医院网络安全培训范文
时间:2023-06-08 17:39:10
导语:如何才能写好一篇医院网络安全培训,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
网络信息的安全关系到国家的安全和以及社会稳定等重要问题,并且随着全球信息化步伐的加速发展而越来越重要。而医院的网络安全又是一个比较特殊的而且应该引起极大重视的事,新的医改方案的出台,提出要建立一个资源共享的医疗卫生信息系统用以推进信息化建设,重点在于医院的管理和电子病历上,这意味着医院的信息系统将会是一个高科技和高风险并存的系统,它将承载着更多的医疗管理业务,而网络信息系统本身的脆弱性和复杂性,使得网络信息系统所要面临的威胁也越大。因此,医院的网络系统安全问题也会变得越来越重要和充满着挑战性。
一、医院的网络安全系统与重要性
医院的网络安全系统包括操作系统的安全和医保及互联网的安全,。随着技术的发展,互联网已大量普及,使得网络安全成为了需要重点考虑的问题,这也是现在医院当务之急最应该做的事,医院网络安全的重要性体现在:
1、医院患者数据的特殊性
医院的病案管理数据就好像是一个及其重要的医学文献,它的每个数据都是医院所最宝贵的财富,一旦弄丢或者出现差错,将带来无法预计的损失,因为每个病人的疾病发生症状、演变还有每次医务人员的诊断和治疗过程都被完整的记录了下来,这是医学现代化的一个发展和应用,而且也直观的可以将医务人员的素质以及现代医疗的技术水平呈现出来。而医院本身的数据又非常庞大和复杂,以前数据这些都需要有专业的人员深入到科室去对各种病案进行收集分类和整理,工作量非常的大而且又容易出现误差,因如果借助医院的网络手段就可以进行现代化的管理,使得病案的存储和处理变得更加的便捷和精确,这样的话将会大大的提高医院的工作效率。所以医院的网络安全问题就显得尤其的重要。
2、网络安全犯罪事件越来越多
现在信息技术发展的飞快,掌握网络犯罪技术的人员也越来越多,网络安全系统的漏洞不断被检测出来,一旦医院的网络系统出现故障,不仅会影响到医院日常工作的进行,也会给医院带来非常不利的影响。同时医院数据的庞大,也对医院网络的数据处理能力提出了更高的要求,所以建立健全一个完善的的医院网络系统是非常迫切同时也非常重要的事!
二、网络安全中存在的问题分析
1、网络协议存在安全隐患
TCP/IP协议中容易遭受到IP的劫持和Smuff攻击等风险,劫持者利用序列号预测,而在连接中植入自己的数据,Smuff攻击则假冒受害者主机的IP地址,引起受害主机的崩溃。而FrP协议的口令设置会方便入侵者盗取口令并传播木马等病毒,用以窃取用户的数据,@DDNS提供解析域名等服务,很容易遭受到假冒域名的攻击, 路由协议缺陷使得入侵者可以伪造ARP包不,不停地更改序列号,冒充主机,然后就可以监听主机的数据包,影响整个网络系统的运行稳定。
2、来自病毒的频繁攻击事件
网络病毒肆掠,黑客的频繁攻击,所造成的危害越来越严重,给医院的正常运行带来重重阻碍,大多数的网络安全事件都是由于用户终端的脆弱造成,在医院网络中,系统漏洞和杀毒软件的落后的现场非常常见,而医院的网络处于互联网中,难免会遇到各种的病毒攻击,这些病毒可能会是医院的系统崩塌,并感染其他的电脑,安全威胁将会快速的扩展到更广的范围里。所以医院急需解决的是要保证用户终端的健康安全使用,同、同时须完善自身的病毒防御系统。
3、安全制度存在漏洞,安全策略不完善
鉴于医院信息的特殊性,对医院信息安全系统的建设将会是一个非常复杂的工程。一些医院没有建立完善的网络安全机制,也没有采取和调整相应的网络安全策略,而仅仅是注重于采购各种网络安全产品,没有给自己制定相关的中、长期规划,这样的话,医院的信息安全产品其实没有起到应有的作用。
4、人员的操作失误
操作人员的安全意识薄弱,不了解网络安全所应承担的责任,自身的操作技术不过关,又无法应付网络安全的突发事件,这样可能会带来引入危害程序,泄漏网络信息,造成网络的崩塌等安全隐患。所以非常需要加强对操作人员的安全意识和技术培训。
三、相关的建议和解决措施
1、完善网络安全策略
根据医院的具体情况制定一套自上而下的完整的安全策略,同时对网络进行实时的安全监控,确保可以及时的了解到医院的网络安全状况,提前发现网络中入侵动作,并且运用防火墙来进行阻止,这样医院就可以随时了解到网络中存在的缺陷,在发生损失之前就采取必要的安全措施,提高自身的安全防御水平。
2、借助先进的网络安全技术
(1)在外网同内网之间设置好防火墙,利用防火墙来对进出网络的数据进行监控和过滤,达到控制和阻断存在安全隐患的进出网络访问行为,对于应当禁止的业务要及时进行封锁,并把防火墙的工作信息和内容详细的记录下来,以此来提前监测和预警可能要进行的网络攻击,防火墙的种类有过滤型、检测型和型等,在实际运用中,要根据不同的情况以便安装不同的防火墙。
(2)根据不同的安全需求来划分和隔离出不同的安全域,可利用控制访问和权限等机制、来达到对不同的访问者访问网络和设备时的控制,防止内部访问者在无权访问的区域进行访问和采取错误的操作。通常将网络安全级别划分为关键的服务区域和外部接入的服务区域,我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部并且要安全的隔离这两大区域之间,针对关键的服务器区域内部, 也需要按不同的安全级别而进行不同的安全隔离,划分并隔离不同安全域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。
(3)要定期更新升级防病毒的工具,并且要经常对网络进行安全扫描,以防范病毒和带有安全隐患的入侵,注意加强系统薄弱的地方,及时检查漏洞并修补漏洞。除了平常的防毒工作站外,消除病毒的关键还在于email防毒和网关式防毒。平时还需要经常使用扫描器主动扫描,及时发现网络的安全隐患并进行修补,以防黑客攻击。
(4)要采取先进的加密和认证技术,通过加密,可以使要传输的信息得到很好的保密,这是一个非常常见但是效果又很明显的技术,主要是在文件传输和桌面的安全防御中得到广泛的应用。
(5)要对数据经常进行备份,医院信息系统的核心是数据库,它关系着患者的治疗资料和隐私,数据库的安全要保证数据的正常的存储与应用,而且要对对数据库的破获和攻击采取防御措施,所以数据的重要性对于医院来说是不言而喻的。即使没有病毒与网络攻击,自己自身的错误操作或者系统的断电及其他的一些意外,都会导致数据的不可挽回的丢失,所以我们必须要有制定一套完整的保护方案和应急手段才行,而备份是一种最常用的最基本的系统安全维护手段,利用数据的备份和恢复功能,有些数据甚至能异地存储备份,这样可以避免严重的事故发生。
3、健全风险的评测体制,增强医院的安全管理体制
可以长期与专业的安全服务公司进行合作,以便建立一套完整的风险评估机制,在部门之间加强信息的沟通与资源的共享,采用其先进的风险评估技术,同时结自身网络系统安全实际的实际情况,去不断发现信息系统中所存在的安全隐患,然后寻求有效的补救方法。同时也要安排专门的人员对硬件设备和系统进行维护和优化。可以设立完善的安全管理机构,由专门的网络安全的小组的领导组成,落实职责。加强网络安全队伍建设,保证医院的信息系统可以正常运行。在执行安全策略时需要采取制度化管理,规范各个业务系统的操作和数据库管理员的工作等,而对于不同敏感类型的信息要依据相关的管理制度和方法来管理。
