医疗信息系统安全实施方案
随着数字化医院建设的不断发展和深入，医院的数字化应用越来越多，目前我院已实现了区域HIS、LIS、PACS等系统的应用，主要业务实现了电子化，处方、医嘱、病历、慢病等已实现了无纸化。

医院信息系统在医院运行中占据了非常重要的地位，但随之而来系统安全管理的重要性也越来越突出，系统的稳定性和安全性关系到医院各项业务能否顺利开展，关系到患者就诊信息的安全性及连续性，为保障信息系统的安全和运行，特制订以下方案：
一、成立领导小组
医院主任为组长，各副主任为副组长，各科室科长为成员，医院办公室为具体执行科室。

二、建立健全规章制度
建立各项规章制度，如医疗服务档案管理制度、信息管理制度、网络系统管理制度、计算机使用和管理制度等，据统计90%以上的管理和安全问题来自终端，提高各部门人员的安全意识非常重要，我院由分管主任负责组织协调有关人员，加强培训与安全教育，强化安全意识和法制观念,提升职业道德,掌握安全技术,确保这些措施落实到位，责任到人。

三、保证网络的安全
我院采用的是区域HIS、LIS、PACS系统，服务器设在市卫生局，故服务器的安全问题不用我们考虑，目前需要我们解决的是医院网络的安全问题，为了保障单位内部信息安全，规范职工上网行为、降低泄密风险、防止病毒木马等网络风险，我院将统一安装上网行为管理器及管理软件，通过此方法可实现以下主要功能：
通过制定统一的安全策略，限制了移动电脑和移动存储设备随意接入内网；杜绝内网电脑通过拨号、ADSL、双网卡等方式非法外联；保证了医院内网与外界的隔离度，从而大大提高了医院内网的安全性。

通过网络流量控制模块，实时地临控网络终端流量，对异常网络行为，如大流量下载、并发连接数大、网络垃圾广播等行为可以进行自动预警、阻断和事件源定位，极大减少网络拥堵事件，大大提高了网络利用率。

通过统一的杀毒软件、防火墙管理，能够识别医院内几乎所有的杀毒软件，及时检测网络内防病毒弱点，便于及时补救；远程调用杀毒软件进行查杀病毒，全面利用网络内已有杀毒软件；全面的系统漏洞检测、补丁分发策略，有效地防范大面积病毒发作,集中管理系统升级的能力大大提高，避免人为升级的疏漏。

通过对IP地址绑定及终端权限、安全审计监控等模块的应用，有效地解决了以前靠人工参与，不能集中解决的问题。

通过完善的终端硬件控制功能，可启用和禁用光驱、软驱、USB接口、串并口等外设，防止私自安装软件、拷贝文件等。

通过完善的软、硬件资产管理功能，清晰的了解了网络内软件安装情况、硬件资源变动情况等，防止安装非工作必需软件和硬件资产流失等。

通过文件安全审计和网站访问控制功能，可设置文件访问权限，限制私自打印文件和网络拷贝；网站访问控制审计，允许访问授权访问的网站，禁止访问非授权网站。

通过完善的权限分配管理，超级管理员可以分配已有管理权限给新建给管理用户，可做到菜单级权限分配，不同的管理员拥有不同的管理权限，各个管理员之间权限互不干涉。

无论有多么先进的网络、服务器的配置，不做好内网的管理，信息系统的安全性就不能得到保障。

目前医院信息管理人员较少，对同事不好约束，只有通过科学的管理软件的应用才能有效地管理好网络。

四、数据备份的保障措施
医院数据记录着患者的治疗、检查、医嘱、费用等信息，极其重要，如果数据丢失，对患者及医院的损失不可估量。

所以说如何做好数据的备份，是保障医院信息系统安全的一项重要措施。

我院制定了相关的备份制度，责任到人，每月做好备份日志，通过U盘、光盘等方式进行数据备份，并且做到异地存储。

五、应用软件权限设置
我院通过相关制度明确规定了每个操作人员的权限范围，通过内网安全管理软件对一些软件进行限制性安装，网管随机地通过软件搜索网内的共享资源、系统进程等各项信息，有效地阻止了一些操作人员的猎奇心，使其只能提取与其业务有关的的数据，提高了数据的保密性，提升了网络的安全性。

六、工作人员培训
组织工作人员认真学习相关法律法规，提高工作人员维护网络信息安全的警惕性和自觉性，促其保护医疗信息不泄露，杜绝私自将患者信息提供给他人或第三方调查公司等。

注意保管好自己的账号和密码，不得随意透露给他人。

对于违反相关法律法规和职业道德，私自将医疗信息或患者信息透露给他人，造成严重后果的，将按照相关法律法规惩处，构成犯罪的，将依法追究刑事责任。

在医院的数字化应用不断普及、深入的今天，和其它行业一样医疗行业对信息系统的稳定性、安全性要求越来越高，国内的许多大型医院都认识到了信息系统故障对全院业务的巨大影响，通过采取各种各样的安全保障措施来提高信息系统的稳定运行的能力，制定了业务持续性计划和灾难恢复计划，制定相应的安全策略、加强人员安全管理等。

但是信息系统没有绝对的安全，只有通过落实各项管理制度；提高网络安全技术队伍的水平；通过技术管理，制定合理的网络安全策略；采取有效的综合性防范措施,才能切实保障医院信息系统的安全、稳定、正常地运行，保障各项医疗业务的正常开展，体现信息化给患者就医带来的便捷服务，提高医院的医疗、管理、教学、科研水平，给医院带来巨大的综合效益。