導(dǎo)語：如何才能寫好一篇醫(yī)院網(wǎng)絡(luò)安全培訓(xùn)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】 網(wǎng)絡(luò)信息系統(tǒng) 醫(yī)院網(wǎng)絡(luò)安全 病案管理系統(tǒng)

網(wǎng)絡(luò)信息的安全關(guān)系到國(guó)家的安全和以及社會(huì)穩(wěn)定等重要問題，并且隨著全球信息化步伐的加速發(fā)展而越來越重要。而醫(yī)院的網(wǎng)絡(luò)安全又是一個(gè)比較特殊的而且應(yīng)該引起極大重視的事，新的醫(yī)改方案的出臺(tái)，提出要建立一個(gè)資源共享的醫(yī)療衛(wèi)生信息系統(tǒng)用以推進(jìn)信息化建設(shè)，重點(diǎn)在于醫(yī)院的管理和電子病歷上，這意味著醫(yī)院的信息系統(tǒng)將會(huì)是一個(gè)高科技和高風(fēng)險(xiǎn)并存的系統(tǒng)，它將承載著更多的醫(yī)療管理業(yè)務(wù)，而網(wǎng)絡(luò)信息系統(tǒng)本身的脆弱性和復(fù)雜性，使得網(wǎng)絡(luò)信息系統(tǒng)所要面臨的威脅也越大。因此，醫(yī)院的網(wǎng)絡(luò)系統(tǒng)安全問題也會(huì)變得越來越重要和充滿著挑戰(zhàn)性。

一、醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)與重要性

醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)包括操作系統(tǒng)的安全和醫(yī)保及互聯(lián)網(wǎng)的安全，。隨著技術(shù)的發(fā)展，互聯(lián)網(wǎng)已大量普及，使得網(wǎng)絡(luò)安全成為了需要重點(diǎn)考慮的問題，這也是現(xiàn)在醫(yī)院當(dāng)務(wù)之急最應(yīng)該做的事，醫(yī)院網(wǎng)絡(luò)安全的重要性體現(xiàn)在：

1、醫(yī)院患者數(shù)據(jù)的特殊性

醫(yī)院的病案管理數(shù)據(jù)就好像是一個(gè)及其重要的醫(yī)學(xué)文獻(xiàn)，它的每個(gè)數(shù)據(jù)都是醫(yī)院所最寶貴的財(cái)富，一旦弄丟或者出現(xiàn)差錯(cuò)，將帶來無法預(yù)計(jì)的損失，因?yàn)槊總€(gè)病人的疾病發(fā)生癥狀、演變還有每次醫(yī)務(wù)人員的診斷和治療過程都被完整的記錄了下來，這是醫(yī)學(xué)現(xiàn)代化的一個(gè)發(fā)展和應(yīng)用，而且也直觀的可以將醫(yī)務(wù)人員的素質(zhì)以及現(xiàn)代醫(yī)療的技術(shù)水平呈現(xiàn)出來。而醫(yī)院本身的數(shù)據(jù)又非常龐大和復(fù)雜，以前數(shù)據(jù)這些都需要有專業(yè)的人員深入到科室去對(duì)各種病案進(jìn)行收集分類和整理，工作量非常的大而且又容易出現(xiàn)誤差，因如果借助醫(yī)院的網(wǎng)絡(luò)手段就可以進(jìn)行現(xiàn)代化的管理，使得病案的存儲(chǔ)和處理變得更加的便捷和精確，這樣的話將會(huì)大大的提高醫(yī)院的工作效率。所以醫(yī)院的網(wǎng)絡(luò)安全問題就顯得尤其的重要。

2、網(wǎng)絡(luò)安全犯罪事件越來越多

現(xiàn)在信息技術(shù)發(fā)展的飛快，掌握網(wǎng)絡(luò)犯罪技術(shù)的人員也越來越多，網(wǎng)絡(luò)安全系統(tǒng)的漏洞不斷被檢測(cè)出來，一旦醫(yī)院的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障，不僅會(huì)影響到醫(yī)院日常工作的進(jìn)行，也會(huì)給醫(yī)院帶來非常不利的影響。同時(shí)醫(yī)院數(shù)據(jù)的龐大，也對(duì)醫(yī)院網(wǎng)絡(luò)的數(shù)據(jù)處理能力提出了更高的要求，所以建立健全一個(gè)完善的的醫(yī)院網(wǎng)絡(luò)系統(tǒng)是非常迫切同時(shí)也非常重要的事！

二、網(wǎng)絡(luò)安全中存在的問題分析

1、網(wǎng)絡(luò)協(xié)議存在安全隱患

TCP/IP協(xié)議中容易遭受到IP的劫持和Smuff攻擊等風(fēng)險(xiǎn)，劫持者利用序列號(hào)預(yù)測(cè)，而在連接中植入自己的數(shù)據(jù)，Smuff攻擊則假冒受害者主機(jī)的IP地址，引起受害主機(jī)的崩潰。而FrP協(xié)議的口令設(shè)置會(huì)方便入侵者盜取口令并傳播木馬等病毒，用以竊取用戶的數(shù)據(jù)，@DDNS提供解析域名等服務(wù)，很容易遭受到假冒域名的攻擊， 路由協(xié)議缺陷使得入侵者可以偽造ARP包不，不停地更改序列號(hào)，冒充主機(jī)，然后就可以監(jiān)聽主機(jī)的數(shù)據(jù)包，影響整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行穩(wěn)定。

2、來自病毒的頻繁攻擊事件

網(wǎng)絡(luò)病毒肆掠，黑客的頻繁攻擊，所造成的危害越來越嚴(yán)重，給醫(yī)院的正常運(yùn)行帶來重重阻礙，大多數(shù)的網(wǎng)絡(luò)安全事件都是由于用戶終端的脆弱造成，在醫(yī)院網(wǎng)絡(luò)中，系統(tǒng)漏洞和殺毒軟件的落后的現(xiàn)場(chǎng)非常常見，而醫(yī)院的網(wǎng)絡(luò)處于互聯(lián)網(wǎng)中，難免會(huì)遇到各種的病毒攻擊，這些病毒可能會(huì)是醫(yī)院的系統(tǒng)崩塌，并感染其他的電腦，安全威脅將會(huì)快速的擴(kuò)展到更廣的范圍里。所以醫(yī)院急需解決的是要保證用戶終端的健康安全使用，同、同時(shí)須完善自身的病毒防御系統(tǒng)。

3、安全制度存在漏洞，安全策略不完善

鑒于醫(yī)院信息的特殊性，對(duì)醫(yī)院信息安全系統(tǒng)的建設(shè)將會(huì)是一個(gè)非常復(fù)雜的工程。一些醫(yī)院沒有建立完善的網(wǎng)絡(luò)安全機(jī)制，也沒有采取和調(diào)整相應(yīng)的網(wǎng)絡(luò)安全策略，而僅僅是注重于采購(gòu)各種網(wǎng)絡(luò)安全產(chǎn)品，沒有給自己制定相關(guān)的中、長(zhǎng)期規(guī)劃，這樣的話，醫(yī)院的信息安全產(chǎn)品其實(shí)沒有起到應(yīng)有的作用。

4、人員的操作失誤

操作人員的安全意識(shí)薄弱，不了解網(wǎng)絡(luò)安全所應(yīng)承擔(dān)的責(zé)任，自身的操作技術(shù)不過關(guān)，又無法應(yīng)付網(wǎng)絡(luò)安全的突發(fā)事件，這樣可能會(huì)帶來引入危害程序，泄漏網(wǎng)絡(luò)信息，造成網(wǎng)絡(luò)的崩塌等安全隱患。所以非常需要加強(qiáng)對(duì)操作人員的安全意識(shí)和技術(shù)培訓(xùn)。

三、相關(guān)的建議和解決措施

1、完善網(wǎng)絡(luò)安全策略

根據(jù)醫(yī)院的具體情況制定一套自上而下的完整的安全策略，同時(shí)對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的安全監(jiān)控，確保可以及時(shí)的了解到醫(yī)院的網(wǎng)絡(luò)安全狀況，提前發(fā)現(xiàn)網(wǎng)絡(luò)中入侵動(dòng)作，并且運(yùn)用防火墻來進(jìn)行阻止，這樣醫(yī)院就可以隨時(shí)了解到網(wǎng)絡(luò)中存在的缺陷，在發(fā)生損失之前就采取必要的安全措施，提高自身的安全防御水平。

2、借助先進(jìn)的網(wǎng)絡(luò)安全技術(shù)

（1）在外網(wǎng)同內(nèi)網(wǎng)之間設(shè)置好防火墻，利用防火墻來對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控和過濾，達(dá)到控制和阻斷存在安全隱患的進(jìn)出網(wǎng)絡(luò)訪問行為，對(duì)于應(yīng)當(dāng)禁止的業(yè)務(wù)要及時(shí)進(jìn)行封鎖，并把防火墻的工作信息和內(nèi)容詳細(xì)的記錄下來，以此來提前監(jiān)測(cè)和預(yù)警可能要進(jìn)行的網(wǎng)絡(luò)攻擊，防火墻的種類有過濾型、檢測(cè)型和型等，在實(shí)際運(yùn)用中，要根據(jù)不同的情況以便安裝不同的防火墻。

（2）根據(jù)不同的安全需求來劃分和隔離出不同的安全域，可利用控制訪問和權(quán)限等機(jī)制、來達(dá)到對(duì)不同的訪問者訪問網(wǎng)絡(luò)和設(shè)備時(shí)的控制，防止內(nèi)部訪問者在無權(quán)訪問的區(qū)域進(jìn)行訪問和采取錯(cuò)誤的操作。通常將網(wǎng)絡(luò)安全級(jí)別劃分為關(guān)鍵的服務(wù)區(qū)域和外部接入的服務(wù)區(qū)域，我們可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部并且要安全的隔離這兩大區(qū)域之間，針對(duì)關(guān)鍵的服務(wù)器區(qū)域內(nèi)部， 也需要按不同的安全級(jí)別而進(jìn)行不同的安全隔離，劃分并隔離不同安全域要結(jié)合網(wǎng)絡(luò)系統(tǒng)的安防與監(jiān)控需要，與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程和機(jī)構(gòu)組織形式密切結(jié)合起來。

（3）要定期更新升級(jí)防病毒的工具，并且要經(jīng)常對(duì)網(wǎng)絡(luò)進(jìn)行安全掃描，以防范病毒和帶有安全隱患的入侵，注意加強(qiáng)系統(tǒng)薄弱的地方，及時(shí)檢查漏洞并修補(bǔ)漏洞。除了平常的防毒工作站外，消除病毒的關(guān)鍵還在于email防毒和網(wǎng)關(guān)式防毒。平時(shí)還需要經(jīng)常使用掃描器主動(dòng)掃描，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的安全隱患并進(jìn)行修補(bǔ)，以防黑客攻擊。

（4）要采取先進(jìn)的加密和認(rèn)證技術(shù)，通過加密，可以使要傳輸?shù)男畔⒌玫胶芎玫谋Ｃ?，這是一個(gè)非常常見但是效果又很明顯的技術(shù)，主要是在文件傳輸和桌面的安全防御中得到廣泛的應(yīng)用。

（5）要對(duì)數(shù)據(jù)經(jīng)常進(jìn)行備份，醫(yī)院信息系統(tǒng)的核心是數(shù)據(jù)庫(kù)，它關(guān)系著患者的治療資料和隱私，數(shù)據(jù)庫(kù)的安全要保證數(shù)據(jù)的正常的存儲(chǔ)與應(yīng)用，而且要對(duì)對(duì)數(shù)據(jù)庫(kù)的破獲和攻擊采取防御措施，所以數(shù)據(jù)的重要性對(duì)于醫(yī)院來說是不言而喻的。即使沒有病毒與網(wǎng)絡(luò)攻擊，自己自身的錯(cuò)誤操作或者系統(tǒng)的斷電及其他的一些意外，都會(huì)導(dǎo)致數(shù)據(jù)的不可挽回的丟失，所以我們必須要有制定一套完整的保護(hù)方案和應(yīng)急手段才行，而備份是一種最常用的最基本的系統(tǒng)安全維護(hù)手段，利用數(shù)據(jù)的備份和恢復(fù)功能，有些數(shù)據(jù)甚至能異地存儲(chǔ)備份，這樣可以避免嚴(yán)重的事故發(fā)生。