4、建立应急预案,定期进行演练
在医院网络系统的运行过程中,难免会会出现各类的故障,为了确保医院的安全系统可以正常运行,应当建立应急预案,使得医院在突发事件中提高系统的处理的能力,是不利的影响和损失能够降到最低,制定应急预案,所以首先,从医院的实际业务特点出发,来进行不同规模的应急演练,同时应当注意对不同的故障制定不同的应急预案,并设立专门的领导小组作为保证,而启动应急预案会给医院的正常工作很大挑战,因为需要调动大量的人力和物力所以对于应急预案启动的条件要严格控制。在应急预案建立好后,还需定期的组织演练,确保应急方案的切实可行。
5、提高相关人员的素质,加强员工的培训
操作人员的素质高低会直接影响到医院网络完全的系统建立,对员工进行相关的安全培训则是非常关键的手段。安全培训可以分为信息科的专业人员的安全技术培训和所有使用人员的操作安全培训这两种。信息科的培训针对的是各类的安全技术和安全策略,而系统使用人员的操作培训,要则主要在于怎样安全的使用各类计算机设备和怎么样对设备进行维修保养。
总之,我们都知道不存在绝对安全的网络防御系统,网络信息的安全风险的存在是客观的现象,也是一个在不断演变和前进的的系统,科技的发达与便捷,促使医院的业务对网络技术的依赖也越来越强,当然相关的风险也就大大的提高了,而当故障发生时,不可避免的会给医院的服务和秩序带来无法估计的影响。所以,必须高度重视技术上的和理论上的网络安全。随着计算机技术与医院自身的信息系统的不断完善,未来在网络安全上的体制也将会更完善。
参 考 文 献
[1] 式志红. 医院信息系统的安全维护措施[J]. 中国医疗设备,2009(1)
篇2
【关键词】信息安全等级保护 测评实施
1 引言
医院信息化建设快速发展,信息系统应用深入到各个环节,信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全,规范信息安全等级保护,完善信息保护机制,提高信息系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》,卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
2 确定测评对象与等级
我院是一所二级甲等综合医院,日门诊人次1000人左右,住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合,信息双向交流。按照《信息系统安全等级保护定级指南》定级原理,确定医院信息业务系统的安全保护等级为第2级,其中业务信息安全保护等级为2级,系统服务安全保护等级为2级。
2.1 招标比选测评公司
医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司,简单介绍医院信息化情况,其中有3家公司到现场进行调查,掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。
2.2 测评实施
2.2.1 准备阶段
医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》,确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研,提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。
2.2.2 测评主要内容
主要针对医院信息系统技术安全和安全管理两方面实施测评,其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
2.2.3 测评方式与测评范围
测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈,了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试,检查系统的安全有效性。
整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。
医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵,终端使用了趋势网络版本防病毒产品,抵御恶意代码。开启系统审计日志,制定和实施有效安全管理制度,加强安全管理,降低系统安全风险。网络进行了有效的区域划分,区域之间通过访问控制列表实现安全控制,与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。
2.2.5 差距分析与测评整改
通过测评,测评公司写出测评报告,提出整改建议。按照《信息系统安全等级保护基本要求》要求6,测评公司人员根据医院当前安全管理需要和管理特点,针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理,从人员、制度、运作、规范等角度,进行全面的建设7,提供技术建设措施,落实等级保护制度的各项要求,就各类人员进行安全培训,提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。
2.2.6 编制报告,成功备案
测评公司编制报告,上报市公安局备案成功,获得二级信息系统备案证书。二级信息系统,每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高,安全保护能力增强,有效保障信息化健康发展。
3 结语
网络安全问题是一个集技术、管理和法规于一体的长期系统工程,始终有其动态性,医院需要不断进行完善,加强管理,持续增加安全设备以保障医院数据安全有效,保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点,分期分批循序建设,保证医院各系统长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求8。
参考文献
[1]卫办发.〔2011〕85号,卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知,2011.
[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志,2005.
[3]王建英,陈文霞,胡雯,张鹏.医院信息安全分析及措施[J].中国病案,2013.
[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息,2013.
[5]韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学,2006.
篇3
