第七章 信息安全
第四十八条 遵循信息安全等级保护要求,从技术和管理两方面构建医院信息平台的综合防御机制,保证中医医院信息系统的稳定运行以及业务数据的安全可靠。
第四十九条 建立健全信息安全管理组织、规章制度、岗位职责以及检查审核和风险评估机制,制订完备的系统恢复及应急预案,完善信息安全技术措施,保障中医医院信息系统安全、平稳和高效的运行。
第五十条 中医医院信息安全管理组织应由医院主要领导及相关职能部门负责人组成。主要职责:
1.制定统一的安全策略和信息系统安全管理制度;
2.审核、发布和实施信息系统安全保护和安全防范技术方案;
3.组织信息系统安全教育及技术培训;
4.开展信息系统安全自查,发现问题,及时整改;
5.组织信息系统安全防范、应急演练。
第五十一条 中医医院信息系统安全管理执行《信息安全等级保护管理办法》等规定,开展定级备案工作。中医医院信息系统安全按照等级保护第二级要求进行安全建设。根据中医医院服务受众的多少和对应用系统依赖的程度,重要信息系统推荐参照等级保护第三级要求进行安全建设。
第五十二条 中医医院信息安全技术管理主要包括身份认证、访问控制与授权、数据备份与灾备系统、安全分域及边界防护、防病毒系统、入侵检测、漏洞扫描、补丁管理、邮件安全网关、远程接入、网络审计等,应建立与之相配套的管理制度。基本要求:
1.身份认证管理:计算机入网运行应经备案批准,重要主机的用户名、开机口令、应用口令和数据库口令实施重点管理,严格控制设备存取及加密;
2.访问控制与授权管理:根据网络主机不同的安全级别采取相应的访问控制、数据保护、监控管理和系统安全等技术措施,定期对网上用户的访问及授权情况进行检查,不得超过授权设置权限;
3.备份与恢复管理:建立备份和恢复的管理制度和操作规程,定期对备份和恢复策略进行测试,制定系统恢复的预案并定期演练;
4.边界安全的防护管理:根据安全区域划分情况明确安全防护边界,实施有效的访问控制策略和机制,应在网络系统或安全域边界的关键点采用严格的安全防护机制;
5.病毒防护管理:部署有效的网络病毒防范软硬件系统、入侵检测系统,制定相应的病毒防范管理办法、计算机病毒和恶意代码防护策略以及规章制度,实施对计算机网络病毒和安全事件的监控和有效防范;
6.远程接入管理:在有效部署防火墙、入侵检测和防病毒系统的基础上实施远程接入,使用公用网络应采取安全措施,内网业务与外网业务应进行隔离,涉密计算机禁止与非涉密网络联接;
7.数据安全管理:制定保密防范措施,重要数据、软件的修改应留有操作痕迹,并具有恢复功能。严格审查数据的输入、处理、存储、输出;重要数据须加密存储,对存储介质的文件和数据,应有软件保护措施;
8.网络审计管理:部署有效的网络安全审计系统,制定相应的安全审计策略及规章制度,对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
第五十三条 保护信息系统医疗信息和患者隐私,不得利用医疗信息从事商业活动或其他与治疗无关的活动,不得私自复制、下载、传播和泄漏患者信息。
第五十四条 医院信息系统突发事件管理的基本要求:
1.信息系统突发事件应对原则:统一领导、分级控制、预防为主、健全制度、快速响应、有效配合;
2.建立突发事件应对体系,包括组织机构、工作职责、应急预案、通讯系统以及必要的物资储备;
3.应急预案应采用手工、半手工、备用系统等多种可使业务持续运行的手段,对关键业务的处理流程制定应急操作步骤,制定定期应急预案演练计划,并按照计划实施演练;
4.建立信息系统预警等级制度,发生信息系统突发事件,应立即上报和确定等级,启动相应应急预案;
5.应对信息系统突发事件的宣传和技术培训,保证应急预案的有效实施,不断提高信息系统的应急能力。
第五十五条 信息系统审计是对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程。应建立审计制度,配备经验丰富的高级技术人员为专职或者兼职审计人员,在系统设计、实施、运行阶段应有审计人员参加,审计工作应长期进行。
第五十六条 信息系统风险评估的基本要求:定期对信息系统进行风险分析,包括硬件资源的破坏与丢失、数据与程序文件的破坏与丢失、对实现系统功能的不利影响和对系统资源的非法使用等;针对风险分析结果制定相应的预防措施;保密分析过程与结果,避免非法利用系统弱点。