3、健全風(fēng)險(xiǎn)的評(píng)測(cè)體制，增強(qiáng)醫(yī)院的安全管理體制

可以長(zhǎng)期與專業(yè)的安全服務(wù)公司進(jìn)行合作，以便建立一套完整的風(fēng)險(xiǎn)評(píng)估機(jī)制，在部門之間加強(qiáng)信息的溝通與資源的共享，采用其先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，同時(shí)結(jié)自身網(wǎng)絡(luò)系統(tǒng)安全實(shí)際的實(shí)際情況，去不斷發(fā)現(xiàn)信息系統(tǒng)中所存在的安全隱患，然后尋求有效的補(bǔ)救方法。同時(shí)也要安排專門的人員對(duì)硬件設(shè)備和系統(tǒng)進(jìn)行維護(hù)和優(yōu)化?？梢栽O(shè)立完善的安全管理機(jī)構(gòu)，由專門的網(wǎng)絡(luò)安全的小組的領(lǐng)導(dǎo)組成，落實(shí)職責(zé)。加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)，保證醫(yī)院的信息系統(tǒng)可以正常運(yùn)行。在執(zhí)行安全策略時(shí)需要采取制度化管理，規(guī)范各個(gè)業(yè)務(wù)系統(tǒng)的操作和數(shù)據(jù)庫(kù)管理員的工作等，而對(duì)于不同敏感類型的信息要依據(jù)相關(guān)的管理制度和方法來管理。

4、建立應(yīng)急預(yù)案，定期進(jìn)行演練

在醫(yī)院網(wǎng)絡(luò)系統(tǒng)的運(yùn)行過程中，難免會(huì)會(huì)出現(xiàn)各類的故障，為了確保醫(yī)院的安全系統(tǒng)可以正常運(yùn)行，應(yīng)當(dāng)建立應(yīng)急預(yù)案，使得醫(yī)院在突發(fā)事件中提高系統(tǒng)的處理的能力，是不利的影響和損失能夠降到最低，制定應(yīng)急預(yù)案，所以首先，從醫(yī)院的實(shí)際業(yè)務(wù)特點(diǎn)出發(fā)，來進(jìn)行不同規(guī)模的應(yīng)急演練，同時(shí)應(yīng)當(dāng)注意對(duì)不同的故障制定不同的應(yīng)急預(yù)案，并設(shè)立專門的領(lǐng)導(dǎo)小組作為保證，而啟動(dòng)應(yīng)急預(yù)案會(huì)給醫(yī)院的正常工作很大挑戰(zhàn)，因?yàn)樾枰{(diào)動(dòng)大量的人力和物力所以對(duì)于應(yīng)急預(yù)案啟動(dòng)的條件要嚴(yán)格控制。在應(yīng)急預(yù)案建立好后，還需定期的組織演練，確保應(yīng)急方案的切實(shí)可行。

5、提高相關(guān)人員的素質(zhì)，加強(qiáng)員工的培訓(xùn)

操作人員的素質(zhì)高低會(huì)直接影響到醫(yī)院網(wǎng)絡(luò)完全的系統(tǒng)建立，對(duì)員工進(jìn)行相關(guān)的安全培訓(xùn)則是非常關(guān)鍵的手段。安全培訓(xùn)可以分為信息科的專業(yè)人員的安全技術(shù)培訓(xùn)和所有使用人員的操作安全培訓(xùn)這兩種。信息科的培訓(xùn)針對(duì)的是各類的安全技術(shù)和安全策略，而系統(tǒng)使用人員的操作培訓(xùn)，要?jiǎng)t主要在于怎樣安全的使用各類計(jì)算機(jī)設(shè)備和怎么樣對(duì)設(shè)備進(jìn)行維修保養(yǎng)。

總之，我們都知道不存在絕對(duì)安全的網(wǎng)絡(luò)防御系統(tǒng)，網(wǎng)絡(luò)信息的安全風(fēng)險(xiǎn)的存在是客觀的現(xiàn)象，也是一個(gè)在不斷演變和前進(jìn)的的系統(tǒng)，科技的發(fā)達(dá)與便捷，促使醫(yī)院的業(yè)務(wù)對(duì)網(wǎng)絡(luò)技術(shù)的依賴也越來越強(qiáng)，當(dāng)然相關(guān)的風(fēng)險(xiǎn)也就大大的提高了，而當(dāng)故障發(fā)生時(shí)，不可避免的會(huì)給醫(yī)院的服務(wù)和秩序帶來無法估計(jì)的影響。所以，必須高度重視技術(shù)上的和理論上的網(wǎng)絡(luò)安全。隨著計(jì)算機(jī)技術(shù)與醫(yī)院自身的信息系統(tǒng)的不斷完善，未來在網(wǎng)絡(luò)安全上的體制也將會(huì)更完善。

參 考 文 獻(xiàn)

[1] 式志紅. 醫(yī)院信息系統(tǒng)的安全維護(hù)措施[J]. 中國(guó)醫(yī)療設(shè)備，2009（1）

篇2

【關(guān)鍵詞】信息安全等級(jí)保護(hù) 測(cè)評(píng)實(shí)施

1 引言

醫(yī)院信息化建設(shè)快速發(fā)展，信息系統(tǒng)應(yīng)用深入到各個(gè)環(huán)節(jié)，信息業(yè)務(wù)系統(tǒng)承載了門診收費(fèi)、門診藥房、住院收費(fèi)、住院藥房、醫(yī)保、財(cái)務(wù)、門急診醫(yī)生護(hù)士站、住院醫(yī)生護(hù)士站、電子病歷、病案首頁(yè)、檢驗(yàn)LIS系統(tǒng)、檢查PACS系統(tǒng)、體檢系統(tǒng)等。保障重點(diǎn)信息系統(tǒng)的安全，規(guī)范信息安全等級(jí)保護(hù)，完善信息保護(hù)機(jī)制，提高信息系統(tǒng)的防護(hù)能力和應(yīng)急水平，有效遏制重大網(wǎng)絡(luò)與信息安全事件的發(fā)生，創(chuàng)造良好的信息系統(tǒng)安全運(yùn)營(yíng)環(huán)境勢(shì)在必要。根據(jù)衛(wèi)生部印發(fā)的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》，衛(wèi)生信息安全工作是我國(guó)衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級(jí)保護(hù)工作，對(duì)于促進(jìn)衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要意義。

2 確定測(cè)評(píng)對(duì)象與等級(jí)

我院是一所二級(jí)甲等綜合醫(yī)院，日門診人次1000人左右，住院日人次400余人。醫(yī)院信息系統(tǒng)HIS、LIS、PACS、電子病歷、體檢等50余個(gè)系統(tǒng)無縫結(jié)合，信息雙向交流。按照《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》定級(jí)原理，確定醫(yī)院信息業(yè)務(wù)系統(tǒng)的安全保護(hù)等級(jí)為第2級(jí)，其中業(yè)務(wù)信息安全保護(hù)等級(jí)為2級(jí)，系統(tǒng)服務(wù)安全保護(hù)等級(jí)為2級(jí)。

2.1 招標(biāo)比選測(cè)評(píng)公司

醫(yī)院通過四川警察網(wǎng)了解到四川省獲得信息安全等級(jí)保護(hù)測(cè)評(píng)有資質(zhì)的5家公司。醫(yī)院電話通知該5家公司，簡(jiǎn)單介紹醫(yī)院信息化情況，其中有3家公司到現(xiàn)場(chǎng)進(jìn)行調(diào)查，掌握了信息系統(tǒng)情況。然后通過招標(biāo)比選確定一家公司為我院測(cè)評(píng)安全等級(jí)保護(hù)。

2.2 測(cè)評(píng)實(shí)施

2.2.1 準(zhǔn)備階段

醫(yī)院填報(bào)《安全等級(jí)保護(hù)備案申報(bào)表》、《安全等級(jí)保護(hù)定級(jí)報(bào)告》，確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、審計(jì)管理員、安全管理員。醫(yī)院組織相關(guān)人員到市級(jí)計(jì)算機(jī)安全學(xué)會(huì)進(jìn)行安全培訓(xùn)學(xué)習(xí)。確定醫(yī)院信息安全主管人員協(xié)助測(cè)評(píng)公司人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研，提交準(zhǔn)備資料。調(diào)研內(nèi)容涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、線路鏈接情況、中心機(jī)房位置分布情況、應(yīng)用系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及相應(yīng)的IP地址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。

2.2.2 測(cè)評(píng)主要內(nèi)容

主要針對(duì)醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實(shí)施測(cè)評(píng)，其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全及備份恢復(fù)進(jìn)行5；安全管理包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

2.2.3 測(cè)評(píng)方式與測(cè)評(píng)范圍

測(cè)評(píng)公司綜合采用了現(xiàn)場(chǎng)測(cè)評(píng)與風(fēng)險(xiǎn)分析方法測(cè)評(píng)、單元測(cè)評(píng)與整體測(cè)評(píng)。單元測(cè)評(píng)實(shí)施過程中采用現(xiàn)場(chǎng)訪談、檢查和測(cè)試等測(cè)評(píng)方法。就各類崗位人員進(jìn)行訪談，了解醫(yī)院業(yè)務(wù)運(yùn)作以及網(wǎng)絡(luò)運(yùn)行狀況；查看主機(jī)房、應(yīng)用系統(tǒng)軟件、主機(jī)操作系統(tǒng)及安全相關(guān)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等技術(shù)類測(cè)評(píng)任務(wù)，以及安全管理類測(cè)評(píng)任務(wù)；查閱分析文檔、核查安全配置、監(jiān)聽與分析網(wǎng)絡(luò)等檢查方法查證防火墻、路由器、交換機(jī)部署及其配置情況、端口開放情況等；測(cè)評(píng)人員采用手工驗(yàn)證和工具測(cè)試進(jìn)行漏洞掃描、系統(tǒng)滲透測(cè)試，檢查系統(tǒng)的安全有效性。

整體測(cè)評(píng)主要應(yīng)用于安全控制間、層面間和區(qū)域間等三個(gè)方面。主要就是針對(duì)同一區(qū)域內(nèi)、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區(qū)域間的互連互通時(shí)的安全性。

醫(yī)院信息系統(tǒng)運(yùn)用了身份鑒別措施、軟件容錯(cuò)機(jī)制、用戶權(quán)限分組管理、密碼賬戶登錄、數(shù)據(jù)庫(kù)表中記錄用戶操作、對(duì)重要事件進(jìn)行審計(jì)并留存記錄。網(wǎng)絡(luò)邊界處部署防火墻防御入侵，終端使用了趨勢(shì)網(wǎng)絡(luò)版本防病毒產(chǎn)品，抵御惡意代碼。開啟系統(tǒng)審計(jì)日志，制定和實(shí)施有效安全管理制度，加強(qiáng)安全管理，降低系統(tǒng)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)進(jìn)行了有效的區(qū)域劃分，區(qū)域之間通過訪問控制列表實(shí)現(xiàn)安全控制，與社保局、醫(yī)管辦等第三方外聯(lián)區(qū)之間通過防火墻嚴(yán)格限制訪問端口。

2.2.5 差距分析與測(cè)評(píng)整改

通過測(cè)評(píng)，測(cè)評(píng)公司寫出測(cè)評(píng)報(bào)告，提出整改建議。按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》要求6，測(cè)評(píng)公司人員根據(jù)醫(yī)院當(dāng)前安全管理需要和管理特點(diǎn)，針對(duì)等級(jí)保護(hù)所要求的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，從人員、制度、運(yùn)作、規(guī)范等角度，進(jìn)行全面的建設(shè)7，提供技術(shù)建設(shè)措施，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，就各類人員進(jìn)行安全培訓(xùn)，提升醫(yī)院信息系統(tǒng)管理的能力。醫(yī)院分期逐步投入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等。

2.2.6 編制報(bào)告，成功備案

測(cè)評(píng)公司編制報(bào)告，上報(bào)市公安局備案成功，獲得二級(jí)信息系統(tǒng)備案證書。二級(jí)信息系統(tǒng)，每?jī)赡赀M(jìn)行一次信息安全等級(jí)測(cè)評(píng)。實(shí)施安全等級(jí)保護(hù)測(cè)評(píng)備案使醫(yī)院信息系統(tǒng)安全管理水平提高，安全保護(hù)能力增強(qiáng)，有效保障信息化健康發(fā)展。

3 結(jié)語

網(wǎng)絡(luò)安全問題是一個(gè)集技術(shù)、管理和法規(guī)于一體的長(zhǎng)期系統(tǒng)工程，始終有其動(dòng)態(tài)性，醫(yī)院需要不斷進(jìn)行完善，加強(qiáng)管理，持續(xù)增加安全設(shè)備以保障醫(yī)院數(shù)據(jù)安全有效，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。醫(yī)院信息安全建設(shè)要切合自身?xiàng)l件特點(diǎn)，分期分批循序建設(shè)，保證醫(yī)院各系統(tǒng)長(zhǎng)期穩(wěn)定安全運(yùn)行，以適應(yīng)醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需求8。

參考文獻(xiàn)

[1]衛(wèi)辦發(fā).〔2011〕85號(hào)，衛(wèi)生部關(guān)于印發(fā)“衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見”的通知，2011.