随着计算机软件技术的发展,特别是分布式和软件移动计算的广泛应用,使得系统开放性越来越强,局域网内的用户都可能访问到应用系统和数据库,这给医院信息安全带来了极大的挑战。从收费数据到医疗信息、从病人隐私保密到管理信息的保密,都要求医院管理系统要处于高度安全的环境中。医院信息系统的稳定和安全运行,是医院持续正常工作的组成部分。作为一个持续运行的事务处理系统,要求能每天24小时不间断运行,不希望有中断,否则会使医院的声誉受到影响。同时,随着业务的发展,系统数据量的增加,要求系统能稳定地运行,不能使系统性能快速降低。在一些重要的系统中,如财务、人事、医保实时交易等信息,已经不能满足于简单的本地保护,要求有更高的系统可靠性,保证系统能进行容灾保护。一旦出现异常情况,如火灾、爆炸、地震、水灾、雷击或某个方向线路故障等自然原因以及电源机器故障、人为破坏等非自然原因引起的灾难后,系统能快速稳定地恢复正常工作。因此,信息安全已经不是人们传统意义上的安全概念,是要保证系统避免一系列威胁,保证医院业务的连续性,最大限度地减少医院业务的损失,为医院的业务发展提供信息安全保障。本文作者根据多年来从事医院管理信息系统和网络系统的建设及维护工作的经验出发,探讨安全建设和日常维护工作。
二、安全的硬指标
系统安全的硬指标考虑的问题是多方面的,包括如下。
(一)中心机房安全
中心机房是医院信息系统设备的存放地,包括数据库服务器、磁盘阵列、网络主交换、应用服务器等设备,因此对环境的要求极高,应该做到:1.机房供电不少于两路;2.双路UPS供电、并采用智能报警管理UPS;3.防静电地板、玻璃隔断、防火墙面处理、外窗防水处理;4.火灾探测器、防窃探测器;5.温度、湿度恒定,防尘,防虫鼠;6.三相四线双变电站供电,安装应急照明系统;7.专用机房接地系统,与主配线柜、主设备柜、防静电地板下的接地线(环)相连;全方位防雷系统,强电、弱电都应安装防雷保护器等。
(二)服务器及服务器操作系统安全
服务器是数据处理的核心单元,是软件安全的基础,因此,其安全应该做到:1.根据医院业务状况决定采用PC服务器或小型机,并配备磁盘阵列、冗余电源、大规模内存和高速缓存的自动纠错,保证在连续工作状态下保持稳定、快速;2.对服务器进行隔离,并采取严格的安全管理,各开箱锁单独保存;3.应用程序服务器和数据库服务器必须严格分开;4.服务器操作系统应采用安全机制较高的系统,如Windows2000或Unix等;5.网络操作系统的用户资源权限控制以及安全审计等功能必须开启;6.操作系统不相关的应用服务必须关闭;7.操作系统安全布丁必须定时更新。
(三)群集技术及磁盘阵列的可靠性
群集技术是能使服务器连续可靠运行的重要保证,简单地说是两台服务器采用双机热备份工作状态,当一台机器出现问题后另一台机器能快速接替主服务器的工作;服务器中易损部件是硬盘,硬盘损坏可以造成系统瘫痪,因此采用磁盘阵列进行冗余,其要求如下:1.为了避免出现灾难性后果,必须每天检查群集工作状态;2.当群集中一台机器出现问题时应该马上解决,检查主服务器,尽早恢复其工作;3.RAID保证数据库的高可靠性,保证在部分存储介质损坏时数据不丢失;4.必须定时检查硬盘工作情况,发现问题及时处理。
(四)网络安全
网络安全主要是指当用户通过网络访问应用服务器和数据库服务器时如何保证网络链路的安全,包括网络布线安全和网络设备安全。特别还应注意设备的软故障,软故障将造成网络系统长时间无法正常运行,使得医院处于一种半瘫痪状态。软故障包括广播风暴、交换机等设备处于时好时坏状态、网络以极慢速率传输数据、频繁出现丢包现象等,因此,基于安全的要求:1.对于光纤介质要求包括温差、阳光、鼠害、碰撞摩擦、拐角半径等的防护环境;2.对于双绞线介质要求包括磁场、雷击、电磁干扰、鼠害、温差、湿度等的防护环境;3.网络设备对环境的要求包括温度、湿度、洁净度、电源质量等;4.核心交换机也须采用双冗余进行备份,确保该交换机出现故障后备份交换机能迅速接替工作;5.定时观察服务器网络传输数率。
(五)数据库安全
在医院信息系统的后台,数据信息是整个系统的灵魂,其安全性至关重要,而数据库管理系统是保证数据能有效保存、查询、分析等的基础;数据被安全存储、合法地访问数据库以及跟踪监视数据库,都必须具有数据有效访问权限,所以应该实现:1.数据库管理系统提供的用户名、口令识别,试图、使用权限控制、审计、数据加密等管理措施;2.数据库权限的划分清晰,如登录权限、资源管理权限和数据库管理权限;3.数据表的建立、数据查询、存储过程的执行等的权限必须清晰;4.建立用户审计,记录每次操作的用户的详细情况;建立系统审计,记录系统级命令和数据库服务器本身的使用情况。
(六)数据存储安全
数据存储安全是数据库存储的信息不能因自然灾害、人为原因和设备损坏而被破坏,同时保证数据可以长期保存,备份的数据可以正确恢复,其要求如下:1.建立数据备份方案,严格按照规定的备份时间、方式进行数据备份;2.数据备份要有多重冗余备份,要有异地数据备份,当某一地点数据丢失或破坏时,另一地点保存的副本可用于恢复;3.数据部分的有效性检查,保证备份的数据万无一失,做到定期检查;4.建立快速恢复机制,明确出现故障后的快速恢复手段与方法,而且必须对之进行阶段性检查,进行灾难模拟测试。
(七)应用软件的安全
由于医院信息系统的用户量大、数据量大、涉及面广、职责多样、业务流程复杂和权限管理复杂等,所以对应用程序,系统安全设计的要求很高。1.设计安全审计功能,且每个审计事件都应和触发该行为的用户身份相关联;2.审计查阅功能,为审计功能提供清晰易懂的审计日志;3.审计事件存储,审计日志存储空间溢满时能导出审计日志并妥善保存;4.设计访问控制策略和访问控制功能;5.设计用户标识、用户主体绑定;6.设计多重会话并发限制、会话锁定。
(八)病毒防护和防黑客攻击安全
计算机病毒在网络中的危害远大于对单机的危害。网络发生计算机病毒后最难处理的问题是清除病毒。对于服务器等关键设备应安装杀毒软件和防黑客攻击软件,网络环境下要把防止计算机病毒进入系统放在首位,基于以上安全特性,要求:1.设备VLAN,在主域服务器上安装网络版杀毒软件和防黑客攻击软件;2.定时更新病毒库和杀毒引擎;3.定时更新操作系统漏洞布丁;4.关闭不用的操作系统服务;5.关闭不用的端口;6.尽量将医院的内网与外网做到物理上的完全隔离。
三、安全的软指标
系统安全的软指标是指管理制度、应急方案、操作规范和安全培训制度等。
(一)组织
成立系统安全工作领导小组、确定第一责任人、责任部门、相关部门和部门负责人,明确安全责任制,并定期检查、督促落实。
(二)制度
建立信息安全管理制度也是安全管理的重要组成部分;完整的计算机文档是分析故障、排除故障的基础,是系统正常运行的保证;工作制度的建立与系统建设同步开始;同时,在日常工作中应该根据系统设置的变化进行修改,保证文档和制度能真实反映系统状态,具体制度为:1.建立网络服务器管理制度;2.建立网络设备管理制度;3.建立网络工作站管理制度;4.建立网络工作人员管理制度;5.技术文档管理制度;6.“第三方”访问管理制度。
(三)信息安全操作规范
很多安全隐患都来自于操作不规范,口令定期调整、程序升级、日志检查都可能杜绝掉很多安全隐患,因此,应建立如下规范:1.建立操作系统操作规范;2.建立数据库系统操作规范;3.应用系统操作规范。
(四)应急方案
