全程導(dǎo)醫(yī)網(wǎng) 徐州衛(wèi)生信息:譚云龍 報(bào)道 信息安全是醫(yī)院安全工作的重要組成部分,直接影響到醫(yī)院的醫(yī)療工作。徐州市中醫(yī)院多措并舉嚴(yán)禁醫(yī)務(wù)人員非法“統(tǒng)方”,開展崗位廉政教育,筑牢思想防線,并狠抓落實(shí),建立信息安全管理、監(jiān)督長效機(jī)制,切實(shí)保障醫(yī)院信息安全。
近年來,醫(yī)院不斷加大監(jiān)控力度,堅(jiān)決打擊伸向醫(yī)院的非法統(tǒng)方“黑手”,加強(qiáng)“防統(tǒng)方”工作,完善工作制度,落實(shí)相關(guān)責(zé)任,遏制醫(yī)藥衛(wèi)生領(lǐng)域商業(yè)賄賂行為,保障醫(yī)院安全運(yùn)行。醫(yī)院領(lǐng)導(dǎo)多次帶領(lǐng)廣大干部職工集中學(xué)習(xí)文件精神,制定和完善了醫(yī)院信息安全工作的相關(guān)制度,如《關(guān)于醫(yī)院信息系統(tǒng)藥品、高值耗材統(tǒng)計(jì)功能管理的規(guī)定》、《信息安全保密制度》等。醫(yī)院對(duì)各個(gè)部門通過計(jì)算機(jī)網(wǎng)絡(luò)查詢醫(yī)院信息的權(quán)限實(shí)行分級(jí)管理,對(duì)醫(yī)院信息系統(tǒng)中有關(guān)藥品、高值耗材使用等信息實(shí)行專人負(fù)責(zé)、加密管理,嚴(yán)禁為商業(yè)目的統(tǒng)方(所謂商業(yè)目的“統(tǒng)方”,是指醫(yī)院中個(gè)人或部門為藥品、器械營銷人員提供醫(yī)生或部門一定時(shí)期內(nèi)臨床用藥量、耗材量信息,供其發(fā)放回扣的行為)。
一、不斷加強(qiáng)醫(yī)院信息安全管理
市中醫(yī)院嚴(yán)格執(zhí)行保密承諾簽訂制度。醫(yī)院信息科、器械科、藥劑科相關(guān)從業(yè)人員和系統(tǒng)服務(wù)商分別簽訂了信息保密協(xié)議,作出承諾不泄露醫(yī)院任何業(yè)務(wù)數(shù)據(jù)信息,否則將承擔(dān)相應(yīng)責(zé)任。以上科室被列為醫(yī)院預(yù)防職務(wù)犯罪崗位風(fēng)險(xiǎn)點(diǎn)進(jìn)行排查梳理,查找漏洞,完善防控措施。醫(yī)院加強(qiáng)與上級(jí)行政管理部門及醫(yī)保、信息等部門的溝通,對(duì)醫(yī)院內(nèi)部HIS系統(tǒng)及時(shí)更新維護(hù),構(gòu)筑網(wǎng)絡(luò)防火墻,做好外接系統(tǒng)前置機(jī)安保措施。
醫(yī)院嚴(yán)格權(quán)限密碼和用戶權(quán)限管理。醫(yī)院制訂《信息系統(tǒng)用戶權(quán)限保密制度》,保障信息系統(tǒng)安全、可靠、穩(wěn)定地運(yùn)行,防范醫(yī)療風(fēng)險(xiǎn)。系統(tǒng)管理員的上機(jī)口令實(shí)行“雙密碼”制度,嚴(yán)格管理,嚴(yán)禁泄密,須由兩人分別錄入密碼方可進(jìn)入,核心密碼做到每周更換。操作員代碼和權(quán)限統(tǒng)一由微機(jī)室扎口管理,對(duì)各操作員使用模塊的權(quán)限設(shè)置進(jìn)行分級(jí)管理。由各使用單位組長、護(hù)士長統(tǒng)一上報(bào)操作員名單和權(quán)限,微機(jī)室根據(jù)名單嚴(yán)格執(zhí)行,不擴(kuò)大操作員權(quán)限范圍。