[2]尚邦治.做好信息安全等級(jí)保護(hù)工作[J].中國(guó)衛(wèi)生信息管理雜志，2005.

[3]王建英，陳文霞，胡雯，張鵬.醫(yī)院信息安全分析及措施[J].中國(guó)病案，2013.

[4]王俊.醫(yī)院信息安全等級(jí)保護(hù)管理體系的構(gòu)建[J].醫(yī)學(xué)信息，2013.

[5]韓作為.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)建設(shè)流程與要點(diǎn)[J].中國(guó)數(shù)字醫(yī)學(xué)，2006.

篇3

隨著計(jì)算機(jī)軟件技術(shù)的發(fā)展,特別是分布式和軟件移動(dòng)計(jì)算的廣泛應(yīng)用,使得系統(tǒng)開放性越來越強(qiáng),局域網(wǎng)內(nèi)的用戶都可能訪問到應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù),這給醫(yī)院信息安全帶來了極大的挑戰(zhàn)。從收費(fèi)數(shù)據(jù)到醫(yī)療信息、從病人隱私保密到管理信息的保密,都要求醫(yī)院管理系統(tǒng)要處于高度安全的環(huán)境中。醫(yī)院信息系統(tǒng)的穩(wěn)定和安全運(yùn)行,是醫(yī)院持續(xù)正常工作的組成部分。作為一個(gè)持續(xù)運(yùn)行的事務(wù)處理系統(tǒng),要求能每天24小時(shí)不間斷運(yùn)行,不希望有中斷,否則會(huì)使醫(yī)院的聲譽(yù)受到影響。同時(shí),隨著業(yè)務(wù)的發(fā)展,系統(tǒng)數(shù)據(jù)量的增加,要求系統(tǒng)能穩(wěn)定地運(yùn)行,不能使系統(tǒng)性能快速降低。在一些重要的系統(tǒng)中,如財(cái)務(wù)、人事、醫(yī)保實(shí)時(shí)交易等信息,已經(jīng)不能滿足于簡(jiǎn)單的本地保護(hù),要求有更高的系統(tǒng)可靠性,保證系統(tǒng)能進(jìn)行容災(zāi)保護(hù)。一旦出現(xiàn)異常情況,如火災(zāi)、爆炸、地震、水災(zāi)、雷擊或某個(gè)方向線路故障等自然原因以及電源機(jī)器故障、人為破壞等非自然原因引起的災(zāi)難后,系統(tǒng)能快速穩(wěn)定地恢復(fù)正常工作。因此,信息安全已經(jīng)不是人們傳統(tǒng)意義上的安全概念,是要保證系統(tǒng)避免一系列威脅,保證醫(yī)院業(yè)務(wù)的連續(xù)性,最大限度地減少醫(yī)院業(yè)務(wù)的損失,為醫(yī)院的業(yè)務(wù)發(fā)展提供信息安全保障。本文作者根據(jù)多年來從事醫(yī)院管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的建設(shè)及維護(hù)工作的經(jīng)驗(yàn)出發(fā),探討安全建設(shè)和日常維護(hù)工作。

二、安全的硬指標(biāo)

系統(tǒng)安全的硬指標(biāo)考慮的問題是多方面的,包括如下。

(一)中心機(jī)房安全

中心機(jī)房是醫(yī)院信息系統(tǒng)設(shè)備的存放地,包括數(shù)據(jù)庫(kù)服務(wù)器、磁盤陣列、網(wǎng)絡(luò)主交換、應(yīng)用服務(wù)器等設(shè)備,因此對(duì)環(huán)境的要求極高,應(yīng)該做到:1.機(jī)房供電不少于兩路;2.雙路UPS供電、并采用智能報(bào)警管理UPS;3.防靜電地板、玻璃隔斷、防火墻面處理、外窗防水處理;4.火災(zāi)探測(cè)器、防竊探測(cè)器;5.溫度、濕度恒定,防塵,防蟲鼠;6.三相四線雙變電站供電,安裝應(yīng)急照明系統(tǒng);7.專用機(jī)房接地系統(tǒng),與主配線柜、主設(shè)備柜、防靜電地板下的接地線(環(huán))相連;全方位防雷系統(tǒng),強(qiáng)電、弱電都應(yīng)安裝防雷保護(hù)器等。

(二)服務(wù)器及服務(wù)器操作系統(tǒng)安全

服務(wù)器是數(shù)據(jù)處理的核心單元,是軟件安全的基礎(chǔ),因此,其安全應(yīng)該做到:1.根據(jù)醫(yī)院業(yè)務(wù)狀況決定采用PC服務(wù)器或小型機(jī),并配備磁盤陣列、冗余電源、大規(guī)模內(nèi)存和高速緩存的自動(dòng)糾錯(cuò),保證在連續(xù)工作狀態(tài)下保持穩(wěn)定、快速;2.對(duì)服務(wù)器進(jìn)行隔離,并采取嚴(yán)格的安全管理,各開箱鎖單獨(dú)保存;3.應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器必須嚴(yán)格分開;4.服務(wù)器操作系統(tǒng)應(yīng)采用安全機(jī)制較高的系統(tǒng),如Windows2000或Unix等;5.網(wǎng)絡(luò)操作系統(tǒng)的用戶資源權(quán)限控制以及安全審計(jì)等功能必須開啟;6.操作系統(tǒng)不相關(guān)的應(yīng)用服務(wù)必須關(guān)閉;7.操作系統(tǒng)安全布丁必須定時(shí)更新。

(三)群集技術(shù)及磁盤陣列的可靠性

群集技術(shù)是能使服務(wù)器連續(xù)可靠運(yùn)行的重要保證,簡(jiǎn)單地說是兩臺(tái)服務(wù)器采用雙機(jī)熱備份工作狀態(tài),當(dāng)一臺(tái)機(jī)器出現(xiàn)問題后另一臺(tái)機(jī)器能快速接替主服務(wù)器的工作;服務(wù)器中易損部件是硬盤,硬盤損壞可以造成系統(tǒng)癱瘓,因此采用磁盤陣列進(jìn)行冗余,其要求如下:1.為了避免出現(xiàn)災(zāi)難性后果,必須每天檢查群集工作狀態(tài);2.當(dāng)群集中一臺(tái)機(jī)器出現(xiàn)問題時(shí)應(yīng)該馬上解決,檢查主服務(wù)器,盡早恢復(fù)其工作;3.RAID保證數(shù)據(jù)庫(kù)的高可靠性,保證在部分存儲(chǔ)介質(zhì)損壞時(shí)數(shù)據(jù)不丟失;4.必須定時(shí)檢查硬盤工作情況,發(fā)現(xiàn)問題及時(shí)處理。

(四)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要是指當(dāng)用戶通過網(wǎng)絡(luò)訪問應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器時(shí)如何保證網(wǎng)絡(luò)鏈路的安全,包括網(wǎng)絡(luò)布線安全和網(wǎng)絡(luò)設(shè)備安全。特別還應(yīng)注意設(shè)備的軟故障,軟故障將造成網(wǎng)絡(luò)系統(tǒng)長(zhǎng)時(shí)間無法正常運(yùn)行,使得醫(yī)院處于一種半癱瘓狀態(tài)。軟故障包括廣播風(fēng)暴、交換機(jī)等設(shè)備處于時(shí)好時(shí)壞狀態(tài)、網(wǎng)絡(luò)以極慢速率傳輸數(shù)據(jù)、頻繁出現(xiàn)丟包現(xiàn)象等,因此,基于安全的要求:1.對(duì)于光纖介質(zhì)要求包括溫差、陽(yáng)光、鼠害、碰撞摩擦、拐角半徑等的防護(hù)環(huán)境;2.對(duì)于雙絞線介質(zhì)要求包括磁場(chǎng)、雷擊、電磁干擾、鼠害、溫差、濕度等的防護(hù)環(huán)境;3.網(wǎng)絡(luò)設(shè)備對(duì)環(huán)境的要求包括溫度、濕度、潔凈度、電源質(zhì)量等;4.核心交換機(jī)也須采用雙冗余進(jìn)行備份,確保該交換機(jī)出現(xiàn)故障后備份交換機(jī)能迅速接替工作;5.定時(shí)觀察服務(wù)器網(wǎng)絡(luò)傳輸數(shù)率。

(五)數(shù)據(jù)庫(kù)安全

在醫(yī)院信息系統(tǒng)的后臺(tái),數(shù)據(jù)信息是整個(gè)系統(tǒng)的靈魂,其安全性至關(guān)重要,而數(shù)據(jù)庫(kù)管理系統(tǒng)是保證數(shù)據(jù)能有效保存、查詢、分析等的基礎(chǔ);數(shù)據(jù)被安全存儲(chǔ)、合法地訪問數(shù)據(jù)庫(kù)以及跟蹤監(jiān)視數(shù)據(jù)庫(kù),都必須具有數(shù)據(jù)有效訪問權(quán)限,所以應(yīng)該實(shí)現(xiàn):1.數(shù)據(jù)庫(kù)管理系統(tǒng)提供的用戶名、口令識(shí)別,試圖、使用權(quán)限控制、審計(jì)、數(shù)據(jù)加密等管理措施;2.數(shù)據(jù)庫(kù)權(quán)限的劃分清晰,如登錄權(quán)限、資源管理權(quán)限和數(shù)據(jù)庫(kù)管理權(quán)限;3.數(shù)據(jù)表的建立、數(shù)據(jù)查詢、存儲(chǔ)過程的執(zhí)行等的權(quán)限必須清晰;4.建立用戶審計(jì),記錄每次操作的用戶的詳細(xì)情況;建立系統(tǒng)審計(jì),記錄系統(tǒng)級(jí)命令和數(shù)據(jù)庫(kù)服務(wù)器本身的使用情況。

(六)數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)存儲(chǔ)安全是數(shù)據(jù)庫(kù)存儲(chǔ)的信息不能因自然災(zāi)害、人為原因和設(shè)備損壞而被破壞,同時(shí)保證數(shù)據(jù)可以長(zhǎng)期保存,備份的數(shù)據(jù)可以正確恢復(fù),其要求如下:1.建立數(shù)據(jù)備份方案,嚴(yán)格按照規(guī)定的備份時(shí)間、方式進(jìn)行數(shù)據(jù)備份;2.數(shù)據(jù)備份要有多重冗余備份,要有異地?cái)?shù)據(jù)備份,當(dāng)某一地點(diǎn)數(shù)據(jù)丟失或破壞時(shí),另一地點(diǎn)保存的副本可用于恢復(fù);3.數(shù)據(jù)部分的有效性檢查,保證備份的數(shù)據(jù)萬無一失,做到定期檢查;4.建立快速恢復(fù)機(jī)制,明確出現(xiàn)故障后的快速恢復(fù)手段與方法,而且必須對(duì)之進(jìn)行階段性檢查,進(jìn)行災(zāi)難模擬測(cè)試。