医院信息系统应急方案是在计算机出现故障,且不能短期完全恢复运行,并影响到局部或整体工作时,只有采用人工的方式来开展工作,保证正常医疗活动不被完全打乱,因此应做到:1.确定应急方案实施责任制;2.应急方案实施范围和时间;3.应急方案通报制度;4.系统故障一般应急措施;5.业务应用应急实施细则。
(五)安全培训制度
信息中心应负责全院相关部门和人员的信息系统安全教育和使用培训的计划制定、实施和组织协调工作:1.制定相应的安全培训大纲、培训计划,有计划地加以实施;2.对医院决策层和管理层的应知应会培训,充分认识信息安全的重要性和信息安全防御体系建设的必要性;3.对计算机科室管理人员的技能培训;4.对操作层面人员的使用培训;5.知识更新培训及业务再培训。
四、探讨
以上的框架描述只是从作者的工作经验和部分理论指导的角度出发,因此很多地方还有待探讨。不同的医院有不同的情况,不能一概而论,包括管理现状、资金状况、人员配备、技术支持等都会影响到信息安全的实施。医院如何开展信息安全工作,应该本着从实际出发的精神,先进行风险评估,研究信息系统存在的漏洞缺陷、面临的风险与威胁,对于可能发现的漏洞、风险,制定相应的策略:首先在技术上,确定操作系统类型、安全级别,以选择合适的安全的服务器系统和相关的安全硬件;再确定适当的网络系统,从安全角度予以验证;选择合适的应用系统,特别要强调应用系统的身份认证与授权。在行为上,对网络行为、各种操作进行实时的监控,对各种行为规范进行分类管理,规定行为规范的范围和期限,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,限制一些不安全的行为。在管理上,制定各项安全制度,并定期检查、督促落实;确定医院的安全领导小组,合理分配职责,做到责任到人。当然,还要意识到信息安全工作的开展有可能会影响到系统使用的方便性,毕竟,安全和方便是矛盾的统一体,要安全就不会很方便,相关工作效率必定降低,要方便则安全得不到保证,因此必须权衡估量。
篇4
尊敬的领导:
2018年,xx严格按照集团公司“稳中提质、改革创新”总要求,围绕安全生产、经营管控、风险防控等工作重点,从信息化管控、系统建设、应用推广、运行维护等方面开展信息化工作,较好的发挥了信息系统在生产监控、过程管理和辅助决策方面的作用。现将主要工作情况汇报如下:
第一部分 信息化管控
一、信息化管理制度建设情况
公司共制定有《xx信息化管理办法》、《xx网络安全管理制度》、《xx计算机管理办法》、《xx软件正版化管理办法》、《xx办公自动化系统使用管理办法》、《xx应用系统数据管理办法》等有关规划、项目、基础设施、应用系统和运行维护的信息化管理制度18项,较好的指导和规范了公司信息化建设。
2018年重新修订完善了硬件资产管理办法、应用系统运维管理办法、信息化管理办法、微信、QQ群组管理办法、报废计算机和计算机耗材废旧污染物品管理办法、网络信息安全管理办法等6项信息化管理制度。
二、信息化资本支出计划情况
(一)2018年信息化资本支出计划完成情况。
按《xx关于下达2018年度资本支出计划(信息化专项)的通知》要求,严格监控审核各类信息化资本支出项目的执行情况,督导各单位资本支出计划按进度完成。2018年各类信息化计划资本支出费用为537.2万元,截至10月底,完成了346.43万元,预计11-12月份完成122.13万元,全年总计完成468.56万元,计划完成率为87.22%。
1、审核类项目
xx审核类项目共计8项,分别为工艺动画展示软件、SaaS门户网站防护软件、龙软地测空间信息管理系统、病案管理系统、生化检验血库管理软件、预防保健数字化门诊系统、远程控制软件、综合管理系统(二期)。
(1)综合管理系统(二期),合同额120万,2018年计划完成80万元,按合同约定,已完成第一阶段付款36万元,按照开发进度及合同约定,12月份将完成第二阶段付款36万元,完成了预算目标。
(2)山不拉煤矿龙软地测空间信息管理系统,预算金额为30万元,实际支出30万元,完成了预算目标。
(3)职工医院病案管理系统预算金额为15万元,计划12底前购置完成。
(4)职工医院生化检验血库管理软件预算金额4万元,实际支出4万元,完成了软件的购置。
(5)职工医院预防保健数字化门诊系统软件预算金额为8万元,实际支出为7.51万元,完成了系统软件的购置。
(6)特凿公司工艺动画展示软件预算金额为15万元,实际支出15万元,完成了软件的购置。
(7)特凿公司SaaS门户网站防护软件预算金额为8万元,计划12月底前购置完成。
(8)培训中心远程控制软件预算金额为2万元,计划12月底前购置完成。
2、备案类项目
备案类重点项目有3项,分别为笔记本电脑购置38台,24.58万元,台式机购置116台,74.89万元,打印机购置71台,23.43万元,合计占备案总预算的62.48%。
3、费用类项目
重点费用类项目有1项,为线路租赁费用,公司共有广域网专线9条,互联网线路13条,年租赁费用为87.64万元。
(二)2019年信息化资本支出计划情况。
1、基本情况。2019年各类信息化资本支出费用预计为1261.9419万元,其中审核类费用预计773.15万元,备案类费用预计320.78万元,费用类预计168.0119万元。
审核类中,BIM分中心建设项目318.55万元,BIM分中心配套机房及网络改造项目139.6万元,山不拉煤矿安全监控系统升级改造项目186万元(说明:地方政府要求在2018年底完成,专项请示在2018年增列计划,由于时间太紧,只能将计划在2019年列支)。
第二部分 信息系统建设应用
三、综合管理系统(二期)建设应用
(一) 建设目标:流程固化、数据共享、全程追溯。
(二) 建设原则:围绕资金、业务主导、横向到边、纵向到底。
(三) 保障措施:
1、成立了综合管理系统应用推进领导小组,公司主要领导亲自抓。明晰系统应用推进中的职责、责任到人。
2、定期不定期的召开项目协调例会,及时协调解决系统开发、应用过程中的各类问题。
3、全员培训。已开展用户培训12场次,培训用户2200余人次,涵盖公司领导、部门负责人、关键用户和业务人员。
4、日常指导。通过电话、QQ群、远程桌面、面对面交流等方式解答系统使用中的各类问题,平均日处理各类解答300余人次。
5、督导考核。从组织机构、用户培训、系统操作、数据质量四方面对各单位、各项目部已上线业务开展督导考核。通过督导考核来看,数据质量基本可靠。
(四)开发进度:
自7月份正式开发以来,完成了物资、技术质量、科技、安全、党建、市场开发、法律事务和监察审计业务的开发上线,完成了财务、人力、经营、机电业务部分功能(资金、税务、人事、薪酬、结算、分包、租赁等)的开发上线,完成了整体开发计划的80%。
(五)应用效果
1、用户可通过手机APP,企业微信处理系统业务。
2、用户日平均登录2000余人次,7日上线率为54.7%(系统注册用户数2558人)。
3、打通了从业务到财务的各个环节,财务核算与业务过程互相约束、互相校验,实现了业务过程可控、资金流向可控。
4、提高了工作效率、提升了管理水平。流程平均审批效率29小时,较之前的以周计算或以月计算,工作效率成倍提高。管理模式逐渐从结果导向转变为过程控制,建筑行业的粗放型管理得到明显改观。
四、云视频会议系统建设应用
