亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)研究

        2021-10-12 07:58:26季靜靜何偉
        科學(xué)與信息化 2021年25期
        關(guān)鍵詞:級(jí)別控制點(diǎn)信息系統(tǒng)

        季靜靜 何偉

        江蘇君立華域安全測評(píng)有限公司 江蘇 南京 211100

        引言

        醫(yī)院對(duì)信息系統(tǒng)的信任度是隨著醫(yī)院信息結(jié)構(gòu)的發(fā)展而增加。但是,信息系統(tǒng)本身存在技術(shù)和管理安全性問題。因此,根據(jù)國家和行業(yè)制定的有關(guān)保護(hù)信息系統(tǒng)安全級(jí)別的相關(guān)輔助標(biāo)準(zhǔn),本文制定了一項(xiàng)評(píng)估和保護(hù)三級(jí)醫(yī)院信息系統(tǒng)的計(jì)劃。通過測試[1],對(duì)技術(shù)安全措施和信息系統(tǒng)安全管理進(jìn)行了單獨(dú)驗(yàn)證和綜合分析,發(fā)現(xiàn)現(xiàn)有信息系統(tǒng)安全保護(hù)與國家行業(yè)要求之間的差距,這是醫(yī)院計(jì)算機(jī)化建設(shè)的一步,為其提供了科學(xué)合理的依據(jù)[2]。

        隨著計(jì)算機(jī)化的發(fā)展,網(wǎng)絡(luò)和信息安全問題一直引起人們的關(guān)注,當(dāng)醫(yī)院的計(jì)算機(jī)化設(shè)計(jì)越來越深入時(shí),隨之而來的安全性設(shè)計(jì)也變得越來越重要。近年來,維護(hù)和保護(hù)國家和政府中的信息安全已成為各國領(lǐng)導(dǎo)人之間的共識(shí),并已提高到國家安全的戰(zhàn)略水平。本文主要介紹評(píng)估醫(yī)院信息安全的重要性,并與2014年的醫(yī)院進(jìn)行初步評(píng)估進(jìn)行比較[3]。在2016年,他將情況與保福評(píng)估進(jìn)行了比較,討論了醫(yī)院信息系統(tǒng)的運(yùn)行情況,其他保險(xiǎn)評(píng)估為醫(yī)療行業(yè)未來的信息安全提供了指南。

        在醫(yī)學(xué)的發(fā)展和建設(shè)中,保護(hù)醫(yī)院信息系統(tǒng)中信息安全水平的重要性變得越來越重要,但是由于中國缺乏技術(shù)支持和技術(shù)人員以及對(duì)安全水平保護(hù)的認(rèn)識(shí)不足,這項(xiàng)工作比國外開始晚了。幾年過去了,但是近年來,從政治和技術(shù)的角度來看,政府越來越重視醫(yī)院中信息技術(shù)的使用和信息安全[4]。

        同時(shí),安全信息管理人員的意識(shí)也在不斷提高。醫(yī)院有關(guān)部門嚴(yán)格遵守規(guī)范醫(yī)療行業(yè)信息安全的政策和規(guī)范[5],繼續(xù)從政治上實(shí)施信息保護(hù)政策,并根據(jù)發(fā)現(xiàn)的實(shí)際問題尋求解決方案。因此,有必要不斷保證和促進(jìn)醫(yī)療行業(yè)計(jì)算機(jī)化的順利進(jìn)行,與保護(hù)信息安全水平有關(guān)的綜合工作對(duì)于醫(yī)療行業(yè)的發(fā)展是必然的。他的工作也不斷詳細(xì),系統(tǒng),科學(xué)和技術(shù),所有工作都有特殊的信息安全保護(hù)。簡而言之,極為重要的是要保護(hù)醫(yī)學(xué)領(lǐng)域的信息安全水平。