(七)應(yīng)用軟件的安全

由于醫(yī)院信息系統(tǒng)的用戶量大、數(shù)據(jù)量大、涉及面廣、職責(zé)多樣、業(yè)務(wù)流程復(fù)雜和權(quán)限管理復(fù)雜等,所以對(duì)應(yīng)用程序,系統(tǒng)安全設(shè)計(jì)的要求很高。1.設(shè)計(jì)安全審計(jì)功能,且每個(gè)審計(jì)事件都應(yīng)和觸發(fā)該行為的用戶身份相關(guān)聯(lián);2.審計(jì)查閱功能,為審計(jì)功能提供清晰易懂的審計(jì)日志;3.審計(jì)事件存儲(chǔ),審計(jì)日志存儲(chǔ)空間溢滿時(shí)能導(dǎo)出審計(jì)日志并妥善保存;4.設(shè)計(jì)訪問控制策略和訪問控制功能;5.設(shè)計(jì)用戶標(biāo)識(shí)、用戶主體綁定;6.設(shè)計(jì)多重會(huì)話并發(fā)限制、會(huì)話鎖定。

(八)病毒防護(hù)和防黑客攻擊安全

計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的危害遠(yuǎn)大于對(duì)單機(jī)的危害。網(wǎng)絡(luò)發(fā)生計(jì)算機(jī)病毒后最難處理的問題是清除病毒。對(duì)于服務(wù)器等關(guān)鍵設(shè)備應(yīng)安裝殺毒軟件和防黑客攻擊軟件,網(wǎng)絡(luò)環(huán)境下要把防止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)放在首位,基于以上安全特性,要求:1.設(shè)備VLAN,在主域服務(wù)器上安裝網(wǎng)絡(luò)版殺毒軟件和防黑客攻擊軟件;2.定時(shí)更新病毒庫(kù)和殺毒引擎;3.定時(shí)更新操作系統(tǒng)漏洞布丁;4.關(guān)閉不用的操作系統(tǒng)服務(wù);5.關(guān)閉不用的端口;6.盡量將醫(yī)院的內(nèi)網(wǎng)與外網(wǎng)做到物理上的完全隔離。

三、安全的軟指標(biāo)

系統(tǒng)安全的軟指標(biāo)是指管理制度、應(yīng)急方案、操作規(guī)范和安全培訓(xùn)制度等。

(一)組織

成立系統(tǒng)安全工作領(lǐng)導(dǎo)小組、確定第一責(zé)任人、責(zé)任部門、相關(guān)部門和部門負(fù)責(zé)人,明確安全責(zé)任制,并定期檢查、督促落實(shí)。

(二)制度

建立信息安全管理制度也是安全管理的重要組成部分;完整的計(jì)算機(jī)文檔是分析故障、排除故障的基礎(chǔ),是系統(tǒng)正常運(yùn)行的保證;工作制度的建立與系統(tǒng)建設(shè)同步開始;同時(shí),在日常工作中應(yīng)該根據(jù)系統(tǒng)設(shè)置的變化進(jìn)行修改,保證文檔和制度能真實(shí)反映系統(tǒng)狀態(tài),具體制度為:1.建立網(wǎng)絡(luò)服務(wù)器管理制度;2.建立網(wǎng)絡(luò)設(shè)備管理制度;3.建立網(wǎng)絡(luò)工作站管理制度;4.建立網(wǎng)絡(luò)工作人員管理制度;5.技術(shù)文檔管理制度;6.“第三方”訪問管理制度。

(三)信息安全操作規(guī)范

很多安全隱患都來自于操作不規(guī)范,口令定期調(diào)整、程序升級(jí)、日志檢查都可能杜絕掉很多安全隱患,因此,應(yīng)建立如下規(guī)范:1.建立操作系統(tǒng)操作規(guī)范;2.建立數(shù)據(jù)庫(kù)系統(tǒng)操作規(guī)范;3.應(yīng)用系統(tǒng)操作規(guī)范。

(四)應(yīng)急方案

醫(yī)院信息系統(tǒng)應(yīng)急方案是在計(jì)算機(jī)出現(xiàn)故障,且不能短期完全恢復(fù)運(yùn)行,并影響到局部或整體工作時(shí),只有采用人工的方式來開展工作,保證正常醫(yī)療活動(dòng)不被完全打亂,因此應(yīng)做到:1.確定應(yīng)急方案實(shí)施責(zé)任制;2.應(yīng)急方案實(shí)施范圍和時(shí)間;3.應(yīng)急方案通報(bào)制度;4.系統(tǒng)故障一般應(yīng)急措施;5.業(yè)務(wù)應(yīng)用應(yīng)急實(shí)施細(xì)則。

(五)安全培訓(xùn)制度

信息中心應(yīng)負(fù)責(zé)全院相關(guān)部門和人員的信息系統(tǒng)安全教育和使用培訓(xùn)的計(jì)劃制定、實(shí)施和組織協(xié)調(diào)工作:1.制定相應(yīng)的安全培訓(xùn)大綱、培訓(xùn)計(jì)劃,有計(jì)劃地加以實(shí)施;2.對(duì)醫(yī)院決策層和管理層的應(yīng)知應(yīng)會(huì)培訓(xùn),充分認(rèn)識(shí)信息安全的重要性和信息安全防御體系建設(shè)的必要性;3.對(duì)計(jì)算機(jī)科室管理人員的技能培訓(xùn);4.對(duì)操作層面人員的使用培訓(xùn);5.知識(shí)更新培訓(xùn)及業(yè)務(wù)再培訓(xùn)。

四、探討

以上的框架描述只是從作者的工作經(jīng)驗(yàn)和部分理論指導(dǎo)的角度出發(fā),因此很多地方還有待探討。不同的醫(yī)院有不同的情況,不能一概而論,包括管理現(xiàn)狀、資金狀況、人員配備、技術(shù)支持等都會(huì)影響到信息安全的實(shí)施。醫(yī)院如何開展信息安全工作,應(yīng)該本著從實(shí)際出發(fā)的精神,先進(jìn)行風(fēng)險(xiǎn)評(píng)估,研究信息系統(tǒng)存在的漏洞缺陷、面臨的風(fēng)險(xiǎn)與威脅,對(duì)于可能發(fā)現(xiàn)的漏洞、風(fēng)險(xiǎn),制定相應(yīng)的策略:首先在技術(shù)上,確定操作系統(tǒng)類型、安全級(jí)別,以選擇合適的安全的服務(wù)器系統(tǒng)和相關(guān)的安全硬件;再確定適當(dāng)?shù)木W(wǎng)絡(luò)系統(tǒng),從安全角度予以驗(yàn)證;選擇合適的應(yīng)用系統(tǒng),特別要強(qiáng)調(diào)應(yīng)用系統(tǒng)的身份認(rèn)證與授權(quán)。在行為上,對(duì)網(wǎng)絡(luò)行為、各種操作進(jìn)行實(shí)時(shí)的監(jiān)控,對(duì)各種行為規(guī)范進(jìn)行分類管理,規(guī)定行為規(guī)范的范圍和期限,對(duì)不同類型、不同敏感度的信息,規(guī)定合適的管理制度和使用方法,限制一些不安全的行為。在管理上,制定各項(xiàng)安全制度,并定期檢查、督促落實(shí);確定醫(yī)院的安全領(lǐng)導(dǎo)小組,合理分配職責(zé),做到責(zé)任到人。當(dāng)然,還要意識(shí)到信息安全工作的開展有可能會(huì)影響到系統(tǒng)使用的方便性,畢竟,安全和方便是矛盾的統(tǒng)一體,要安全就不會(huì)很方便,相關(guān)工作效率必定降低,要方便則安全得不到保證,因此必須權(quán)衡估量。

篇4

 

尊敬的領(lǐng)導(dǎo)：

2018年，xx嚴(yán)格按照集團(tuán)公司“穩(wěn)中提質(zhì)、改革創(chuàng)新”總要求，圍繞安全生產(chǎn)、經(jīng)營(yíng)管控、風(fēng)險(xiǎn)防控等工作重點(diǎn)，從信息化管控、系統(tǒng)建設(shè)、應(yīng)用推廣、運(yùn)行維護(hù)等方面開展信息化工作，較好的發(fā)揮了信息系統(tǒng)在生產(chǎn)監(jiān)控、過程管理和輔助決策方面的作用?，F(xiàn)將主要工作情況匯報(bào)如下：

第一部分 信息化管控

一、信息化管理制度建設(shè)情況

公司共制定有《xx信息化管理辦法》、《xx網(wǎng)絡(luò)安全管理制度》、《xx計(jì)算機(jī)管理辦法》、《xx軟件正版化管理辦法》、《xx辦公自動(dòng)化系統(tǒng)使用管理辦法》、《xx應(yīng)用系統(tǒng)數(shù)據(jù)管理辦法》等有關(guān)規(guī)劃、項(xiàng)目、基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)和運(yùn)行維護(hù)的信息化管理制度18項(xiàng)，較好的指導(dǎo)和規(guī)范了公司信息化建設(shè)。

2018年重新修訂完善了硬件資產(chǎn)管理辦法、應(yīng)用系統(tǒng)運(yùn)維管理辦法、信息化管理辦法、微信、QQ群組管理辦法、報(bào)廢計(jì)算機(jī)和計(jì)算機(jī)耗材廢舊污染物品管理辦法、網(wǎng)絡(luò)信息安全管理辦法等6項(xiàng)信息化管理制度。

二、信息化資本支出計(jì)劃情況

（一）2018年信息化資本支出計(jì)劃完成情況。

按《xx關(guān)于下達(dá)2018年度資本支出計(jì)劃（信息化專項(xiàng)）的通知》要求，嚴(yán)格監(jiān)控審核各類信息化資本支出項(xiàng)目的執(zhí)行情況，督導(dǎo)各單位資本支出計(jì)劃按進(jìn)度完成。2018年各類信息化計(jì)劃資本支出費(fèi)用為537.2萬元，截至10月底，完成了346.43萬元，預(yù)計(jì)11-12月份完成122.13萬元，全年總計(jì)完成468.56萬元，計(jì)劃完成率為87.22%。

 1、審核類項(xiàng)目

xx審核類項(xiàng)目共計(jì)8項(xiàng)，分別為工藝動(dòng)畫展示軟件、SaaS門戶網(wǎng)站防護(hù)軟件、龍軟地測(cè)空間信息管理系統(tǒng)、病案管理系統(tǒng)、生化檢驗(yàn)血庫(kù)管理軟件、預(yù)防保健數(shù)字化門診系統(tǒng)、遠(yuǎn)程控制軟件、綜合管理系統(tǒng)（二期）。

（1）綜合管理系統(tǒng)（二期），合同額120萬，2018年計(jì)劃完成80萬元，按合同約定，已完成第一階段付款36萬元，按照開發(fā)進(jìn)度及合同約定，12月份將完成第二階段付款36萬元，完成了預(yù)算目標(biāo)。

（2）山不拉煤礦龍軟地測(cè)空間信息管理系統(tǒng)，預(yù)算金額為30萬元，實(shí)際支出30萬元，完成了預(yù)算目標(biāo)。

（3）職工醫(yī)院病案管理系統(tǒng)預(yù)算金額為15萬元，計(jì)劃12底前購(gòu)置完成。

（4）職工醫(yī)院生化檢驗(yàn)血庫(kù)管理軟件預(yù)算金額4萬元，實(shí)際支出4萬元，完成了軟件的購(gòu)置。

（5）職工醫(yī)院預(yù)防保健數(shù)字化門診系統(tǒng)軟件預(yù)算金額為8萬元，實(shí)際支出為7.51萬元，完成了系統(tǒng)軟件的購(gòu)置。