云视频会议系统采用SaaS模式建设,省却了基础设施、网络安全、系统运维等方面的工作。
系统可以通过PC、手机、硬件终端召开会议。系统有三个会议室,一个100账号和两个25账号,一个账号在一台设备中使用,一台设备可以在实体会议室供多人参会。
系统上线以来,平均月召开云视频会议10余次,平均参会人数200余人/次,年节省差旅费、油费、会议费约120万元(按每项目部每次节省1000元计算,10x12x1000x10=1200000)。
系统的成功应用,不但提高了会议效率,降低了费用,还减少了路途中的安全风险。
五、BIM技术应用情况
在建设集团、集团公司的领导和统一部署下,xx有条不紊的开展了BIM系统的应用和推广工作。完成了与建设集团BIM云平台对接和公司BIM平台建设;完成了各专业族库的建立、施工工艺视频的制作及BIM5D平台学习与试用。截至目前,公司BIM平台已经具备了质量、安全和进度管理、匹配成本信息和施工进度模拟等功能,能够实现数据和信息的有效共享。
六、安全监控监测系统
按照国家煤矿安监局及内蒙古煤矿安监局相关文件要求,配合山不拉煤矿完成了瓦斯监控系统升级改造方案制定、预算编制和前期筹备工作,协调完成了专项费用计划增列的申报工作。
按照集团公司要求,配合山不拉煤矿完成了工业视频监控高清改造方案的调研、方案制定、预算编制工作。
完成了小回沟项目部瓦斯监控系统升级改造后的数据联网上传工作。
七、推进各应用系统的使用
(一)年度考核系统应用。开展考核系统的配置、值守等工作,协助人力资源部完成年度考核工作。
(二)OA系统应用。继续优化涉及办公、财务、经营、人力、机电等各方面各类电子签章审批工作流,指导各单位梳理建立使用OA签章审批工作流。截至目前,优化、修改工作流程50个,制作电子签章100余人次。
(三)视频会议系统的应用。截至目前,公司召开视频会议121次,参会人数12000多人次;召开云视频会议100余次,参会人数20000余人次。保障了会议精神实时、全面、有效的传达,节约了大量交通、住宿、会议等费用。
(四)安全培训系统的应用。协助公司职工教育培训中心开展特种作业人员和项目部安管人员的取证培训、岗位复训,使用系统进行培训、考核10场次,参培人员800余人次。
(五)推进集团公司ERP等系统的应用。定期跟踪各部门对集团财务、采购、库存、人力资源、合同管理、安全管理等系统的应用情况。定期收集相关部门对系统的使用意见和建议,督促系统实施进度和培训。
第三部分 基础设施建设应用
八、数据中心机房建设情况
公司数据中心机房建于2009年,安装有门禁、供电、UPS、制冷、新风、消防、监测等机房系统,其中UPS按照供电8小时设计,现由于电池组老化,仅能满足供电2小时。机房内有服务器14台,分别承载OA、综合项目管理、档案管理、安管培训模拟、视频会议、用友财务等使用中的应用系统;有存储设备1台,承担综合项目管理系统的数据存储任务;有核心交换机、IDS、防火墙、路由器、网络行为管理、VPN等网络设备14台,分别承载公司局域网和广域网的数据传输和网络安全任务。
九、广域网建设情况
公司广域网连接的单位有10处、31处、49处、特凿处、南阳坡分公司、内蒙古分公司、山不拉煤矿和两级集团公司。到南阳坡分公司和内蒙古分公司广域网带宽为2Mbps,到集团公司的广域网带宽为8Mbps,其余为4Mbps。广域网主要承载视频会议系统、ERP系统等需要专线连接的应用系统。
十、局域网建设情况
局域网采用星型拓扑,接入交换机到电脑终端为百兆带宽,接入交换机汇聚到核心交换机为千兆带宽。
公司局域网包括公司办公楼、培训中心和物业管理公司丛台基地,共有电脑终端200余台。电脑按楼层、部门划分为10个VLAN,起到疏导流量、隔离广播风暴和防止病毒大范围扩散的作用。
根据具体实际,对各单位机房和局域网的建设提出了最基本的标准,并指导各单位信息专业人员逐步完善。
十一、互联网建设
公司机关及各单位均有互联网接入线路。公司机关接入带宽为中国电信的50Mbps互联网专线,31处、49处、特凿公司和山不拉矿今年均变更为100Mbps,其他各单位互联网接入带宽为50Mbps。
十二、BIM分中心基础设施建设情况
配合建设集团完成了BIM中心建设总体方案的制定工作和xxBIM分中心建设方案的制定工作,围绕BIM分中心建设方案,结合公司机房及网络现状,制定了BIM分中心机房、网络配套设施改造方案。
第四部分 信息化运维
开展桌面运维,定期对用户计算机安装的软件进行维护,监督正版软件的使用。定期维护计算机硬件,保障计算机正常工作。
开展网络运维,定期检查网络设备的配置、日志,保障设备运行正常。定期对网络线路巡检,及时排除断网隐患。不定期开展用户网络排错培训,提高用户常见网络故障的自我解决能力。
开展应用系统运维,督促或组织制定应用系统管理办法,从系统用户、系统运行、系统安全等方面加强日常检查,保障各系统安全运行。
开展机房运维,严格执行每日巡检制度,明确了机房温度、湿度、供电等环境要素标准。加强运维人员操作系统、服务器组成等软硬件知识学习,每日必须登录服务器分析运行日志,及时发现问题、解决问题。
第五部分 信息安全
网络与信息安全方面管控主要从安全制度、安全技术、安全教育和安全评测等方面进行,力保信息的可信性、可用性和完整性。
安全制度方面。公司成立有保密与网络安全委员会,领导公司的网络安全工作。下发了《党委网络安全责任制实施细则》、《网络安全管理制度》、《信息安全岗位职责管理办法》等制度,明确了安全职责、任务、措施等内容,经常性的在用户中宣传网络安全的重用性、必要性,指导用户使用常用网络安全技术措施。
安全技术方面。遵照ISO七层网络模型,针对每层容易暴露的安全问题,采取有针对的防护措施。在网络边界部署了防火墙、入侵检测、上网行为管理等安全设备。在服务器区部署了防火墙,并在服务器中安装了杀毒软件和终端防护软件。在用户端按楼层划分了VLAN、IP地址和MAC地址进行了登记并绑定,用户计算机也安装了杀毒软件、软件防火墙。
安全教育方面。通过专题讲座、发放宣传资料、安全事件案例等多种形式开展信息安全知识普及工作,提高员工的安全防范意识,减少安全事件的发生。要求用户口令长度不小于8位,且必须由大写、小写字母与数字共同组成,并定期提醒用户更换密码,必要时强制更改密码。要求用户不得将账号密码转借他人。
安全评测方面。定期开展应用系统和基础网络自评,加强了计算机终端、局域网络、服务器主机、服务器操作系统、应用系统等安全制度、安全策略和安全行为管理,进一步提高了公司信息系统的安全水平。定期委托专业公司开展安全评测,按照评测整改报告及时完成整改。对新开发的应用系统,需通过安全测评后才允许验收。
第六部分 对外网站
制定了《xx门户网站管理办法》,明确了网站管理的权利、责任。
要求各单位对外网站需完成备案工作、安装政府网站防护软件、在国家重大活动期间强化安全监控,必要时关闭网站。
公司网站采用PaaS模式建设,采用的阿里云平台的专有云,并采购了安骑士云盾、WAF防火墙和态势感知安全服务,还安装了公安部网防G01 V3.0防护软件。专有云提供安全风险短信预警功能,能动态提醒操作系统、网站系统、恶意攻击等安全风险事件。
第七部分 存在的问题和不足