        1 信息安全等級(jí)保護(hù)簡述以及測評(píng)流程

        1.1 信息安全等級(jí)保護(hù)簡述

        信息安全級(jí)別的保護(hù)基于信息的重要性級(jí)別[6],而信息安全級(jí)別的保護(hù)是根據(jù)信息重要性級(jí)別保護(hù)信息和信息載體的工作。其主要目的是集成,處理和保護(hù)某些私人和機(jī)密信息。信息通常是有關(guān)國家和重要公民的個(gè)人信息。信息安全保護(hù)包括對(duì)信息存儲(chǔ)和傳輸?shù)谋Wo(hù)。此外,根據(jù)文件中信息安全管理的各個(gè)級(jí)別,它還包括進(jìn)一步監(jiān)視信息存儲(chǔ)過程中的更改,以便在與信息安全有關(guān)的緊急情況下及時(shí)做出決定。它基于提供的基本信息安全性處理與安全性有關(guān)的事件,并實(shí)施長期信息保護(hù)以確保在信息安全級(jí)別上提供保護(hù)。當(dāng)前,由于因特網(wǎng)的迅速發(fā)展和普及,幾乎每個(gè)領(lǐng)域都通過網(wǎng)絡(luò)傳輸和存儲(chǔ)數(shù)據(jù)[7],因此,在信息安全的背景下,網(wǎng)絡(luò)中的信息泄漏正逐漸成為重要的問題。在這種情況下,信息安全級(jí)別的保護(hù)正逐漸引起各個(gè)領(lǐng)域的關(guān)注。作為此過程的一部分,與信息安全級(jí)別保護(hù)有關(guān)的工作也不斷地,系統(tǒng)地,科學(xué)地和技術(shù)上詳細(xì)地進(jìn)行,并且在每個(gè)領(lǐng)域中都進(jìn)行了與信息安全保護(hù)有關(guān)的特定工作。

        1.2 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)流程

        1.2.1 信息系統(tǒng)確定與定級(jí)。按照國家標(biāo)準(zhǔn)《關(guān)于保護(hù)全省衛(wèi)生和醫(yī)療行業(yè)重要信息系統(tǒng)信息安全水平的說明》和《信息系統(tǒng)保護(hù)水平分類指南》的現(xiàn)狀和發(fā)展需求,根據(jù)專家論證和合并原則,醫(yī)院計(jì)算機(jī)化大致分為系統(tǒng)管理、業(yè)務(wù)用戶、系統(tǒng)服務(wù)對(duì)象和操作環(huán)境等幾類,見表1。

        表1 醫(yī)院重要信息系統(tǒng)分類

        同時(shí),對(duì)安全系統(tǒng)的評(píng)估取決于兩個(gè)因素:一個(gè)是業(yè)務(wù)信息的安全級(jí)別,另一個(gè)是安全系統(tǒng)的服務(wù)級(jí)別。員工確定系統(tǒng)的分類級(jí)別,請(qǐng)參閱表2。例如,當(dāng)門戶系統(tǒng)的業(yè)務(wù)信息被破壞時(shí),違規(guī)的對(duì)象是公共秩序和公共利益。主要違法行為的客觀方面是:在網(wǎng)站上發(fā)布常規(guī)和當(dāng)前信息,惡意篡改信息統(tǒng)計(jì)信息,這阻止了公眾獲得有關(guān)醫(yī)院的準(zhǔn)確信息[8],從而降低了對(duì)醫(yī)院的信心并破壞了醫(yī)院的形象。結(jié)果級(jí)別顯示嚴(yán)重?fù)p壞,因此將該級(jí)別定義為第三級(jí)別。同時(shí),在站點(diǎn)系統(tǒng)服務(wù)被破壞后,違規(guī)的對(duì)象也是公共秩序和公共利益,違規(guī)的特別客觀方面是:部分中斷應(yīng)用程序維護(hù),完全癱瘓和其他違規(guī)行為。根據(jù)表2,第二級(jí)別可以將門戶網(wǎng)站系統(tǒng)的安全級(jí)別確定為第三級(jí)別,具體取決于哪個(gè)級(jí)別更高。

        表2 信息系統(tǒng)定級(jí)表

        1.2.2 信息系統(tǒng)備案。根據(jù)《關(guān)于記錄信息安全水平的規(guī)定實(shí)施細(xì)則》的要求,支持省衛(wèi)生計(jì)劃委員會(huì)和醫(yī)療機(jī)構(gòu)的信息系統(tǒng),聯(lián)合的省級(jí)網(wǎng)絡(luò)或遠(yuǎn)程網(wǎng)絡(luò)[9]支持信息系統(tǒng)的運(yùn)行。 省公安廳通過的醫(yī)院應(yīng)提供“信息系統(tǒng)安全”等信息級(jí)別注冊表之類的信息,以及省衛(wèi)生和計(jì)劃委員會(huì)醫(yī)療和醫(yī)療部門的注冊表摘要,以獲取電子文檔,評(píng)估工作的結(jié)果在本申請(qǐng)的結(jié)尾處進(jìn)行了標(biāo)記。

        1.2.3 信息系統(tǒng)安全建設(shè)和整改。在完成備案后,有必要開始建立合規(guī)性并更正信息系統(tǒng)。一旦滿足要求,就應(yīng)該進(jìn)行總體方案設(shè)計(jì)。遵循同等重視管理和技術(shù)的原則,實(shí)施信息安全責(zé)任制,建立和實(shí)施各種安全管理體系,按照“保護(hù)信息系統(tǒng)安全水平的基本要求”進(jìn)行系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)維管理和人員安全管理。