（6）特鑿公司工藝動(dòng)畫展示軟件預(yù)算金額為15萬元，實(shí)際支出15萬元，完成了軟件的購(gòu)置。

（7）特鑿公司SaaS門戶網(wǎng)站防護(hù)軟件預(yù)算金額為8萬元，計(jì)劃12月底前購(gòu)置完成。

（8）培訓(xùn)中心遠(yuǎn)程控制軟件預(yù)算金額為2萬元，計(jì)劃12月底前購(gòu)置完成。

2、備案類項(xiàng)目

備案類重點(diǎn)項(xiàng)目有3項(xiàng)，分別為筆記本電腦購(gòu)置38臺(tái)，24.58萬元，臺(tái)式機(jī)購(gòu)置116臺(tái)，74.89萬元，打印機(jī)購(gòu)置71臺(tái)，23.43萬元，合計(jì)占備案總預(yù)算的62.48%。

3、費(fèi)用類項(xiàng)目

重點(diǎn)費(fèi)用類項(xiàng)目有1項(xiàng)，為線路租賃費(fèi)用，公司共有廣域網(wǎng)專線9條，互聯(lián)網(wǎng)線路13條，年租賃費(fèi)用為87.64萬元。

（二）2019年信息化資本支出計(jì)劃情況。

1、基本情況。2019年各類信息化資本支出費(fèi)用預(yù)計(jì)為1261.9419萬元，其中審核類費(fèi)用預(yù)計(jì)773.15萬元，備案類費(fèi)用預(yù)計(jì)320.78萬元，費(fèi)用類預(yù)計(jì)168.0119萬元。

審核類中，BIM分中心建設(shè)項(xiàng)目318.55萬元，BIM分中心配套機(jī)房及網(wǎng)絡(luò)改造項(xiàng)目139.6萬元，山不拉煤礦安全監(jiān)控系統(tǒng)升級(jí)改造項(xiàng)目186萬元（說明：地方政府要求在2018年底完成，專項(xiàng)請(qǐng)示在2018年增列計(jì)劃，由于時(shí)間太緊，只能將計(jì)劃在2019年列支）。

第二部分 信息系統(tǒng)建設(shè)應(yīng)用

三、綜合管理系統(tǒng)（二期）建設(shè)應(yīng)用

（一） 建設(shè)目標(biāo)：流程固化、數(shù)據(jù)共享、全程追溯。

（二） 建設(shè)原則：圍繞資金、業(yè)務(wù)主導(dǎo)、橫向到邊、縱向到底。

（三） 保障措施：

1、成立了綜合管理系統(tǒng)應(yīng)用推進(jìn)領(lǐng)導(dǎo)小組，公司主要領(lǐng)導(dǎo)親自抓。明晰系統(tǒng)應(yīng)用推進(jìn)中的職責(zé)、責(zé)任到人。

2、定期不定期的召開項(xiàng)目協(xié)調(diào)例會(huì)，及時(shí)協(xié)調(diào)解決系統(tǒng)開發(fā)、應(yīng)用過程中的各類問題。

3、全員培訓(xùn)。已開展用戶培訓(xùn)12場(chǎng)次，培訓(xùn)用戶2200余人次，涵蓋公司領(lǐng)導(dǎo)、部門負(fù)責(zé)人、關(guān)鍵用戶和業(yè)務(wù)人員。

4、日常指導(dǎo)。通過電話、QQ群、遠(yuǎn)程桌面、面對(duì)面交流等方式解答系統(tǒng)使用中的各類問題，平均日處理各類解答300余人次。

5、督導(dǎo)考核。從組織機(jī)構(gòu)、用戶培訓(xùn)、系統(tǒng)操作、數(shù)據(jù)質(zhì)量四方面對(duì)各單位、各項(xiàng)目部已上線業(yè)務(wù)開展督導(dǎo)考核。通過督導(dǎo)考核來看，數(shù)據(jù)質(zhì)量基本可靠。

（四）開發(fā)進(jìn)度：

自7月份正式開發(fā)以來，完成了物資、技術(shù)質(zhì)量、科技、安全、黨建、市場(chǎng)開發(fā)、法律事務(wù)和監(jiān)察審計(jì)業(yè)務(wù)的開發(fā)上線，完成了財(cái)務(wù)、人力、經(jīng)營(yíng)、機(jī)電業(yè)務(wù)部分功能（資金、稅務(wù)、人事、薪酬、結(jié)算、分包、租賃等）的開發(fā)上線，完成了整體開發(fā)計(jì)劃的80%。

（五）應(yīng)用效果

1、用戶可通過手機(jī)APP，企業(yè)微信處理系統(tǒng)業(yè)務(wù)。

2、用戶日平均登錄2000余人次，7日上線率為54.7%（系統(tǒng)注冊(cè)用戶數(shù)2558人）。

3、打通了從業(yè)務(wù)到財(cái)務(wù)的各個(gè)環(huán)節(jié)，財(cái)務(wù)核算與業(yè)務(wù)過程互相約束、互相校驗(yàn)，實(shí)現(xiàn)了業(yè)務(wù)過程可控、資金流向可控。

4、提高了工作效率、提升了管理水平。流程平均審批效率29小時(shí)，較之前的以周計(jì)算或以月計(jì)算，工作效率成倍提高。管理模式逐漸從結(jié)果導(dǎo)向轉(zhuǎn)變?yōu)檫^程控制，建筑行業(yè)的粗放型管理得到明顯改觀。

四、云視頻會(huì)議系統(tǒng)建設(shè)應(yīng)用

云視頻會(huì)議系統(tǒng)采用SaaS模式建設(shè)，省卻了基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、系統(tǒng)運(yùn)維等方面的工作。

系統(tǒng)可以通過PC、手機(jī)、硬件終端召開會(huì)議。系統(tǒng)有三個(gè)會(huì)議室，一個(gè)100賬號(hào)和兩個(gè)25賬號(hào)，一個(gè)賬號(hào)在一臺(tái)設(shè)備中使用，一臺(tái)設(shè)備可以在實(shí)體會(huì)議室供多人參會(huì)。

系統(tǒng)上線以來，平均月召開云視頻會(huì)議10余次，平均參會(huì)人數(shù)200余人/次，年節(jié)省差旅費(fèi)、油費(fèi)、會(huì)議費(fèi)約120萬元（按每項(xiàng)目部每次節(jié)省1000元計(jì)算，10x12x1000x10=1200000）。

系統(tǒng)的成功應(yīng)用，不但提高了會(huì)議效率,降低了費(fèi)用，還減少了路途中的安全風(fēng)險(xiǎn)。

五、BIM技術(shù)應(yīng)用情況

在建設(shè)集團(tuán)、集團(tuán)公司的領(lǐng)導(dǎo)和統(tǒng)一部署下，xx有條不紊的開展了BIM系統(tǒng)的應(yīng)用和推廣工作。完成了與建設(shè)集團(tuán)BIM云平臺(tái)對(duì)接和公司BIM平臺(tái)建設(shè)；完成了各專業(yè)族庫(kù)的建立、施工工藝視頻的制作及BIM5D平臺(tái)學(xué)習(xí)與試用。截至目前，公司BIM平臺(tái)已經(jīng)具備了質(zhì)量、安全和進(jìn)度管理、匹配成本信息和施工進(jìn)度模擬等功能，能夠?qū)崿F(xiàn)數(shù)據(jù)和信息的有效共享。

六、安全監(jiān)控監(jiān)測(cè)系統(tǒng)

按照國(guó)家煤礦安監(jiān)局及內(nèi)蒙古煤礦安監(jiān)局相關(guān)文件要求，配合山不拉煤礦完成了瓦斯監(jiān)控系統(tǒng)升級(jí)改造方案制定、預(yù)算編制和前期籌備工作，協(xié)調(diào)完成了專項(xiàng)費(fèi)用計(jì)劃增列的申報(bào)工作。

按照集團(tuán)公司要求，配合山不拉煤礦完成了工業(yè)視頻監(jiān)控高清改造方案的調(diào)研、方案制定、預(yù)算編制工作。

完成了小回溝項(xiàng)目部瓦斯監(jiān)控系統(tǒng)升級(jí)改造后的數(shù)據(jù)聯(lián)網(wǎng)上傳工作。

七、推進(jìn)各應(yīng)用系統(tǒng)的使用

（一）年度考核系統(tǒng)應(yīng)用。開展考核系統(tǒng)的配置、值守等工作，協(xié)助人力資源部完成年度考核工作。

（二）OA系統(tǒng)應(yīng)用。繼續(xù)優(yōu)化涉及辦公、財(cái)務(wù)、經(jīng)營(yíng)、人力、機(jī)電等各方面各類電子簽章審批工作流，指導(dǎo)各單位梳理建立使用OA簽章審批工作流。截至目前，優(yōu)化、修改工作流程50個(gè)，制作電子簽章100余人次。

（三）視頻會(huì)議系統(tǒng)的應(yīng)用。截至目前，公司召開視頻會(huì)議121次，參會(huì)人數(shù)12000多人次；召開云視頻會(huì)議100余次，參會(huì)人數(shù)20000余人次。保障了會(huì)議精神實(shí)時(shí)、全面、有效的傳達(dá)，節(jié)約了大量交通、住宿、會(huì)議等費(fèi)用。

（四）安全培訓(xùn)系統(tǒng)的應(yīng)用。協(xié)助公司職工教育培訓(xùn)中心開展特種作業(yè)人員和項(xiàng)目部安管人員的取證培訓(xùn)、崗位復(fù)訓(xùn)，使用系統(tǒng)進(jìn)行培訓(xùn)、考核10場(chǎng)次，參培人員800余人次。

（五）推進(jìn)集團(tuán)公司ERP等系統(tǒng)的應(yīng)用。定期跟蹤各部門對(duì)集團(tuán)財(cái)務(wù)、采購(gòu)、庫(kù)存、人力資源、合同管理、安全管理等系統(tǒng)的應(yīng)用情況。定期收集相關(guān)部門對(duì)系統(tǒng)的使用意見和建議，督促系統(tǒng)實(shí)施進(jìn)度和培訓(xùn)。

 

第三部分 基礎(chǔ)設(shè)施建設(shè)應(yīng)用

八、數(shù)據(jù)中心機(jī)房建設(shè)情況

公司數(shù)據(jù)中心機(jī)房建于2009年，安裝有門禁、供電、UPS、制冷、新風(fēng)、消防、監(jiān)測(cè)等機(jī)房系統(tǒng)，其中UPS按照供電8小時(shí)設(shè)計(jì)，現(xiàn)由于電池組老化，僅能滿足供電2小時(shí)。機(jī)房?jī)?nèi)有服務(wù)器14臺(tái)，分別承載OA、綜合項(xiàng)目管理、檔案管理、安管培訓(xùn)模擬、視頻會(huì)議、用友財(cái)務(wù)等使用中的應(yīng)用系統(tǒng)；有存儲(chǔ)設(shè)備1臺(tái)，承擔(dān)綜合項(xiàng)目管理系統(tǒng)的數(shù)據(jù)存儲(chǔ)任務(wù)；有核心交換機(jī)、IDS、防火墻、路由器、網(wǎng)絡(luò)行為管理、VPN等網(wǎng)絡(luò)設(shè)備14臺(tái)，分別承載公司局域網(wǎng)和廣域網(wǎng)的數(shù)據(jù)傳輸和網(wǎng)絡(luò)安全任務(wù)。

九、廣域網(wǎng)建設(shè)情況

公司廣域網(wǎng)連接的單位有10處、31處、49處、特鑿處、南陽(yáng)坡分公司、內(nèi)蒙古分公司、山不拉煤礦和兩級(jí)集團(tuán)公司。到南陽(yáng)坡分公司和內(nèi)蒙古分公司廣域網(wǎng)帶寬為2Mbps，到集團(tuán)公司的廣域網(wǎng)帶寬為8Mbps，其余為4Mbps。廣域網(wǎng)主要承載視頻會(huì)議系統(tǒng)、ERP系統(tǒng)等需要專線連接的應(yīng)用系統(tǒng)。