一、专业人才短缺。软件、网络、安全和数据库等方面相关专业人才短缺,制约了应用系统自主运维和开发。
二、系统集成难度大。系统种类多、功能重合多,系统间数据集成共享难度大,造成了业务和数据的割裂,形成了实际上的信息孤岛,有违信息化建设的初衷。建议能有系统建设和系统集成的顶层设计,形成标准规范。
第八部分 2019年重点工作
篇5
关键词: 档案管理 信息化 意义 安全 防范策略
档案信息逐渐走向数字化管理是必然趋势,但在档案信息化过程中,出现的安全问题制约了档案信息化的进程。如何确保信息化档案的完整与安全,成为当前档案管理者的重要课题。
一、档案信息化管理的作用和意义
电子档案管理信息系统的建立,可以提高档案工作的效率,方便用户的使用,加强档案的保存,提高档案利用的效率,对维护和保障单位的合法权益,促进两个文明建设具有重要意义。具体优势如下:
(一)档案信息的传递量和服务对象的数量大大增加。由于数字信息占用空间小,信息传递不受空间的限制,随着计算机通讯网络的不断延伸,所能链接的用于存储和管理数字信息的服务器和存储设备及服务对象的数量将加速增加。
(二)时间的延续性,可以24小时服务。
(三)档案数字信息网络检索方便,传递速度快。
(四)可以根据利用者的需要,提供个性化服务。档案信息网络服务的出现,是我们提供档案信息服务的适时的现代化手段。
(五)资源共享,提高档案的利用率。利用网络传输档案信息,其有纸质档案不可比拟的优点,网络传输速度快,档案传输不再受空间和人力的限制。查阅者一旦需要档案就可以通过档案管理网络系统进行查阅,不仅可以查阅所需的信息,而且可以下载电子版的档案原件,没有必要再到档案室进行查阅。这极大地节省了查阅者和档案管理员的时间。还可以通过档案管理网络系统异地查阅档案信息,节约了人力、物力,大大提高了档案的利用率。
二、档案信息化后可能存在的安全隐患
(一)操作系统的安全缺陷
操作系统是计算机最主要的系统软件,是信息安全的基础之一。然而,因为操作系统太庞大(如Windows操作系统就有上千万行程序),致使操作系统不可能做到完全正确。操作系统的缺陷所造成的功能故障,往往可以忽略,如当Windows出现死机时,按一下复位键重新启动就可以了。但是,如果操作系统的缺陷被攻击者利用,所造成的安全问题就不能忽视了。
(二)网络技术本身的安全隐患
网络本身就不是一种很安全的信息传输方式。网络上的任何信息都是经过重重网站分段传送至目的地的,任何中介站点均可以拦截、读取甚至破坏信息。同时,网络的应用技术发展很快,新技术不断推动新的应用,而安全技术是一种在对抗中发展的技术,它总是显得有些滞后,防范攻击的能力不强,这样就导致网络安全的脆弱性。
(三)管理人员素质问题
据有关资料显示,80%以上的档案管理人员没有受过正规的计算机安全培训,缺乏计算机与网络信息的安全意识,致使网站遭到攻击。
三、档案信息化管理中安全问题的防范策略
(一)加强对档案管理人员素质培训及安全教育
在档案信息化管理安全防范中,人的因素是第一位的。档案管理的现代化,对档案管理人员的素质提出了新的要求,档案部门应加强对信息安全意识和安全业务的宣传与教育,不断提高档案管理人员的思想素质、业务素质和职业道德。对现有的在职档案人员进行档案现代化管理和计算机网络等信息技术方面新知识、新技术的培训和再教育,积极引进复台型人才,为档案信息化管理注入新的活力,提升综合管理能力。应对工作中可能发生的意外事故,及时发现问题和解决问题,维护系统的安全和正常运行,确保档案信息的完整性。
(二)从管理上加强安全防范
针对信息化档案的安全问题,安全防范的最高境界不是产品,也不是服务,而是管理,没有好的管理思想、严格的管理制度、负责的管理人员和实施到位的管理制度,就没有真正的安全。
1.建口可以信赖可以控制的内部网络。管理好内外网络的通道,杜绝内部人员使用拨号、宽带等方式非法接入外网。管理好软件资产,避免内部人员在计算机上安装使用盗版软件,以防引入潜在的安全漏洞,降低计算机系统的安全系数。
管理好计算机的外部设备,防止内部人员在内网计算机上通过移动存储介质间接地与外网进行数据交换,导致病毒的传人或者敏感信息、机密数据的传播与泄漏。
管理好单位个人使用的计算机上的重要文档,防止相同域内的终端用户互相调用和操作机密文件。
管理好输出设备,对于重要电子文档的打印,要进行严格的登记和日志管理。
管理好内网客户端,在单位局城网上建立起严密的监控点。
2.实施强审计管理。所谓强审计,就是利用日志对网络上的行为、踪迹进行监控,并能事后取证的技术。但是,与传统的计算机日志相比,强审计的日志是不能随便删除、修改的。如果要修改或删除,必须系统管理员、审计员及单位领导同时进入系统才能删除,从而有效保护内网。
强审计技术一般包括五个方面的内容:一是网络审计,防止非法内连和外连;二是数据库审计,对数据库的读取行为进行跟踪;三是应用系统审计,例如公文流转经过几个环节,必须有清晰的记录;四是机审计,包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等;五是介质审计,包括光介质、磁介质和纸介质的审计,防止机密信息通过移动U盘、移动硬盘、非法打印或照相等多个环节从信息系统中泄密。
3.档案信息的数据备份和容灾。理想的数据保护解决方案应既能解决业务对高性能与可用性的需求,又能解决备份与恢复管理问题。目前,数据备份与容灾能力已成为存储安全保障的重要标志。容灾备份就是指通过特定手段和机制,在各种灾难损害发生后,仍能最大限度地提供正常应用服务的信息系统。它可分为数据备份和应用备份。数据备份需要保证用户数据的完整性、可靠性和一致性。对于提供实时服务的信息系统,用户的服务请求在灾难中可能会中断,应用备份必须提供不间断的应用服务,让客户的服务请求能够继续运行。
(三)保障数字档案安全的技术措施
数字档案是技术的产物,因此,运用先进网络技术和信息安全技术是确保数字档案安全的重要保障。
1.计算机和网络防火墙技术。防火墙是网络之间执行访问控制策略的系统,是硬件和软件的组合体,它保护内部网络免受非法用户的侵入、过滤不良信息、防止信息资源的未授权访问。防火墙的实现技术主要有:包过滤技术、服务技术、状态监测防火墙技术等。
2.档案信息加密技术。密码技术是网络安全技术的核心,是提高网络系统数据的保密性、防止机密数据被外部破解所采用的主要技术手段。采用加密技术可以确保数字档案内容的非公开性。加密技术通过信息的变换或编码将机密敏感信息变换为难以读懂的乱码型信息,以达到保护数据安全的目的。数据加密技术可分为两类:对称型加密和公钥密码算法。
3.档案信息防写技术。防写技术,即将数字档案设置为“只读”状态,在这种状态下,用户只能从计算机上读取信息,而不能对其进行任何修改。在计算机外存储器中,只读光盘只能读出信息而不能追加或删除信息;一次写入光盘可供使用者一次写入多次读出,可以追加记录但不能擦除原来的信息。这种不可逆式记录介质可以有效地防止用户更改数字档案的内容,保持数字档案的真实性和可靠性。
四、结语
随着档案信息化进程的深入,大量数字档案的安全问题已经摆在档案管理者面前,如何做好信息化档案的安全工作值得我们不断探讨和研究。
参考文献:
[1]刘景红,朱俊东.医院档案信息化建设中的信息安全管理.档案,2009,(4).