        1.2.4 信息系統(tǒng)測評(píng)。醫(yī)院的信息系統(tǒng)是根據(jù)平等保證的要求進(jìn)行構(gòu)建,更正和安裝的,自我評(píng)估符合相關(guān)標(biāo)準(zhǔn)。糾正和自我評(píng)估醫(yī)院的信息系統(tǒng),以滿足其他保證要求的相關(guān)標(biāo)準(zhǔn)之后,開始評(píng)估。

        1.2.5 流程小結(jié)。信息安全水平的保護(hù)體系是基于信息系統(tǒng)的重要性以及受損害后的相關(guān)設(shè)施的合法權(quán)利,社會(huì)秩序,公共利益和對(duì)國家安全的損害程度[10],將其從低到高分為5個(gè)級(jí)別。每個(gè)保護(hù)級(jí)別的信息系統(tǒng)必須滿足該級(jí)別的基本安全要求,并實(shí)施適當(dāng)?shù)陌踩胧?,以?shí)現(xiàn)針對(duì)各種安全威脅的適當(dāng)級(jí)別的安全保護(hù)功能。醫(yī)院信息系統(tǒng)基于這套程序以及相關(guān)的法律要求,準(zhǔn)則和其他安全評(píng)估準(zhǔn)則。在分類,通知,整改/施工安全和評(píng)估評(píng)估的不同階段[11],請(qǐng)參見圖紙以完成防護(hù)等級(jí)。信息系統(tǒng)的安全級(jí)別如圖1所示。

        圖1 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)流程圖

        2 信息系統(tǒng)信息安全等級(jí)保護(hù)的重要性以及等級(jí)保護(hù)測評(píng)結(jié)果

        2.1 信息系統(tǒng)信息安全等級(jí)保護(hù)的重要性

        上面簡要介紹了與保護(hù)信息安全級(jí)別有關(guān)的基本操作[12]。不同地區(qū)有自己的信息保護(hù)系統(tǒng),醫(yī)院也不例外。保護(hù)信息安全水平的工作對(duì)于確保醫(yī)院的信息安全至關(guān)重要。首先,醫(yī)院級(jí)的保護(hù)不僅是要確保醫(yī)院產(chǎn)品的安全,而且還要管理醫(yī)院信息的安全[13]和重要的工作內(nèi)容。

        它是保證醫(yī)院信息安全的重要手段,是保證醫(yī)院信息系統(tǒng)正常運(yùn)行的有效方法。首先,保護(hù)信息安全可以有效地保證私人信息的安全。其次,它可以有效地監(jiān)控信息傳遞過程中的風(fēng)險(xiǎn)因素,在管理信息時(shí)識(shí)別潛在的安全威脅,進(jìn)行更規(guī)范的施工監(jiān)督,并提高信息管理的有效性。可以說,分層保護(hù)是信息安全系統(tǒng)中最基本的管理方法。在信息時(shí)代,各種行業(yè)在系統(tǒng)管理中實(shí)現(xiàn)信息安全的分級(jí)保護(hù)中起著決定性的作用,這無疑在醫(yī)療行業(yè)中至關(guān)重要。

        醫(yī)療行業(yè)中的信息量巨大,并且存儲(chǔ)和傳輸信息的負(fù)擔(dān)也很大。如果沒有理想的信息管理策略,很容易在醫(yī)療信息中引起混亂甚至致命錯(cuò)誤,從而影響醫(yī)療決策的準(zhǔn)確性。

        因此,在發(fā)送醫(yī)療數(shù)據(jù)的過程中,保護(hù)信息安全水平可以有效防止醫(yī)院或患者泄漏私人信息,減少與網(wǎng)絡(luò)傳輸相關(guān)的隱患,確保有關(guān)醫(yī)院信息的安全性和機(jī)密性,并確保醫(yī)療信息系統(tǒng)的正常運(yùn)行。在保護(hù)信息安全的同時(shí)促進(jìn)醫(yī)院的計(jì)算機(jī)化還可以有效減少醫(yī)患之間的糾紛,并保護(hù)醫(yī)院的經(jīng)濟(jì)利益和聲譽(yù)。因此,醫(yī)院高度重視保護(hù)信息安全水平,具有重要的現(xiàn)實(shí)意義。

        2.2 醫(yī)院在信息系統(tǒng)安全建設(shè)中存在的問題

        2.2.1 信息安全保障資金投入不足。各級(jí)醫(yī)院在整體信息安全方面沒有足夠的投資,這可能是由于以下事實(shí):醫(yī)院通常對(duì)基本的臨床診斷和治療活動(dòng)過于關(guān)注,并且對(duì)計(jì)算機(jī)化缺乏了解,因此忽略了在這一領(lǐng)域的投資。