十、局域網(wǎng)建設(shè)情況

局域網(wǎng)采用星型拓?fù)?，接入交換機(jī)到電腦終端為百兆帶寬，接入交換機(jī)匯聚到核心交換機(jī)為千兆帶寬。

公司局域網(wǎng)包括公司辦公樓、培訓(xùn)中心和物業(yè)管理公司叢臺(tái)基地，共有電腦終端200余臺(tái)。電腦按樓層、部門劃分為10個(gè)VLAN，起到疏導(dǎo)流量、隔離廣播風(fēng)暴和防止病毒大范圍擴(kuò)散的作用。

根據(jù)具體實(shí)際，對(duì)各單位機(jī)房和局域網(wǎng)的建設(shè)提出了最基本的標(biāo)準(zhǔn)，并指導(dǎo)各單位信息專業(yè)人員逐步完善。

十一、互聯(lián)網(wǎng)建設(shè)

公司機(jī)關(guān)及各單位均有互聯(lián)網(wǎng)接入線路。公司機(jī)關(guān)接入帶寬為中國(guó)電信的50Mbps互聯(lián)網(wǎng)專線，31處、49處、特鑿公司和山不拉礦今年均變更為100Mbps，其他各單位互聯(lián)網(wǎng)接入帶寬為50Mbps。

十二、BIM分中心基礎(chǔ)設(shè)施建設(shè)情況

配合建設(shè)集團(tuán)完成了BIM中心建設(shè)總體方案的制定工作和xxBIM分中心建設(shè)方案的制定工作，圍繞BIM分中心建設(shè)方案，結(jié)合公司機(jī)房及網(wǎng)絡(luò)現(xiàn)狀，制定了BIM分中心機(jī)房、網(wǎng)絡(luò)配套設(shè)施改造方案。

第四部分 信息化運(yùn)維

開展桌面運(yùn)維，定期對(duì)用戶計(jì)算機(jī)安裝的軟件進(jìn)行維護(hù)，監(jiān)督正版軟件的使用。定期維護(hù)計(jì)算機(jī)硬件，保障計(jì)算機(jī)正常工作。

開展網(wǎng)絡(luò)運(yùn)維，定期檢查網(wǎng)絡(luò)設(shè)備的配置、日志，保障設(shè)備運(yùn)行正常。定期對(duì)網(wǎng)絡(luò)線路巡檢，及時(shí)排除斷網(wǎng)隱患。不定期開展用戶網(wǎng)絡(luò)排錯(cuò)培訓(xùn)，提高用戶常見網(wǎng)絡(luò)故障的自我解決能力。

開展應(yīng)用系統(tǒng)運(yùn)維，督促或組織制定應(yīng)用系統(tǒng)管理辦法，從系統(tǒng)用戶、系統(tǒng)運(yùn)行、系統(tǒng)安全等方面加強(qiáng)日常檢查，保障各系統(tǒng)安全運(yùn)行。

開展機(jī)房運(yùn)維，嚴(yán)格執(zhí)行每日巡檢制度，明確了機(jī)房溫度、濕度、供電等環(huán)境要素標(biāo)準(zhǔn)。加強(qiáng)運(yùn)維人員操作系統(tǒng)、服務(wù)器組成等軟硬件知識(shí)學(xué)習(xí)，每日必須登錄服務(wù)器分析運(yùn)行日志，及時(shí)發(fā)現(xiàn)問題、解決問題。

第五部分 信息安全

網(wǎng)絡(luò)與信息安全方面管控主要從安全制度、安全技術(shù)、安全教育和安全評(píng)測(cè)等方面進(jìn)行，力保信息的可信性、可用性和完整性。

安全制度方面。公司成立有保密與網(wǎng)絡(luò)安全委員會(huì)，領(lǐng)導(dǎo)公司的網(wǎng)絡(luò)安全工作。下發(fā)了《黨委網(wǎng)絡(luò)安全責(zé)任制實(shí)施細(xì)則》、《網(wǎng)絡(luò)安全管理制度》、《信息安全崗位職責(zé)管理辦法》等制度，明確了安全職責(zé)、任務(wù)、措施等內(nèi)容，經(jīng)常性的在用戶中宣傳網(wǎng)絡(luò)安全的重用性、必要性，指導(dǎo)用戶使用常用網(wǎng)絡(luò)安全技術(shù)措施。

安全技術(shù)方面。遵照ISO七層網(wǎng)絡(luò)模型，針對(duì)每層容易暴露的安全問題，采取有針對(duì)的防護(hù)措施。在網(wǎng)絡(luò)邊界部署了防火墻、入侵檢測(cè)、上網(wǎng)行為管理等安全設(shè)備。在服務(wù)器區(qū)部署了防火墻，并在服務(wù)器中安裝了殺毒軟件和終端防護(hù)軟件。在用戶端按樓層劃分了VLAN、IP地址和MAC地址進(jìn)行了登記并綁定，用戶計(jì)算機(jī)也安裝了殺毒軟件、軟件防火墻。

安全教育方面。通過專題講座、發(fā)放宣傳資料、安全事件案例等多種形式開展信息安全知識(shí)普及工作，提高員工的安全防范意識(shí)，減少安全事件的發(fā)生。要求用戶口令長(zhǎng)度不小于8位，且必須由大寫、小寫字母與數(shù)字共同組成，并定期提醒用戶更換密碼，必要時(shí)強(qiáng)制更改密碼。要求用戶不得將賬號(hào)密碼轉(zhuǎn)借他人。

安全評(píng)測(cè)方面。定期開展應(yīng)用系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)自評(píng)，加強(qiáng)了計(jì)算機(jī)終端、局域網(wǎng)絡(luò)、服務(wù)器主機(jī)、服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)等安全制度、安全策略和安全行為管理，進(jìn)一步提高了公司信息系統(tǒng)的安全水平。定期委托專業(yè)公司開展安全評(píng)測(cè)，按照評(píng)測(cè)整改報(bào)告及時(shí)完成整改。對(duì)新開發(fā)的應(yīng)用系統(tǒng)，需通過安全測(cè)評(píng)后才允許驗(yàn)收。

第六部分 對(duì)外網(wǎng)站

制定了《xx門戶網(wǎng)站管理辦法》，明確了網(wǎng)站管理的權(quán)利、責(zé)任。

要求各單位對(duì)外網(wǎng)站需完成備案工作、安裝政府網(wǎng)站防護(hù)軟件、在國(guó)家重大活動(dòng)期間強(qiáng)化安全監(jiān)控，必要時(shí)關(guān)閉網(wǎng)站。

公司網(wǎng)站采用PaaS模式建設(shè)，采用的阿里云平臺(tái)的專有云，并采購(gòu)了安騎士云盾、WAF防火墻和態(tài)勢(shì)感知安全服務(wù)，還安裝了公安部網(wǎng)防G01 V3.0防護(hù)軟件。專有云提供安全風(fēng)險(xiǎn)短信預(yù)警功能，能動(dòng)態(tài)提醒操作系統(tǒng)、網(wǎng)站系統(tǒng)、惡意攻擊等安全風(fēng)險(xiǎn)事件。

第七部分 存在的問題和不足

一、專業(yè)人才短缺。軟件、網(wǎng)絡(luò)、安全和數(shù)據(jù)庫(kù)等方面相關(guān)專業(yè)人才短缺，制約了應(yīng)用系統(tǒng)自主運(yùn)維和開發(fā)。

二、系統(tǒng)集成難度大。系統(tǒng)種類多、功能重合多，系統(tǒng)間數(shù)據(jù)集成共享難度大，造成了業(yè)務(wù)和數(shù)據(jù)的割裂，形成了實(shí)際上的信息孤島，有違信息化建設(shè)的初衷。建議能有系統(tǒng)建設(shè)和系統(tǒng)集成的頂層設(shè)計(jì)，形成標(biāo)準(zhǔn)規(guī)范。

第八部分 2019年重點(diǎn)工作

篇5

關(guān)鍵詞: 檔案管理 信息化 意義 安全 防范策略

檔案信息逐漸走向數(shù)字化管理是必然趨勢(shì),但在檔案信息化過程中,出現(xiàn)的安全問題制約了檔案信息化的進(jìn)程。如何確保信息化檔案的完整與安全,成為當(dāng)前檔案管理者的重要課題。

一、檔案信息化管理的作用和意義

電子檔案管理信息系統(tǒng)的建立,可以提高檔案工作的效率,方便用戶的使用,加強(qiáng)檔案的保存,提高檔案利用的效率,對(duì)維護(hù)和保障單位的合法權(quán)益,促進(jìn)兩個(gè)文明建設(shè)具有重要意義。具體優(yōu)勢(shì)如下:

(一)檔案信息的傳遞量和服務(wù)對(duì)象的數(shù)量大大增加。由于數(shù)字信息占用空間小,信息傳遞不受空間的限制,隨著計(jì)算機(jī)通訊網(wǎng)絡(luò)的不斷延伸,所能鏈接的用于存儲(chǔ)和管理數(shù)字信息的服務(wù)器和存儲(chǔ)設(shè)備及服務(wù)對(duì)象的數(shù)量將加速增加。

(二)時(shí)間的延續(xù)性,可以24小時(shí)服務(wù)。

(三)檔案數(shù)字信息網(wǎng)絡(luò)檢索方便,傳遞速度快。

(四)可以根據(jù)利用者的需要,提供個(gè)性化服務(wù)。檔案信息網(wǎng)絡(luò)服務(wù)的出現(xiàn),是我們提供檔案信息服務(wù)的適時(shí)的現(xiàn)代化手段。

(五)資源共享,提高檔案的利用率。利用網(wǎng)絡(luò)傳輸檔案信息,其有紙質(zhì)檔案不可比擬的優(yōu)點(diǎn),網(wǎng)絡(luò)傳輸速度快,檔案?jìng)鬏敳辉偈芸臻g和人力的限制。查閱者一旦需要檔案就可以通過檔案管理網(wǎng)絡(luò)系統(tǒng)進(jìn)行查閱,不僅可以查閱所需的信息,而且可以下載電子版的檔案原件,沒有必要再到檔案室進(jìn)行查閱。這極大地節(jié)省了查閱者和檔案管理員的時(shí)間。還可以通過檔案管理網(wǎng)絡(luò)系統(tǒng)異地查閱檔案信息,節(jié)約了人力、物力,大大提高了檔案的利用率。

二、檔案信息化后可能存在的安全隱患

(一)操作系統(tǒng)的安全缺陷

操作系統(tǒng)是計(jì)算機(jī)最主要的系統(tǒng)軟件,是信息安全的基礎(chǔ)之一。然而,因?yàn)椴僮飨到y(tǒng)太龐大(如Windows操作系統(tǒng)就有上千萬行程序),致使操作系統(tǒng)不可能做到完全正確。操作系統(tǒng)的缺陷所造成的功能故障,往往可以忽略,如當(dāng)Windows出現(xiàn)死機(jī)時(shí),按一下復(fù)位鍵重新啟動(dòng)就可以了。但是,如果操作系統(tǒng)的缺陷被攻擊者利用,所造成的安全問題就不能忽視了。

(二)網(wǎng)絡(luò)技術(shù)本身的安全隱患

網(wǎng)絡(luò)本身就不是一種很安全的信息傳輸方式。網(wǎng)絡(luò)上的任何信息都是經(jīng)過重重網(wǎng)站分段傳送至目的地的,任何中介站點(diǎn)均可以攔截、讀取甚至破壞信息。同時(shí),網(wǎng)絡(luò)的應(yīng)用技術(shù)發(fā)展很快,新技術(shù)不斷推動(dòng)新的應(yīng)用,而安全技術(shù)是一種在對(duì)抗中發(fā)展的技術(shù),它總是顯得有些滯后,防范攻擊的能力不強(qiáng),這樣就導(dǎo)致網(wǎng)絡(luò)安全的脆弱性。

