“三分技术，七分管理”，医院信息安全建设不仅包括安全技术建设，更重要的是安全管理体系建设。技术不高但管理良好的系统远比技术高但管理混乱的系统安全，技术和产品要通过管理的组织职能才能发挥最佳作用。因此安全因素不仅仅是技术问题，更多的是管理问题，完善的管理机制是医院信息系统安全的核心内容，也是执行力的问题。

健全的信息安全管理制度是保证信息安全的基础，通过一系列的规章制度来确保各类人员各司其职、各负其责。根据信息化建设发展和信息系统应用情况，及时补充、修改和完善有关安全管理规章制度。对信息系统安全管理出现的新问题及时进行分析，并在制度层面作出规范，做到防患于未然。制订安全管理制度应遵循统一的安全管理原则以及分权制衡原则，最小特权原则、职权分离原则、普遍参与原则以及审计独立原则等。

（一）信息部门值班制度

1. 信息部门实行7*24小时值班制度，值班人员必须坚守岗位，履行职责，定时监测医院信息系统的运行状况，及时处理信息系统发生的故障。

2. 值班员配备专用值班手机，手机保持7*24小时开机状态。

3. 发现异常情况及时向信息部门负责人报告，遇到重大问题逐级请示报告。

4. 认真填写值班日志，严格履行交接班手续。

5. 信息部门负责人经常检查值班员在岗在位情况和工作情况，查看值班记录。

（二）网络机房管理制度

1. 中心机房安装电子门禁系统，信息部门负责人授权对进入人员进行授权。授权人员离开该工作岗位时应及时取消门禁权限。非授权人员未经批准不得进入中心机房。

2. 中心机房安装视频、烟雾、温湿度、电源监控设备，安装服务器、UPS监控系统。预警可以通过警报、信息、电话语音等多种方式传递。

3. 值班员每天按时巡查中心机房，按要求进行登记，及时处理机房内设备故障，保证机房设备安全运行。

4. 中心机房实行双路市电供应和双路UPS供电。采取大功率在线双路UPS供电，双路UPS电源分别供应机房设备的主电源和冗余电源，最大限度保证供电安全。

5. 中心机房空调系统具备充足制冷能力，并留有冗余，保证在局部空调发生故障时，仍能够满足机房温度要求。定期检查空调设备排水情况。机房安装干粉灭火设备。

6. 各大楼的二级机房独立专用，机房钥匙由网络工程师保管，设值班钥匙一套，交接班时移交。有条件的机房应采用独立供电方式，安装独立空调或统一使用中央空调。

7. 定期对机房进行安全检查，发现安全隐患应立即报告并及时排除。

（三）网络安全管理制度

1. 实施全网监控，严格控制医院内部网络与其他网络的连接。经批准接入院内网络的医保网、预约挂号、银联缴费、手机APP等网络，要采用防火墙、网闸等安全设备。院内网络不准随意连接互联网。

2. 配置网络冗余线路和设备，提高网络的可靠性。

3. 安装网络杀毒软件，并定期更新病毒库，将网络病毒暴发的可能性降到最低。

4. 使用网络运维软件、网络流量监控软件等工具，加强网络安全的监控和管理。

（四）设备安全管理制度

1. 关键信息系统的服务器、交换机等必须配置备用设备。重要业务服务器采用双机热备、集群等安全技术，保障信息系统安全持续稳定运行。

2. 所有存储设备应采用数据冗余技术，防止因存储故障导致的数据丢失和破坏。

（五）数据安全管理制度

1. 严格遵守数据操作和安全管理规范。

2. 业务系统数据必须备份，关键数据要有异地备份。

3. 每周定期进行数据库的全备份，作为每周数据库的一个基准备份。

4. 实时进行数据库归档日志文件的备份，保持数据库最新的增量备份。

5. 定期做恢复测试，保证数据库备份的有效性。

6. 建立容灾系统，确保生产数据库不可用的情况下，容灾数据库可以立即切换为生产数据库，缩短停机时间，减小数据丢失。

7. 涉及密级和病人信息的数据介质报废处理时，须统一上交医务处并按规定销毁。

（六）病人隐私保护制度

1. 病人在院的所有电子信息资料只许在医院内部管理，不得转出。

2. 病人住院期间的电子病历等相关资料通过分级权限管理保护。

3. 未经病人许可、授权，不得将其疾病及相关隐私信息传播给他人。

4. 外单位如查询病人的相关信息必须由本人或授权委托办理，并由医务处签字确认后才能提供。

医院面对日益增长的业务需求，对网络和系统的稳定性、可靠性、服务质量的要求越来越高。大量软硬件的投入和增加，也导致了医院运维管理难度的增大，系统管理人员的工作压力越来越大。

（一）日常运维工作内容

1. 对机房运行环境进行日常检查记录，包括温度、湿度、电力等。

2. 对信息系统的日常运行进行监控，包括各类系统的运行状态（如CPU负载、内存使用率、磁盘状态、电源状态等），检查是否存在异常进程等。

3. 进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。

4. 对网络设备的安全策略、授权访问、升级与打补丁、维护记录、日志等方面作出具体要求。

5. 定期安装系统的最新补丁程序，在安装系统补丁前对现有的重要文件进行备份。

（二）网络运维管理系统

为了保障医院的业务系统正常运转，提高服务和维护水平，特别是要管理分布式的网络、系统环境，可以考虑使用一套全面的网络运维管理系统，制订相应的管理策略和制度，实现集中统一管理。 网络运维管理系统主要有以下3个方面的作用：

1. 监测管理自动化  故障处理变被动为主动，主动发现系统问题，在最短的时间内实现故障报警，系统管理员可以快速采取解决措施。

2. 完善的性能分析报告  能够帮助系统管理员及时预测、发现性能瓶颈，提高系统的整体性能。

3. 帮助管理者制订并执行良好的实施、管理和分析策略  使医院系统运维管理水平上升到新的高度。