        2.2.2 信息安全保護(hù)尚處于建設(shè)初期,應(yīng)急演練的比例較低。研究發(fā)現(xiàn),實(shí)施二級(jí)保護(hù),明確信息安全級(jí)別,制定完善的緊急計(jì)劃和進(jìn)行搶救演習(xí)的醫(yī)院的比例相對(duì)較低,特別是在中型醫(yī)院中。 這表明該地區(qū)沒有醫(yī)院管理部門,保護(hù)信息安全級(jí)別的工作仍處于建設(shè)初期,要建立信息安全級(jí)別還需要做大量工作。

        2.2.3 沒有全職員工,并且經(jīng)常發(fā)生信息安全事件。大多數(shù)醫(yī)院都感染了病毒,蠕蟲,特洛伊木馬和其他網(wǎng)絡(luò)安全事件。根據(jù)“保護(hù)信息系統(tǒng)安全級(jí)別的基本要求”,應(yīng)該在“安全管理員”的“三個(gè)成員”下創(chuàng)建在信息安全級(jí)別提供保護(hù)的單元,必須在計(jì)算機(jī)安全環(huán)境和預(yù)防安全事件的措施,例如邊界安全,入侵防護(hù)和惡意代碼防護(hù)領(lǐng)域的安全審核。但是,研究數(shù)據(jù)表明,處于“三級(jí)”位置的各級(jí)醫(yī)院所占的比例要低得多,并且經(jīng)常發(fā)生信息安全事件。在未來的發(fā)展中,我們必須繼續(xù)培訓(xùn)或引進(jìn)合適的專家,并采取有效措施減少信息安全事件的發(fā)生。

        2.3 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)評(píng)估

        2.3.1 評(píng)估的主要方法包括訪談、考試。訪談的主要內(nèi)容是“安全管理”類型的管理組織,安全管理系統(tǒng),人員安全管理,系統(tǒng)建設(shè)管理,運(yùn)營管理和維護(hù)系統(tǒng)和其他管理系統(tǒng)。通過詳細(xì)閱讀各種管理系統(tǒng)并與安全主管一起,其中包括人員負(fù)責(zé)人、系統(tǒng)負(fù)責(zé)人、財(cái)產(chǎn)管理員、操作和維護(hù)管理員等,并一起討論描述和實(shí)施各種系統(tǒng)的問題。

        訪談的寬度反映在人們交談的方式上,訪談的深度反映在他們討論和研究管理系統(tǒng)問題的方式上。

        ITestTest是對(duì)所有評(píng)估指標(biāo)的功能級(jí)別、機(jī)制和操作文檔進(jìn)行的詳盡而全面的分析,進(jìn)而觀察和研究。根據(jù)獲得的數(shù)據(jù),證明當(dāng)前的安全機(jī)制,系統(tǒng)配置和實(shí)現(xiàn),以及是否經(jīng)過測試可以滿足要求。

        檢查所有測試內(nèi)容的評(píng)估指標(biāo)。對(duì)功能級(jí)別文件,機(jī)制和操作檢查方法的評(píng)估級(jí)別進(jìn)行詳細(xì)、徹底的分析,觀察和研究,以反映檢查內(nèi)容的深度。測試是在通過手動(dòng)測試,工具掃描和模擬攻擊進(jìn)行測試,測試網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)的功能,研究其安全性和其他方面。

        手動(dòng)測試方法,工具掃描和模擬攻擊反映了測試的深度。對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)的功能,安全性和其他方面的進(jìn)行測試,其可以反映各種各樣的測試結(jié)果。

        2.3.2 風(fēng)險(xiǎn)分析方法?;诎踩录目赡苄院桶踩录暮蠊?,評(píng)估和分析信息系統(tǒng)面臨的風(fēng)險(xiǎn)。其分析過程包括:當(dāng)醫(yī)院信息系統(tǒng)缺乏安全保護(hù)或者受到威脅時(shí),將使用安全事件的可能性以及可能的程度高、中和低,評(píng)估業(yè)務(wù)信息安全系統(tǒng)和系統(tǒng)服務(wù)安全的效率水平,影響值范圍從高、中到低。

        將以上的結(jié)果進(jìn)行綜合,以匯總和排序信息系統(tǒng)面臨的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)級(jí)別范圍為高,中和低。結(jié)合信息系統(tǒng)的安全保護(hù)級(jí)別,評(píng)估風(fēng)險(xiǎn)分析的結(jié)果,即國家安全、社會(huì)秩序、公共利益和適當(dāng)權(quán)益的風(fēng)險(xiǎn)公民、法人和其他組織的法律。