篇6
关乎众多百姓生命及健康问题的保健保险企业,怎么才能安全运营?
正因为他们服务的人群面广泛,政府才会出台五花八门又极其严格的法规,以规范他们的管理、财务、服务行为。要想生存,这些企业必须在规定时间内遵从层出不穷的政府规定,而IT则是帮助他们快速实现法规遵从并保有核心竞争力的关键。
保健保险行业因为其特殊性而备受政府关注―受众广泛,关乎国计民生,每个国家都不敢放任自流,任其发展。因此,保健保险企业受到国家最严格的法律规定约束。
法规,如果好好遵从,是快速发展的基础;如果不遵从,只有死路一条。这种行业特性,使得保健保险企业在每次法规颁布之后都诚惶诚恐,乱做一团。
而其实,如果利用好IT这个武器,法规遵从反而可以成为他们甩掉竞争对手的机会。位于美国肯塔基州路易维尔市身价140亿美元的保健福利公司Humana从解决千年虫问题时留下的好传统,使得他们因遵从法规而快速提高了核心竞争力。
当其它公司抱怨萨班斯・奥克斯利法案(Sarbanes-Oxley, SOX)影响了公司的财务状况,不断向股东和监管机构提出执行SOX的困难时,Humana公司的总裁兼CEO迈克尔・迈克阿里斯特(Mike McAllister)则在一次采访中表示,过去两年,Humana一直在循序渐进做准备,所以SOX没有惊动Humana。法规遵从已经成为Humana企业文化的一部分。
面对法律 绕行还是穿行
作为一家以医疗保险为主营业务的企业,Humana公司在全美50个州以及波多黎各拥有930名万会员,公司始终不渝地遵循着各种国家、地方法规,包括联邦医疗保险(Medicare)、国家保险规定、国家质保委员会、应用评估鉴定委员会以及国防部医疗保健计划。近几年,当联邦政府推出美国最严厉的医疗保险信息交换与保密法案(HIPAA)时,Humana本着重在早抓、贵在坚持的原则提前做好了应对挑战的准备,相比之下,应对SOX就是小巫见大巫了。
“别误会我的意思,其实我们做了大量的法规遵从工作。”Humana的CIO布鲁斯・古德曼(Bruce Goodman)说。
当然,Humana在贯彻落实HIPAA时也遇到了一些问题。好在他们有严谨的组织结构负责推动,且营造了遵循法规从我做起的企业文化,所以Humana的日子比其它公司要好过得多。Humana树立的榜样是任何一家公司都能做到的―只要他们不是又跳又叫,而是静下来解决问题。实质上,Humana让人们看到了未来,即法规遵从是公司日常运营的一部分,而且还能成为公司的竞争优势。
在法规遵从的道路上,Humana并不是一帆风顺的,相反,他们也是因为某些人、某些事情的出现而有了转机。
千年虫留下了好传统
1999年,古德曼辞去一家咨询及系统整合公司的CEO职位,加入Humana。当时,Humana正面临波及全世界的千年虫问题。当成功避免了岌岌可危的千年虫问题之后,Humana由此得出了一套应对未来法规遵从问题的经验。
那一年,为了扫除千年虫,Humana组建了一支“老虎队”,即紧急小组―Humana希望借用这个名字表现事情的重要、紧急性以及这个团队必胜的精神。Humana的老虎队与各个部门相关人员齐心协力,在指定期限内执行了关键项目。后来这个小组成了公司的一个项目管理办公室,负责分析需要解决的业务问题,确定解决方案以及方案的实施人员,并监控整个项目流程。2001年初,Humana准备应对HIPAA时,再次启动了老虎队。
1996年颁布的HIPPA是为了保障美国民众在换工作或失业的情况下能有医疗保障。它还为保健行业在病人健康、数据交换以及数据保密等方面制定了标准。可以说,HIPAA代表了整个保健行业进入数字化时代之后的蓝图。HIPAA设定了遵从法规的最终期限―2003年。
为了遵从HIPAA,Humana组建了三个紧急小组,一个负责电子数据交换,一个处理保密制度和实践,一个解决数据安全问题。公司让三个小组与来自内部审计、保密、安全、电子数据交换(EDI)、法律以及提供服务等部门的工作人员合作。每个紧急小组有12个人,每周一次例会。
搭班子 众人拾柴火焰高
古德曼很快意识到必须有人专门负责HIPAA的全面安全事宜。于是他将重担放在IT安全及法规监查总监乔纳森・摩尔(Jonathan Moore)的肩膀上。摩尔除了带领负责安全事务的紧急小组外,还像球场上关键时刻将球传给古德曼的助攻者,在所有HIPAA事宜中扮演着IT联络员的角色。Humana首席保密官及资深IT和法规遵从执行官吉姆・提萨(Jim Theiss)则带领负责保密事务的小组。
之后,Humana还组建了由六位高级经理组成的第四支队伍:两个信息技术副总裁、高级管理小组主管、法规监察主管、服务运营主管以及服务供应主管,并命名为HIPPA筹划指导委员会。三个小组每个月汇报一次工作进展,委员会将据此在必要时调整工作重点。
公司还进行了必要的机构重组。Humana本来设有一个法规遵从部门、医疗保险部门以及鉴定部门―确保保险公司和各种团体的保健计划有质保机构的鉴定。公司将这些部门编入了HIPAA法规遵从中心,每个部门根据HIPAA建立了适用Humana的制度。后来SOX强制执行时,Humana又将法规遵从中心的概念沿用到内部审计部门。
摩尔还建立了一个新的IT安全性战略部门,作为公司法规遵从战略的一部分。原有IT安全组继续负责日常工作,而新的IT安全战略部门负责开发一个遵守法规的数据安全战略。“让我们头疼的是原有IT安全模式。”摩尔说:“这个模式只能防止系统受到外部侵袭。”但这还不够,HIPAA要求公司内部也要做到数据安全保障。于是公司成立了一个由近40人组成的新战略性安全部门,专门处理由于新法规如HIPAA、互动语音系统以及无线应用等产生的安全问题。
用IT探索法规的边界
像众多公司一样,IT在Humana的法规遵从工作中占有核心地位。尤其对于电子数据交换和信息安全,IT的作用显而易见。而且IT对于Humana的保密工作也是一个强有力的支持。“我很早就着手法规遵从工作中的IT安全问题。”提萨说:“IT安全与保密是唇亡齿寒的关系。”