(三)管理人員素質(zhì)問題

據(jù)有關(guān)資料顯示,80%以上的檔案管理人員沒有受過正規(guī)的計(jì)算機(jī)安全培訓(xùn),缺乏計(jì)算機(jī)與網(wǎng)絡(luò)信息的安全意識(shí),致使網(wǎng)站遭到攻擊。

三、檔案信息化管理中安全問題的防范策略

(一)加強(qiáng)對(duì)檔案管理人員素質(zhì)培訓(xùn)及安全教育

在檔案信息化管理安全防范中,人的因素是第一位的。檔案管理的現(xiàn)代化,對(duì)檔案管理人員的素質(zhì)提出了新的要求,檔案部門應(yīng)加強(qiáng)對(duì)信息安全意識(shí)和安全業(yè)務(wù)的宣傳與教育,不斷提高檔案管理人員的思想素質(zhì)、業(yè)務(wù)素質(zhì)和職業(yè)道德。對(duì)現(xiàn)有的在職檔案人員進(jìn)行檔案現(xiàn)代化管理和計(jì)算機(jī)網(wǎng)絡(luò)等信息技術(shù)方面新知識(shí)、新技術(shù)的培訓(xùn)和再教育,積極引進(jìn)復(fù)臺(tái)型人才,為檔案信息化管理注入新的活力,提升綜合管理能力。應(yīng)對(duì)工作中可能發(fā)生的意外事故,及時(shí)發(fā)現(xiàn)問題和解決問題,維護(hù)系統(tǒng)的安全和正常運(yùn)行,確保檔案信息的完整性。

(二)從管理上加強(qiáng)安全防范

針對(duì)信息化檔案的安全問題,安全防范的最高境界不是產(chǎn)品,也不是服務(wù),而是管理,沒有好的管理思想、嚴(yán)格的管理制度、負(fù)責(zé)的管理人員和實(shí)施到位的管理制度,就沒有真正的安全。

1.建口可以信賴可以控制的內(nèi)部網(wǎng)絡(luò)。管理好內(nèi)外網(wǎng)絡(luò)的通道,杜絕內(nèi)部人員使用撥號(hào)、寬帶等方式非法接入外網(wǎng)。管理好軟件資產(chǎn),避免內(nèi)部人員在計(jì)算機(jī)上安裝使用盜版軟件,以防引入潛在的安全漏洞,降低計(jì)算機(jī)系統(tǒng)的安全系數(shù)。

管理好計(jì)算機(jī)的外部設(shè)備,防止內(nèi)部人員在內(nèi)網(wǎng)計(jì)算機(jī)上通過移動(dòng)存儲(chǔ)介質(zhì)間接地與外網(wǎng)進(jìn)行數(shù)據(jù)交換,導(dǎo)致病毒的傳人或者敏感信息、機(jī)密數(shù)據(jù)的傳播與泄漏。

管理好單位個(gè)人使用的計(jì)算機(jī)上的重要文檔,防止相同域內(nèi)的終端用戶互相調(diào)用和操作機(jī)密文件。

管理好輸出設(shè)備,對(duì)于重要電子文檔的打印,要進(jìn)行嚴(yán)格的登記和日志管理。

管理好內(nèi)網(wǎng)客戶端,在單位局城網(wǎng)上建立起嚴(yán)密的監(jiān)控點(diǎn)。

2.實(shí)施強(qiáng)審計(jì)管理。所謂強(qiáng)審計(jì),就是利用日志對(duì)網(wǎng)絡(luò)上的行為、蹤跡進(jìn)行監(jiān)控,并能事后取證的技術(shù)。但是,與傳統(tǒng)的計(jì)算機(jī)日志相比,強(qiáng)審計(jì)的日志是不能隨便刪除、修改的。如果要修改或刪除,必須系統(tǒng)管理員、審計(jì)員及單位領(lǐng)導(dǎo)同時(shí)進(jìn)入系統(tǒng)才能刪除,從而有效保護(hù)內(nèi)網(wǎng)。

強(qiáng)審計(jì)技術(shù)一般包括五個(gè)方面的內(nèi)容:一是網(wǎng)絡(luò)審計(jì),防止非法內(nèi)連和外連;二是數(shù)據(jù)庫(kù)審計(jì),對(duì)數(shù)據(jù)庫(kù)的讀取行為進(jìn)行跟蹤;三是應(yīng)用系統(tǒng)審計(jì),例如公文流轉(zhuǎn)經(jīng)過幾個(gè)環(huán)節(jié),必須有清晰的記錄;四是機(jī)審計(jì),包括對(duì)終端系統(tǒng)安裝了哪些不安全軟件的審計(jì),并設(shè)置終端系統(tǒng)的權(quán)限等;五是介質(zhì)審計(jì),包括光介質(zhì)、磁介質(zhì)和紙介質(zhì)的審計(jì),防止機(jī)密信息通過移動(dòng)U盤、移動(dòng)硬盤、非法打印或照相等多個(gè)環(huán)節(jié)從信息系統(tǒng)中泄密。

3.檔案信息的數(shù)據(jù)備份和容災(zāi)。理想的數(shù)據(jù)保護(hù)解決方案應(yīng)既能解決業(yè)務(wù)對(duì)高性能與可用性的需求,又能解決備份與恢復(fù)管理問題。目前,數(shù)據(jù)備份與容災(zāi)能力已成為存儲(chǔ)安全保障的重要標(biāo)志。容災(zāi)備份就是指通過特定手段和機(jī)制,在各種災(zāi)難損害發(fā)生后,仍能最大限度地提供正常應(yīng)用服務(wù)的信息系統(tǒng)。它可分為數(shù)據(jù)備份和應(yīng)用備份。數(shù)據(jù)備份需要保證用戶數(shù)據(jù)的完整性、可靠性和一致性。對(duì)于提供實(shí)時(shí)服務(wù)的信息系統(tǒng),用戶的服務(wù)請(qǐng)求在災(zāi)難中可能會(huì)中斷,應(yīng)用備份必須提供不間斷的應(yīng)用服務(wù),讓客戶的服務(wù)請(qǐng)求能夠繼續(xù)運(yùn)行。

(三)保障數(shù)字檔案安全的技術(shù)措施

數(shù)字檔案是技術(shù)的產(chǎn)物,因此,運(yùn)用先進(jìn)網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)是確保數(shù)字檔案安全的重要保障。

1.計(jì)算機(jī)和網(wǎng)絡(luò)防火墻技術(shù)。防火墻是網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng),是硬件和軟件的組合體,它保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入、過濾不良信息、防止信息資源的未授權(quán)訪問。防火墻的實(shí)現(xiàn)技術(shù)主要有:包過濾技術(shù)、服務(wù)技術(shù)、狀態(tài)監(jiān)測(cè)防火墻技術(shù)等。

2.檔案信息加密技術(shù)。密碼技術(shù)是網(wǎng)絡(luò)安全技術(shù)的核心,是提高網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的保密性、防止機(jī)密數(shù)據(jù)被外部破解所采用的主要技術(shù)手段。采用加密技術(shù)可以確保數(shù)字檔案內(nèi)容的非公開性。加密技術(shù)通過信息的變換或編碼將機(jī)密敏感信息變換為難以讀懂的亂碼型信息,以達(dá)到保護(hù)數(shù)據(jù)安全的目的。數(shù)據(jù)加密技術(shù)可分為兩類:對(duì)稱型加密和公鑰密碼算法。

3.檔案信息防寫技術(shù)。防寫技術(shù),即將數(shù)字檔案設(shè)置為“只讀”狀態(tài),在這種狀態(tài)下,用戶只能從計(jì)算機(jī)上讀取信息,而不能對(duì)其進(jìn)行任何修改。在計(jì)算機(jī)外存儲(chǔ)器中,只讀光盤只能讀出信息而不能追加或刪除信息;一次寫入光盤可供使用者一次寫入多次讀出,可以追加記錄但不能擦除原來的信息。這種不可逆式記錄介質(zhì)可以有效地防止用戶更改數(shù)字檔案的內(nèi)容,保持?jǐn)?shù)字檔案的真實(shí)性和可靠性。

四、結(jié)語

隨著檔案信息化進(jìn)程的深入,大量數(shù)字檔案的安全問題已經(jīng)擺在檔案管理者面前,如何做好信息化檔案的安全工作值得我們不斷探討和研究。

參考文獻(xiàn):

[1]劉景紅,朱俊東.醫(yī)院檔案信息化建設(shè)中的信息安全管理.檔案,2009,(4).

篇6

關(guān)乎眾多百姓生命及健康問題的保健保險(xiǎn)企業(yè)，怎么才能安全運(yùn)營(yíng)？

正因?yàn)樗麄兎?wù)的人群面廣泛，政府才會(huì)出臺(tái)五花八門又極其嚴(yán)格的法規(guī)，以規(guī)范他們的管理、財(cái)務(wù)、服務(wù)行為。要想生存，這些企業(yè)必須在規(guī)定時(shí)間內(nèi)遵從層出不窮的政府規(guī)定，而IT則是幫助他們快速實(shí)現(xiàn)法規(guī)遵從并保有核心競(jìng)爭(zhēng)力的關(guān)鍵。

保健保險(xiǎn)行業(yè)因?yàn)槠涮厥庑远鴤涫苷P(guān)注―受眾廣泛，關(guān)乎國(guó)計(jì)民生，每個(gè)國(guó)家都不敢放任自流，任其發(fā)展。因此，保健保險(xiǎn)企業(yè)受到國(guó)家最嚴(yán)格的法律規(guī)定約束。

法規(guī)，如果好好遵從，是快速發(fā)展的基礎(chǔ)；如果不遵從，只有死路一條。這種行業(yè)特性，使得保健保險(xiǎn)企業(yè)在每次法規(guī)頒布之后都誠(chéng)惶誠(chéng)恐，亂做一團(tuán)。

而其實(shí)，如果利用好IT這個(gè)武器，法規(guī)遵從反而可以成為他們甩掉競(jìng)爭(zhēng)對(duì)手的機(jī)會(huì)。位于美國(guó)肯塔基州路易維爾市身價(jià)140億美元的保健福利公司Humana從解決千年蟲問題時(shí)留下的好傳統(tǒng)，使得他們因遵從法規(guī)而快速提高了核心競(jìng)爭(zhēng)力。

當(dāng)其它公司抱怨薩班斯?奧克斯利法案（Sarbanes-Oxley, SOX）影響了公司的財(cái)務(wù)狀況，不斷向股東和監(jiān)管機(jī)構(gòu)提出執(zhí)行SOX的困難時(shí)，Humana公司的總裁兼CEO邁克爾?邁克阿里斯特（Mike McAllister）則在一次采訪中表示，過去兩年，Humana一直在循序漸進(jìn)做準(zhǔn)備，所以SOX沒有驚動(dòng)Humana。法規(guī)遵從已經(jīng)成為Humana企業(yè)文化的一部分。

面對(duì)法律 繞行還是穿行

作為一家以醫(yī)療保險(xiǎn)為主營(yíng)業(yè)務(wù)的企業(yè)，Humana公司在全美50個(gè)州以及波多黎各擁有930名萬會(huì)員，公司始終不渝地遵循著各種國(guó)家、地方法規(guī)，包括聯(lián)邦醫(yī)療保險(xiǎn)（Medicare）、國(guó)家保險(xiǎn)規(guī)定、國(guó)家質(zhì)保委員會(huì)、應(yīng)用評(píng)估鑒定委員會(huì)以及國(guó)防部醫(yī)療保健計(jì)劃。近幾年，當(dāng)聯(lián)邦政府推出美國(guó)最嚴(yán)厲的醫(yī)療保險(xiǎn)信息交換與保密法案（HIPAA）時(shí)，Humana本著重在早抓、貴在堅(jiān)持的原則提前做好了應(yīng)對(duì)挑戰(zhàn)的準(zhǔn)備，相比之下，應(yīng)對(duì)SOX就是小巫見大巫了。