        該信息系統(tǒng)被評(píng)為三級(jí)信息系統(tǒng)。根據(jù)三級(jí)信息系統(tǒng)的評(píng)估強(qiáng)度要求,在測試中,必須基本涵蓋所有安全機(jī)制,并且可以獲取樣本的數(shù)量和范圍。在測試的深度中,樣品應(yīng)進(jìn)行功能測試和滲透測試。功能測試可能涉及諸如機(jī)構(gòu)功能規(guī)格,高級(jí)設(shè)計(jì)和操作程序之類的文件。滲透測試可能涉及該機(jī)制的所有可用文檔,并試圖滲入信息系統(tǒng)等。因此,要對(duì)其進(jìn)行評(píng)估,需要許多測試工具,例如漏洞掃描工具和滲透測試工具:Nessus是全球上用于掃描和分析系統(tǒng)漏洞的最佳集成的軟件。

        綠盟科技遠(yuǎn)程安全評(píng)估系統(tǒng),可以實(shí)現(xiàn)漏洞預(yù)警,漏洞檢測,風(fēng)險(xiǎn)管理,漏洞修復(fù),漏洞檢查等功能。綠盟科技的安全組織綠盟科技到目前為止已獨(dú)立發(fā)現(xiàn)了關(guān)于制造商的缺陷,綠盟科技擁有關(guān)于中國漏洞的最大知識(shí)庫。

        如上所述,醫(yī)院系統(tǒng)按照其組成可以劃分為“基本支持系統(tǒng)”、“面向患者的服務(wù)系統(tǒng)”、“門戶網(wǎng)站”以及“合作辦公室系統(tǒng)”等四個(gè)子系統(tǒng),以《信息系統(tǒng)安全防護(hù)等級(jí)分類指南》為測評(píng)依據(jù), 在2014年的首次保修評(píng)估的過程中把“基本支持系統(tǒng)”和“面向患者的服務(wù)系統(tǒng)”定義為第三等級(jí)的網(wǎng)站系統(tǒng),另外“協(xié)作辦公系統(tǒng)”等級(jí)定義為第二等級(jí)。經(jīng)過兩年多時(shí)間在公共業(yè)務(wù)信息上的糾正和擴(kuò)展,2016年重新對(duì)其進(jìn)行安全評(píng)估時(shí),此時(shí)醫(yī)院在原有的基礎(chǔ)之上產(chǎn)生了兩套輔助系統(tǒng),其分別是“門戶系統(tǒng)”與“協(xié)作辦公系統(tǒng)”,以實(shí)現(xiàn)平等保護(hù)以及提升安全為分析宗旨,根據(jù)保護(hù)的強(qiáng)度和要求進(jìn)行分析論述。

        2014年相關(guān)評(píng)價(jià)我們是基于系統(tǒng)分類的基礎(chǔ),那是測評(píng)時(shí)采用的系統(tǒng)有“基本支持系統(tǒng)”和“患者護(hù)理系統(tǒng)”這兩套系統(tǒng)都屬于三級(jí)系統(tǒng),三級(jí)系統(tǒng)的主要特征有“ GB / T22239-2008信息技術(shù)、安全技術(shù)、安全級(jí)別、安全系統(tǒng)、基本要求”,標(biāo)準(zhǔn)S3A3G3(總共76個(gè)控制點(diǎn)),此次測評(píng)時(shí)用作支持系統(tǒng)的有門戶系統(tǒng)和聯(lián)合辦公室系統(tǒng),該系統(tǒng)的特征是“GB / T 22239-2008。信息安全技術(shù)、系統(tǒng)安全技術(shù)、基本安全級(jí)別要求”,該支持系統(tǒng)作為評(píng)估系統(tǒng)的基礎(chǔ),其按照標(biāo)準(zhǔn)S2A2G2前后反復(fù)進(jìn)行了69次檢查,事實(shí)是安全管理系統(tǒng)與第三級(jí)基本支持系統(tǒng)S3A3G3一起使用,并且選擇了標(biāo)準(zhǔn)S3A3G3作為根據(jù)高原則評(píng)估系統(tǒng)的基礎(chǔ)(總共74個(gè)控制點(diǎn))。實(shí)際上,我們基于“基本支持系統(tǒng)”和“ Zori”。 “患者護(hù)理系統(tǒng)”用作評(píng)估系統(tǒng)級(jí)別的指標(biāo)(其他控制點(diǎn)不適用)。其中,同意“基本支持系統(tǒng)”的34個(gè)控制點(diǎn),部分合格的20個(gè)控制點(diǎn),不合格的3個(gè)控制點(diǎn),“以患者為中心的服務(wù)體系”:合格的34個(gè)控制點(diǎn),部分合格的29個(gè)控制點(diǎn),合格的5個(gè)控制點(diǎn)。不相容。同樣,我們選擇了“辦公室系統(tǒng)”,將59個(gè)控制點(diǎn)和74個(gè)控制點(diǎn)用作評(píng)估系統(tǒng)級(jí)別的指標(biāo)(不應(yīng)用其他控制點(diǎn))。其中,“門戶”對(duì)應(yīng)于39個(gè)控制點(diǎn),部分對(duì)應(yīng)于兩個(gè)檢查的“控制點(diǎn)”和“不一致”。一個(gè)點(diǎn),“合作辦公系統(tǒng)”對(duì)應(yīng)于41個(gè)控制點(diǎn),部分對(duì)應(yīng)于28個(gè)控制點(diǎn),而不對(duì)應(yīng)于5個(gè)控制點(diǎn)。通過分析評(píng)估結(jié)果,這四個(gè)系統(tǒng)的評(píng)估結(jié)論“基本一致”。

