间,降低静电等现象发生,并尽量做到机房无尘化管理。
在硬件系统安全管理中,防雷放火,安装避雷设备于机房所在的楼宇,并配备足够数量的灭火装置,并按照火灾报警系统,保证机房安全。
做好停电应急准备,如使用UPS系统,当医院信息系统出现电力供应问题时,UPS系统迅速启动,供应一定的交流电。
2.软件系统安全管理措施
选取正规、安全的正版操作系统,并在使用过程中根据实际使用情况进行更新和补丁,对操作系统和数据库采用更安全的配置,并做好日常维护保养及清理工作。
同时加强计算机病毒预防工作,在计算机机房电脑上安装相应杀毒软件和防火墙。
信息科质量评价分析
为加强信息科应用系统维护、数据维护、硬件维护、网站开发与管理、日常计算机故障排除等信息服务质量管理,进一步规范管理流程,提高工作效率,促进服务质量和用户满意度持续改进,依据《二级综合医院评审细则(2012版)》相关要求,医务科对全院信息应用与管理进行督导检查,现将检查结果反馈如下
存在问题
1.同省市平台、合作单位(医保、银行)等部门设有接口,未部署终端安全产品进行边界防护,存在被黑客入侵、网络攻击的风险。
2.作为医院最核心的HIS业务系统,缺少有效的安全保护措施和审计机制,存在应用系统模块使用不规范、账号共用、文件拷贝、业务数据被非法读取的风险。
3.各终端设备UPS配备不足或UPS电池已经损坏而不更换,易造成数据上传终断。
4.信息无法标准化。
医院信息标准化,是指统一名称、统一概念、统一分类、统一编码,符合医疗服务收费标准,它是信息迅速交流的基础。
标准不统一或不符合标准(包括自定义项目),直接导致了医院项目与医保项目无法对应,给医生开展诊疗和患者报销造成了很大的困扰。
5.受条件限制,服务器和网络设备未能建成双机互备及灾备系统,一旦设备或磁盘发生故障数据将会丢失,无法恢复。
6.机房空调无法达到恒温、恒湿和自动开启,机房和监控室灭火器配
备不足。
整改措施
针对上述的安全风险,仅仅部署防火墙和终端防病毒软件是不够的,远未达到等级保护、纵深防御的政策要求,也没有建立起一个完整的安全防护体系。
1、区域边界的一体化防护:在安全域边界,如合作单位的接入区域、互联网接入边界部署一体化安全网关,实现检测防火墙的所有功能,更具有网络入侵防御功能和网络防病毒功能,能够检测并阻断木马连接、蠕虫病毒、网络扫描等各种威胁。
2、加强Web业务的保护:医院的门户网站和网上诊疗业务是典型的基于Web的应用,面临的主要风险是来自互联网的SQL注入攻击、跨站脚本攻击等应用层攻击,这些攻击能够穿越防火墙,对Web业务造成毁灭性的破坏。
必须采用一些入侵防御类产品,实现基于入侵原理的攻击识别,精确识别SQL注入攻击并予以阻断,以加强Web业务的保护。
3、分析核心网络入侵行为:在核心交换机的位置旁路部署设备,用来监视网络中的安全事件和流量变化情况,包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等各种入侵事件,以及P2P下载等流量信息。
当检测到入侵和流量事件时,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。
4、安全审计消除业务风险:在HIS等核心业务系统之前部署网络安
全审计系统,对业务数据进行记录和审计。
网络安全审计可采用旁路部署的形式,这种情况下无论是通过HIS系统访问数据库,还是通过客户端对数据库直接访问,特别是对数据库关键表(处方表、医师表)的联合查询都能够进行记录和审计。
5、终端准入确保内网合规:在《医疗机构信息系统安全等级保护基本要求》中规定,系统应具备记录、允许或拒绝终端PC接入医院网络的能力,应对医院内接入信息系统的终端的设备接口(如光驱、软驱、USB口等)进行管理和控制。
通过在医院的合法终端部署终端安全产品既能够防止非法终端私自接入网络,又能够确保合法终端的安全状态都是合乎医院的管理规定的:比如不能修改注册表、不能安装点对点应用程序、不能非法使用USB接口等。
6、定期的漏洞和脆弱性评估:在网络中部署脆弱性扫描和风险评估系统,对网络主机、数据库和应用系统定期进行漏洞扫描,对发现的网络、系统安全漏洞进行及时的修补。
定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份。
7、针对医院的特殊环境,建议采用以下几种数据备份恢复方法:数据库在线备份、数据库即时恢复、网络存储设备共享、数据库系统远程容灾。
能够在运行7x24业务的同时做备份和局部恢复。
备份必须是可扩展的、可靠的。