醫(yī)院嚴(yán)格計(jì)算機(jī)機(jī)房安全管理。醫(yī)院制訂《機(jī)房安全管理制度》,做好出入人員管理,嚴(yán)禁非信息中心工作人員進(jìn)入機(jī)房,特殊情況需經(jīng)批準(zhǔn),并登記后方可進(jìn)入。每天由專人依據(jù)“機(jī)房檢查制度”檢查機(jī)房(包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、濕度、溫度、空調(diào)、UPS等),并認(rèn)真、如實(shí)、詳細(xì)地作好記錄。對(duì)數(shù)據(jù)實(shí)施嚴(yán)格的安全與保密管理,防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失及破壞。
醫(yī)院嚴(yán)格相關(guān)人員日常管理。醫(yī)院信息系統(tǒng)管理人員定期對(duì)系統(tǒng)漏洞、賬號(hào)安全等情況進(jìn)行檢查、維護(hù),及時(shí)終止計(jì)算機(jī)離崗人員的系統(tǒng)訪問權(quán)限。系統(tǒng)開發(fā)公司等第三方人員進(jìn)入信息系統(tǒng),需提交申請(qǐng),經(jīng)有關(guān)負(fù)責(zé)人批準(zhǔn)后進(jìn)行,并做好記錄工作。
二、不斷加強(qiáng)醫(yī)院信息系統(tǒng)管理
市中醫(yī)院嚴(yán)格終端設(shè)備安全管理。1.醫(yī)院科學(xué)合理設(shè)置各信息設(shè)備的功能模塊,已卸除所有不必要的敏感信息統(tǒng)計(jì)模塊,能做到嚴(yán)格限制剩余統(tǒng)計(jì)功能權(quán)限分配,每項(xiàng)工作均有專人負(fù)責(zé),明確具體責(zé)任,嚴(yán)格管理敏感信息統(tǒng)計(jì)查詢功能,嚴(yán)禁普通操作人員使用統(tǒng)計(jì)、匯總等“統(tǒng)方”敏感功能。2.我院購入桌面管理控制軟件,徹底控制醫(yī)院內(nèi)部電腦桌面的行為,就以下方面做到了絕對(duì)控制:控制工作站“白名單”,在名單列表以外的軟件無法運(yùn)行,嚴(yán)格控制非法應(yīng)用程序在全院所有工作終端的運(yùn)行;控制工作終端“U盤”使用,未經(jīng)信息科授權(quán)的移動(dòng)存儲(chǔ)介質(zhì)無法在全院任何一臺(tái)接入網(wǎng)絡(luò)的電腦終端使用,有效杜絕信息泄露和外來移動(dòng)存儲(chǔ)介質(zhì)的使用;記錄后臺(tái)日志,任何終端就泄露信息或損壞終端安全的行為將會(huì)被記錄在案,為事后處理提供有效證據(jù)。3.醫(yī)院進(jìn)行網(wǎng)絡(luò)整改,采用高端天融信網(wǎng)絡(luò)防火墻系統(tǒng)以及醫(yī)院內(nèi)部的VLAN網(wǎng)絡(luò)技術(shù)將外部網(wǎng)與內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)隔離,即凡能訪問因特網(wǎng)的電腦終端上均無法運(yùn)行醫(yī)院內(nèi)部信息系統(tǒng),在醫(yī)院內(nèi)部業(yè)務(wù)網(wǎng)的電腦終端上無法訪問外部網(wǎng),從網(wǎng)絡(luò)環(huán)境上保障信息安全。