        2016年主要是整體測評(píng)兩年的建設(shè)和整頓,這四個(gè)系統(tǒng)在2016年均被評(píng)為三個(gè)。測評(píng)時(shí)我們根據(jù)4個(gè)系統(tǒng)的分類,針對(duì)安全系統(tǒng)的安全級(jí)別(總共76個(gè)控制點(diǎn))采用標(biāo)準(zhǔn)S3A2G3“信息安全技術(shù)的基本要求GB / T 22239-2008”作為評(píng)估所有系統(tǒng)的基礎(chǔ)。在評(píng)估了基本支持系統(tǒng)的39個(gè)控制點(diǎn)后,他們被合格,16個(gè)控制點(diǎn)被部分合格,2個(gè)控制點(diǎn)不合格?!跋到y(tǒng)” 35個(gè)遵從性控制點(diǎn),29個(gè)局部控制點(diǎn),4個(gè)失配點(diǎn),“ 門戶系統(tǒng)” 39個(gè)遵從性控制點(diǎn),21個(gè)局部遵從性控制點(diǎn),如果不遵守9個(gè)控制點(diǎn),則“聯(lián)合辦公系統(tǒng)”具有40個(gè)遵從性控制點(diǎn), 28個(gè)控制點(diǎn)(部分合規(guī))和8個(gè)控制點(diǎn)(不合規(guī))。分析重估結(jié)果后,在系統(tǒng)級(jí)別執(zhí)行的四組重估結(jié)果“基本一致”。

        兩次測評(píng)對(duì)比評(píng)價(jià)與分析:在2014年評(píng)估的初始階段,發(fā)現(xiàn)醫(yī)院的信息系統(tǒng)中存在許多安全問題,這也普遍缺乏對(duì)醫(yī)療單位的保護(hù),例如:從物理安全的角度來看,內(nèi)部和外部網(wǎng)絡(luò)之間沒有物理隔離設(shè)備,并且沒有提供媒體存儲(chǔ)介質(zhì);在網(wǎng)絡(luò)端,基本設(shè)備和聚合設(shè)備均未打開以進(jìn)行訪問控制:為了實(shí)現(xiàn)主機(jī)安全性,未打開密碼復(fù)雜性,未設(shè)置用于限制登錄失敗的規(guī)則,未設(shè)置系統(tǒng)超時(shí),并且在應(yīng)用程序安全方面未設(shè)置審核內(nèi)容。從性別上講,沒有兩步驗(yàn)證,這是最無效的。同時(shí)連接的數(shù)量和同時(shí)連接的數(shù)量受到限制,既沒有遠(yuǎn)程備份功能,也沒有使用加密技術(shù)來確保數(shù)據(jù)交換期間的數(shù)據(jù)完整性和機(jī)密性。使用預(yù)期的評(píng)估報(bào)告,評(píng)估報(bào)告和評(píng)估報(bào)告可以得出結(jié)論,醫(yī)院有理由采取相對(duì)安全的策略。經(jīng)過兩年的系統(tǒng)維護(hù)和建設(shè),包括與醫(yī)院信息安全相關(guān)的技術(shù)和產(chǎn)品的研究與創(chuàng)新,以及安全策略的添加和調(diào)整,在2016年進(jìn)行評(píng)估和更新后,我們發(fā)現(xiàn)了“基本系統(tǒng)”的組合。支持的控制點(diǎn)和面向患者的系統(tǒng)的數(shù)量已大大增加,違規(guī)點(diǎn)的數(shù)量已減少。同樣,由于門戶網(wǎng)站門戶和聯(lián)合辦公室系統(tǒng)的級(jí)別更改,要求得到了顯著改善,但是合并的控制點(diǎn)和部分通信元素仍然保持較高的成本,并且初始成本沒有減少。估計(jì)和比較??梢钥闯觯踩图m正策略的效果是顯著的。