提萨并不是唯一一个与IT密切接触的人。Humana负责法规遵从的总监劳拉・凯莱(Laura Kelley)说:“我每天都会与IT人员沟通好几次,其他地方的同事也是如此。”开会内容可能涉及从电子签名到关于在线政策文件法规的各种问题。
凯莱和古德曼有着同一个目标,那就是利用技术让公司运营变得更有效,同时又不会与法规发生冲突。例如,古德曼可能会建议凯莱在法律法规允许的情况下使用电子邮件来处理客户投诉以提高效率。互动语音系统也是公司日程上的头等大事,但是由于涉及隐私问题,需要深度和全面的研究。
守法自有长远收获
正如许多政府法规一样,HIPAA也有一些内容存在多种理解方式。因此,由于理解不当,Humana在对待病人的信息时表现得过于保守。例如,公司一开始从不公开任何关于病人的信息,导致和经纪商很被动。再例如,Humana设定了一个非常复杂的身份认证程序,给那些通过Web访问的人制造了不少麻烦。
根据HIPPA的要求制定的安全和保密制度是一件一举多得的事情―法规遵从加强了Humana的整体业绩。因为HIPAA规定了数据交换的标准。随着越来越多的医生和医院都开始采用这种标准,必将为Humana的后台交易程序铺平道路。“如果能够完全遵循HIPAA,那么消费者和服务提供方会更容易沟通。”古德曼说。“如果我们知道某家医院使用某个交易代码,那么信息交换就容易多了。”
HIPAA的投资回报会日益明显,古德曼说。总有一天,60多万名医生都会拥有一个可以在整个职业生涯中使用的、独一无二的ID,那个时候就是Humana得到回报的时候。”
正如分析师埃里克・布朗(Eric Brown)所说的,这是顺理成章的事情。“要知道,HIPAA是一项巨大的工程。但是如果你是搞IT的,你会认为这种良好的规范是大势所趋。”
两万名员工养成同一种习惯
近些年颁布的SOX、HIPAA等法规就是要提醒公司高管们谨慎行事,可惜效果并不理想。其实在大多数公司看来,更难的问题是如何在整个公司范围内营造出一种法规遵从的文化氛围,让每一个人都受到熏陶。对于Humana而言,这意味着要让两万名员工认识一致。
营造文化氛围能够帮助HIPAA筹划委员会,同时也表明Humana对法规遵从的重视。这需要公司每个人都认真接受HIPAA和SOX等法规的洗礼。
Humana负责保密工作的紧急小组制定了一个行动计划,第一项就是所谓的“清理桌面制度”,要求每个人在结束一天工作后不得将病人的信息留在桌面上。执行这一政策等于分担了公司的安全工作,保证所有桌面都能通过检查。
此外,公司要求员工将密码记在脑子里,而不是写下来。HIPAA法规建议定期更改密码,而且密码必须具有一定的复杂度。对于Humana而言,密码自动生成程序是法规遵从的关键,而原有密码生成系统不能胜任。为此,Humana购买了新系统。
根据HIPAA法规,对员工进行病人数据管理的培训同样至关重要。在Humana,每个员工都要接受法规遵循培训。劳拉手下负责法规遵从的工作人员制订了培训课程,员工可以亲自参加培训,也可以选择远程培训。古德曼为凯莱创建了一个仪表板式的跟踪系统。“我每天都能根据跟踪系统察看谁还需要培训。”她说,一旦法规遵从的最后期限临近时,她就会直接打电话给那些没有参加培训的员工。
Humana还在大厅内安装了等离子屏幕,随时播报最新的法规和公司新闻,以不断提醒员工公司的法规遵从文化。公司还会定期向员工发送关于法规遵从的邮件,帮助他们了解公司最新的安全制度。与此同时,Humana会在公司内部网站上轮流播放公司政策和手续。
负责保密的小组甚至设定了保密月(Privacy Month),用于加强保密实践。保密月活动包括对所有员工进行安全培训和教育、在内网上宣传有关保密的规定、在公司内部张贴保密告示以及在员工中间开展关于保密的竞赛等。
举一反三 下次不再难
摩尔认为,Humana在HIPAA和SOX颁布前后的变化是从规范变成严格规范。尽管Humana需要不断调整以适应层出不穷的新法规,但公司所付出的努力是一劳永逸的,这也成为它的优势。“遵循这些法规并不是难如登天。它们大同小异,可以举一反三。”摩尔说。那就是,必须有管理以及能让管理奏效的方法,比如公司内外的安全保障、保密和数据访问管理、安全保障以及个人行为的跟踪――例如谁接受了培训,谁更改了密码等等。
Humana的客户也参与了他们的行动。“他们更关心我们是如何保护他们的信息的。”摩尔说。“而且他们希望我们遵守法规的要求。”因此,遵守法规不仅是Humana的优势,而且还保证了公司的有序发展。
金钱必须付出的代价
几十年来,CIO们一直在努力证明IT不仅仅是公司的成本中心,更不是不可避免的累赘,或只会增加公司的管理费用。他们中的许多人认为,IT是一套宝贵的战略性工具,不仅能增加收益,而且能大大降低成本,甚至能激发新的商业模式。为此,他们这两年确实付出了巨大的努力。然而,近年来繁重的法规遵从工作又将CIO推向了财务报表的成本项目一边,以前的努力付之东流。
当然,要说SOX和HIPAA制造的麻烦――且不说其他法规,政府自然是“罪魁祸首”,IT则被看作第二号敌人。企业数据、信息和技术分析与咨询公司AMR认为,遵循SOX的成本将于2006年达到60亿美元,但是其中IT所占的比例将会增加――将达到近20亿美元。
CFO们肯定不会愿意看到这种情况,但他们对于成本增加也不是束手无策。在法规遵从工作中,IT成本之所以增加,一个原因就是企业正在利用技术手段降低法规遵从的总体成本,实现程序自动化,同时精简在SOX恐慌时期雇佣的大批审计员和顾问。据AMR介绍,IT的投入能够降低人力需求,最终减少支出。
IT对法规遵从的贡献是前所未有的,企业需要IT系统来跟踪并检验诸如发电厂排出的废气、网络安全以及财务管理等工作,所有这些使IT成为企业的核心。
当然,法规遵从工作是必不可少的开支,但是CIO们能够利用技术化繁为简,降低成本:在法规遵从工作中,明智的公司一定会发挥IT的战略作用,大大提高效率。CIO们完全有能力向斤斤计较的老板们证明,IT正在帮助公司躲过一场完美风暴。