醫(yī)院嚴(yán)格限定“訪問”權(quán)限。醫(yī)院規(guī)定從事統(tǒng)計(jì)、匯總等“統(tǒng)方”敏感功能的人員必須在授權(quán)范圍內(nèi)“訪問”信息系統(tǒng),設(shè)置多人多重密碼防護(hù),并每月定期或不定期更換密碼。建立健全機(jī)制,所有到醫(yī)院信息科進(jìn)行數(shù)據(jù)查詢的申請(qǐng)工作均需要按照數(shù)據(jù)提取流程進(jìn)行,并將數(shù)據(jù)提取人、申請(qǐng)理由、審批人、執(zhí)行人員及執(zhí)行時(shí)間等做詳細(xì)登記。該院網(wǎng)絡(luò)接入控制,購入上網(wǎng)行為控制軟件,現(xiàn)已做到對(duì)所有連入醫(yī)院網(wǎng)絡(luò)的電腦終端的接入控制,在未經(jīng)過信息科授權(quán)的情況下,任何外來人員無法通過私用電腦終端進(jìn)入我院網(wǎng)絡(luò)。
醫(yī)院利用“防統(tǒng)方”軟件實(shí)施全面監(jiān)控。醫(yī)院已安裝“防統(tǒng)方”軟件,采取對(duì)計(jì)算機(jī)網(wǎng)絡(luò)共享信息嚴(yán)格授權(quán)、加密等有效措施,防止個(gè)別工作人員利用統(tǒng)計(jì)、報(bào)告、分析等方式,獲取醫(yī)生或部門用藥的有關(guān)信息,透露給醫(yī)藥營銷人員。醫(yī)院通過該軟件篩查出危險(xiǎn)查詢行為,根據(jù)報(bào)警信息可定位使用者IP地址,及時(shí)采取針對(duì)性措施,有效打擊了非法“統(tǒng)方”行為。
三、不斷加強(qiáng)醫(yī)院信息監(jiān)督檢查
市中醫(yī)院嚴(yán)格日常審計(jì)。醫(yī)院設(shè)有專人負(fù)責(zé)的審計(jì)分析崗位,承擔(dān)對(duì)日常系統(tǒng)日志、數(shù)據(jù)庫異常操作等信息的分析篩查工作,排查“統(tǒng)方”行為。嚴(yán)格執(zhí)行醫(yī)院信息安全及計(jì)算機(jī)機(jī)房管理制度,不進(jìn)入機(jī)房,不掌握核心數(shù)據(jù)庫及服務(wù)器操作系統(tǒng)密碼。
醫(yī)院嚴(yán)格責(zé)任追究。醫(yī)院對(duì)非法“統(tǒng)方”工作從嚴(yán)管理、常抓不懈,投訴舉報(bào)渠道暢通,自覺接受社會(huì)監(jiān)督。醫(yī)院組織相關(guān)部門工作人員不定期深入到臨床科室、門診診室、藥劑科、計(jì)算機(jī)房進(jìn)行查訪。對(duì)非法“統(tǒng)方”的人員,一經(jīng)發(fā)現(xiàn)和查實(shí),情節(jié)輕微的按照相關(guān)規(guī)定處理。情節(jié)嚴(yán)重的停止醫(yī)生處方權(quán),構(gòu)成犯罪的移送司法機(jī)關(guān)追究刑事責(zé)任。對(duì)科室負(fù)責(zé)人因教育不力、管理不嚴(yán),造成醫(yī)生用藥信息泄露,并為醫(yī)藥營銷人員“回扣”提供方便的,予以免職處理。
徐州市中醫(yī)院通過進(jìn)行非法“統(tǒng)方”的預(yù)防阻止和審計(jì)追溯,保障了醫(yī)院的信息安全,切實(shí)加強(qiáng)了醫(yī)務(wù)人員崗位風(fēng)險(xiǎn)廉政教育,強(qiáng)化了相關(guān)從業(yè)人員的保密意識(shí),有效地推進(jìn)了醫(yī)藥購銷領(lǐng)域商業(yè)賄賂治理工作的深入開展。