        2.4 醫(yī)院信息化安全建設(shè)的建議

        2.4.1 合理規(guī)劃,增加對(duì)信息安全工具的投資。為了保證醫(yī)院信息安全的有效發(fā)展,各級(jí)醫(yī)院必須設(shè)立專項(xiàng)資金以保證信息安全。增加資金以通過各種渠道(例如,高級(jí)財(cái)務(wù)部門的支持和醫(yī)院的自營職業(yè))來確保信息安全。同時(shí),應(yīng)為建筑物制定合理的信息安全計(jì)劃,并應(yīng)為建筑物制定實(shí)用的信息安全計(jì)劃以確保專項(xiàng)資金的分配。根據(jù)施工方案,制定適當(dāng)?shù)耐顿Y策略,合理調(diào)整投資結(jié)構(gòu),注意合理分配設(shè)備,人員建設(shè)費(fèi)用,咨詢培訓(xùn)。

        2.4.2 履行信息安全責(zé)任,提高信息安全意識(shí)各級(jí)醫(yī)院必須嚴(yán)格按照“醫(yī)療行業(yè)信息安全學(xué)位保護(hù)指南”和“新聞發(fā)布須知”嚴(yán)格履行信息安全義務(wù)。“誰負(fù)責(zé),誰負(fù)責(zé),誰負(fù)責(zé)運(yùn)營和誰負(fù)責(zé)”的要求增強(qiáng)了對(duì)信息安全的責(zé)任感。指派專人負(fù)責(zé)信息安全管理,創(chuàng)建專人信息安全機(jī)構(gòu),并解釋各部門和信息安全部門的職責(zé)。加強(qiáng)設(shè)備和人員的設(shè)計(jì),保障信息安全水平,醫(yī)院有關(guān)部門和工作人員應(yīng)當(dāng)指導(dǎo)單位的全體人員更好地了解信息安全,提高信息安全領(lǐng)域的普遍意識(shí)。

        2.4.3 定期執(zhí)行緊急演習(xí)以加強(qiáng)信息安全措施。 醫(yī)院應(yīng)建立完整的信息安全體系和應(yīng)急預(yù)案,并對(duì)相關(guān)人員進(jìn)行針對(duì)性的培訓(xùn),定期進(jìn)行搶救演習(xí),總結(jié)演習(xí)中出現(xiàn)的問題,并及時(shí)進(jìn)行改進(jìn)。 并根據(jù)IT系統(tǒng)的實(shí)際情況,劃分安全區(qū)域,實(shí)施特殊的安全產(chǎn)品,并在相關(guān)的安全區(qū)域中配置安全策略,加強(qiáng)信息安全措施,最大限度地減少信息安全事件的發(fā)生。

        2.4.4 加強(qiáng)信息安全管理,不斷改進(jìn)人才團(tuán)隊(duì)的設(shè)計(jì)。在醫(yī)療保健領(lǐng)域,創(chuàng)建信息安全系統(tǒng)有兩個(gè)重要的概念,即:技術(shù)手段和產(chǎn)品是必要和重要的,但是管理更重要,網(wǎng)絡(luò)安全是面向人才的。無論是技術(shù)還是管理,我們都需要專業(yè)人才,因此我們需要不斷提高團(tuán)隊(duì)中的人才水平,積極引進(jìn)或培訓(xùn)信息安全專家,并定期派遣信息安全專家來教授業(yè)務(wù)知識(shí)。

        2.5 醫(yī)院信息系統(tǒng)信息安全等級(jí)保護(hù)的改善措施

        從當(dāng)前與醫(yī)院信息系統(tǒng)中信息安全級(jí)別保護(hù)有關(guān)的工作效率來看,在管理員意識(shí),管理員技術(shù)和政府管理政策方面,對(duì)安全級(jí)別的保護(hù)已大大提高。因此,根據(jù)醫(yī)院信息系統(tǒng)中保護(hù)信息安全水平的現(xiàn)狀,有必要討論提高對(duì)信息系統(tǒng)中信息安全水平的保護(hù)措施。

        3 結(jié)束語

        醫(yī)院的計(jì)算機(jī)化領(lǐng)域發(fā)展迅速,信息技術(shù)極大地幫助了臨床醫(yī)院的實(shí)踐,但也帶來了許多難以克服的缺點(diǎn)。當(dāng)今互聯(lián)網(wǎng)的快速發(fā)展,特別是隨著智能移動(dòng)終端的普及和社交媒體的發(fā)展,導(dǎo)致內(nèi)部和外部網(wǎng)絡(luò)之間的數(shù)據(jù)連接問題,信息爆炸了,用戶越來越依賴互聯(lián)網(wǎng)。與移動(dòng)互聯(lián)網(wǎng)緊密集成,同時(shí)更多地參與網(wǎng)絡(luò)信息,從而減少了個(gè)人數(shù)據(jù)的隱私低,增加泄漏的風(fēng)險(xiǎn),并很容易導(dǎo)致嚴(yán)重的社會(huì)事件。諸如醫(yī)院急診系統(tǒng)之類的醫(yī)院安全評(píng)估系統(tǒng)提供了具有標(biāo)準(zhǔn)化參考值的良好基礎(chǔ),從而使醫(yī)院安全設(shè)計(jì)具有更好的控制標(biāo)準(zhǔn)??梢詫?duì)其進(jìn)行評(píng)估,組裝、糾正/建造、評(píng)估/重新評(píng)估,這種循序漸進(jìn)的轉(zhuǎn)變加強(qiáng)了醫(yī)院的安全邊界,并且安全策略更加可靠。當(dāng)然,并非每個(gè)具有相同保證的評(píng)估檢查點(diǎn)都與醫(yī)院管理過程兼容,因此醫(yī)院還必須進(jìn)行實(shí)際的安全性轉(zhuǎn)換,以區(qū)分管理,不斷增加網(wǎng)絡(luò)邊界的安全性并改進(jìn)過程策略。提高您的管理水平。

        因此,創(chuàng)建醫(yī)院信息系統(tǒng)不僅需要管理員的意識(shí),管理員在技術(shù)和公共管理政策領(lǐng)域的努力,而且還需要不斷總結(jié)實(shí)踐經(jīng)驗(yàn)以實(shí)現(xiàn)進(jìn)一步的改進(jìn)。當(dāng)不斷引入醫(yī)療行業(yè)對(duì)信息安全的要求并不斷引入醫(yī)療活動(dòng)中的風(fēng)險(xiǎn)管理系統(tǒng)時(shí),在大數(shù)據(jù)陣列時(shí)代,技術(shù)不斷滲透信息結(jié)構(gòu),因此醫(yī)院必須保持最新狀態(tài)并與全國各地同步。這是同時(shí)規(guī)劃和制定安全計(jì)劃的計(jì)劃,以建設(shè),重建和擴(kuò)展信息系統(tǒng),引入確保信息安全的集成機(jī)制,促進(jìn)我們自己的安全系統(tǒng)的創(chuàng)建和中國醫(yī)療行業(yè)的健康發(fā)展。遵守保護(hù)信息安全水平,進(jìn)一步改善信息系統(tǒng)和安全措施以及確保醫(yī)院信息安全的原則是醫(yī)療行業(yè)信息安全保護(hù)發(fā)展的主要領(lǐng)域。

        猜你喜歡
        級(jí)別控制點(diǎn)信息系統(tǒng)
        企業(yè)信息系統(tǒng)安全防護(hù)
        哈爾濱軸承(2022年1期)2022-05-23 13:13:18
        痘痘分級(jí)別,輕重不一樣
        基于區(qū)塊鏈的通航維護(hù)信息系統(tǒng)研究
        電子制作(2018年11期)2018-08-04 03:25:54
        邁向UHD HDR的“水晶” 十萬元級(jí)別的SIM2 CRYSTAL4 UHD
        新年導(dǎo)購手冊之兩萬元以下級(jí)別好物推薦
        信息系統(tǒng)審計(jì)中計(jì)算機(jī)審計(jì)的應(yīng)用
        NFFD控制點(diǎn)分布對(duì)氣動(dòng)外形優(yōu)化的影響
        你是什么級(jí)別的
        基于風(fēng)險(xiǎn)管理下的項(xiàng)目建設(shè)內(nèi)部控制點(diǎn)思考
        基于SG-I6000的信息系統(tǒng)運(yùn)檢自動(dòng)化診斷實(shí)踐
        亚洲中文无码久久精品1| 伊人久久大香线蕉午夜av| 亚洲av成人精品日韩在线播放| 国产999精品久久久久久| 国产成人久久精品激情91| 日本在线一区二区免费| 国产一区二区三区久久精品| 精品一区二区三区免费播放| 国产人澡人澡澡澡人碰视频| 日本一道高清在线一区二区| 精品国产亚洲亚洲国产| 五十路丰满中年熟女中出| 国产午夜亚洲精品理论片不卡| 国产精品成人久久a级片| 国产精品黄色片在线看| 亚洲综合无码无在线观看| 99久久久无码国产精品动漫| 人妻少妇中文字幕专区| 帅小伙自慰videogay男男| 国产又黄又猛又粗又爽的a片动漫| 黄 色 成 年 人 网 站免费| 91九色播放在线观看| 美丽人妻在夫前被黑人| 欧美激情二区| 成人短篇在线视频夫妻刺激自拍| 国产自拍视频免费在线| 国产精品久久久久久影视 | 极品人妻被黑人中出种子| 精品人妻人人做人人爽| 久久久精品免费国产四虎| 深夜黄色刺激影片在线免费观看 | 内射囯产旡码丰满少妇| 久久精品国产精品亚洲婷婷| 特级国产一区二区三区| 好吊妞无缓冲视频观看| 伊人网综合在线视频| 中文字幕一区二区三区四区久久| 黑人巨大精品欧美| 亚洲熟妇丰满大屁股熟妇| 538在线视频| 日韩亚洲精品国产第二页|