“別誤會(huì)我的意思，其實(shí)我們做了大量的法規(guī)遵從工作?！盚umana的CIO布魯斯?古德曼（Bruce Goodman）說。

當(dāng)然，Humana在貫徹落實(shí)HIPAA時(shí)也遇到了一些問題。好在他們有嚴(yán)謹(jǐn)?shù)慕M織結(jié)構(gòu)負(fù)責(zé)推動(dòng)，且營(yíng)造了遵循法規(guī)從我做起的企業(yè)文化，所以Humana的日子比其它公司要好過得多。Humana樹立的榜樣是任何一家公司都能做到的―只要他們不是又跳又叫，而是靜下來解決問題。實(shí)質(zhì)上，Humana讓人們看到了未來，即法規(guī)遵從是公司日常運(yùn)營(yíng)的一部分，而且還能成為公司的競(jìng)爭(zhēng)優(yōu)勢(shì)。

在法規(guī)遵從的道路上，Humana并不是一帆風(fēng)順的，相反，他們也是因?yàn)槟承┤恕⒛承┦虑榈某霈F(xiàn)而有了轉(zhuǎn)機(jī)。

千年蟲留下了好傳統(tǒng)

1999年，古德曼辭去一家咨詢及系統(tǒng)整合公司的CEO職位，加入Humana。當(dāng)時(shí)，Humana正面臨波及全世界的千年蟲問題。當(dāng)成功避免了岌岌可危的千年蟲問題之后，Humana由此得出了一套應(yīng)對(duì)未來法規(guī)遵從問題的經(jīng)驗(yàn)。

那一年，為了掃除千年蟲，Humana組建了一支“老虎隊(duì)”，即緊急小組―Humana希望借用這個(gè)名字表現(xiàn)事情的重要、緊急性以及這個(gè)團(tuán)隊(duì)必勝的精神。Humana的老虎隊(duì)與各個(gè)部門相關(guān)人員齊心協(xié)力，在指定期限內(nèi)執(zhí)行了關(guān)鍵項(xiàng)目。后來這個(gè)小組成了公司的一個(gè)項(xiàng)目管理辦公室，負(fù)責(zé)分析需要解決的業(yè)務(wù)問題，確定解決方案以及方案的實(shí)施人員，并監(jiān)控整個(gè)項(xiàng)目流程。2001年初，Humana準(zhǔn)備應(yīng)對(duì)HIPAA時(shí)，再次啟動(dòng)了老虎隊(duì)。

1996年頒布的HIPPA是為了保障美國(guó)民眾在換工作或失業(yè)的情況下能有醫(yī)療保障。它還為保健行業(yè)在病人健康、數(shù)據(jù)交換以及數(shù)據(jù)保密等方面制定了標(biāo)準(zhǔn)?？梢哉f，HIPAA代表了整個(gè)保健行業(yè)進(jìn)入數(shù)字化時(shí)代之后的藍(lán)圖。HIPAA設(shè)定了遵從法規(guī)的最終期限―2003年。

為了遵從HIPAA，Humana組建了三個(gè)緊急小組，一個(gè)負(fù)責(zé)電子數(shù)據(jù)交換，一個(gè)處理保密制度和實(shí)踐，一個(gè)解決數(shù)據(jù)安全問題。公司讓三個(gè)小組與來自內(nèi)部審計(jì)、保密、安全、電子數(shù)據(jù)交換（EDI）、法律以及提供服務(wù)等部門的工作人員合作。每個(gè)緊急小組有12個(gè)人，每周一次例會(huì)。

搭班子 眾人拾柴火焰高

古德曼很快意識(shí)到必須有人專門負(fù)責(zé)HIPAA的全面安全事宜。于是他將重?fù)?dān)放在IT安全及法規(guī)監(jiān)查總監(jiān)喬納森?摩爾（Jonathan Moore）的肩膀上。摩爾除了帶領(lǐng)負(fù)責(zé)安全事務(wù)的緊急小組外，還像球場(chǎng)上關(guān)鍵時(shí)刻將球傳給古德曼的助攻者，在所有HIPAA事宜中扮演著IT聯(lián)絡(luò)員的角色。Humana首席保密官及資深I(lǐng)T和法規(guī)遵從執(zhí)行官吉姆?提薩（Jim Theiss）則帶領(lǐng)負(fù)責(zé)保密事務(wù)的小組。

之后，Humana還組建了由六位高級(jí)經(jīng)理組成的第四支隊(duì)伍：兩個(gè)信息技術(shù)副總裁、高級(jí)管理小組主管、法規(guī)監(jiān)察主管、服務(wù)運(yùn)營(yíng)主管以及服務(wù)供應(yīng)主管，并命名為HIPPA籌劃指導(dǎo)委員會(huì)。三個(gè)小組每個(gè)月匯報(bào)一次工作進(jìn)展，委員會(huì)將據(jù)此在必要時(shí)調(diào)整工作重點(diǎn)。

公司還進(jìn)行了必要的機(jī)構(gòu)重組。Humana本來設(shè)有一個(gè)法規(guī)遵從部門、醫(yī)療保險(xiǎn)部門以及鑒定部門―確保保險(xiǎn)公司和各種團(tuán)體的保健計(jì)劃有質(zhì)保機(jī)構(gòu)的鑒定。公司將這些部門編入了HIPAA法規(guī)遵從中心，每個(gè)部門根據(jù)HIPAA建立了適用Humana的制度。后來SOX強(qiáng)制執(zhí)行時(shí)，Humana又將法規(guī)遵從中心的概念沿用到內(nèi)部審計(jì)部門。

摩爾還建立了一個(gè)新的IT安全性戰(zhàn)略部門，作為公司法規(guī)遵從戰(zhàn)略的一部分。原有IT安全組繼續(xù)負(fù)責(zé)日常工作，而新的IT安全戰(zhàn)略部門負(fù)責(zé)開發(fā)一個(gè)遵守法規(guī)的數(shù)據(jù)安全戰(zhàn)略?！白屛覀冾^疼的是原有IT安全模式?！蹦栒f：“這個(gè)模式只能防止系統(tǒng)受到外部侵襲?！钡@還不夠，HIPAA要求公司內(nèi)部也要做到數(shù)據(jù)安全保障。于是公司成立了一個(gè)由近40人組成的新戰(zhàn)略性安全部門，專門處理由于新法規(guī)如HIPAA、互動(dòng)語音系統(tǒng)以及無線應(yīng)用等產(chǎn)生的安全問題。

用IT探索法規(guī)的邊界

像眾多公司一樣，IT在Humana的法規(guī)遵從工作中占有核心地位。尤其對(duì)于電子數(shù)據(jù)交換和信息安全，IT的作用顯而易見。而且IT對(duì)于Humana的保密工作也是一個(gè)強(qiáng)有力的支持?！拔液茉缇椭址ㄒ?guī)遵從工作中的IT安全問題?！碧崴_說：“IT安全與保密是唇亡齒寒的關(guān)系?！?/p>

提薩并不是唯一一個(gè)與IT密切接觸的人。Humana負(fù)責(zé)法規(guī)遵從的總監(jiān)勞拉?凱萊（Laura Kelley）說：“我每天都會(huì)與IT人員溝通好幾次，其他地方的同事也是如此?！遍_會(huì)內(nèi)容可能涉及從電子簽名到關(guān)于在線政策文件法規(guī)的各種問題。

凱萊和古德曼有著同一個(gè)目標(biāo)，那就是利用技術(shù)讓公司運(yùn)營(yíng)變得更有效，同時(shí)又不會(huì)與法規(guī)發(fā)生沖突。例如，古德曼可能會(huì)建議凱萊在法律法規(guī)允許的情況下使用電子郵件來處理客戶投訴以提高效率?；?dòng)語音系統(tǒng)也是公司日程上的頭等大事，但是由于涉及隱私問題，需要深度和全面的研究。

守法自有長(zhǎng)遠(yuǎn)收獲

正如許多政府法規(guī)一樣，HIPAA也有一些內(nèi)容存在多種理解方式。因此，由于理解不當(dāng)，Humana在對(duì)待病人的信息時(shí)表現(xiàn)得過于保守。例如，公司一開始從不公開任何關(guān)于病人的信息，導(dǎo)致和經(jīng)紀(jì)商很被動(dòng)。再例如，Humana設(shè)定了一個(gè)非常復(fù)雜的身份認(rèn)證程序，給那些通過Web訪問的人制造了不少麻煩。

根據(jù)HIPPA的要求制定的安全和保密制度是一件一舉多得的事情―法規(guī)遵從加強(qiáng)了Humana的整體業(yè)績(jī)。因?yàn)镠IPAA規(guī)定了數(shù)據(jù)交換的標(biāo)準(zhǔn)。隨著越來越多的醫(yī)生和醫(yī)院都開始采用這種標(biāo)準(zhǔn)，必將為Humana的后臺(tái)交易程序鋪平道路?！叭绻軌蛲耆裱璈IPAA，那么消費(fèi)者和服務(wù)提供方會(huì)更容易溝通?！惫诺侣f?！叭绻覀冎滥臣裔t(yī)院使用某個(gè)交易代碼，那么信息交換就容易多了。”

HIPAA的投資回報(bào)會(huì)日益明顯，古德曼說?？傆幸惶?，60多萬名醫(yī)生都會(huì)擁有一個(gè)可以在整個(gè)職業(yè)生涯中使用的、獨(dú)一無二的ID，那個(gè)時(shí)候就是Humana得到回報(bào)的時(shí)候?！?/p>

正如分析師埃里克?布朗（Eric Brown）所說的，這是順理成章的事情。“要知道，HIPAA是一項(xiàng)巨大的工程。但是如果你是搞IT的，你會(huì)認(rèn)為這種良好的規(guī)范是大勢(shì)所趨?！?/p>

兩萬名員工養(yǎng)成同一種習(xí)慣

近些年頒布的SOX、HIPAA等法規(guī)就是要提醒公司高管們謹(jǐn)慎行事，可惜效果并不理想。其實(shí)在大多數(shù)公司看來，更難的問題是如何在整個(gè)公司范圍內(nèi)營(yíng)造出一種法規(guī)遵從的文化氛圍，讓每一個(gè)人都受到熏陶。對(duì)于Humana而言，這意味著要讓兩萬名員工認(rèn)識(shí)一致。

營(yíng)造文化氛圍能夠幫助HIPAA籌劃委員會(huì)，同時(shí)也表明Humana對(duì)法規(guī)遵從的重視。這需要公司每個(gè)人都認(rèn)真接受HIPAA和SOX等法規(guī)的洗禮。

Humana負(fù)責(zé)保密工作的緊急小組制定了一個(gè)行動(dòng)計(jì)劃，第一項(xiàng)就是所謂的“清理桌面制度”，要求每個(gè)人在結(jié)束一天工作后不得將病人的信息留在桌面上。執(zhí)行這一政策等于分擔(dān)了公司的安全工作，保證所有桌面都能通過檢查。

此外，公司要求員工將密碼記在腦子里，而不是寫下來。HIPAA法規(guī)建議定期更改密碼，而且密碼必須具有一定的復(fù)雜度。對(duì)于Humana而言，密碼自動(dòng)生成程序是法規(guī)遵從的關(guān)鍵，而原有密碼生成系統(tǒng)不能勝任。為此，Humana購(gòu)買了新系統(tǒng)。

根據(jù)HIPAA法規(guī)，對(duì)員工進(jìn)行病人數(shù)據(jù)管理的培訓(xùn)同樣至關(guān)重要。在Humana，每個(gè)員工都要接受法規(guī)遵循培訓(xùn)。勞拉手下負(fù)責(zé)法規(guī)遵從的工作人員制訂了培訓(xùn)課程，員工可以親自參加培訓(xùn)，也可以選擇遠(yuǎn)程培訓(xùn)。古德曼為凱萊創(chuàng)建了一個(gè)儀表板式的跟蹤系統(tǒng)?！拔颐刻於寄芨鶕?jù)跟蹤系統(tǒng)察看誰還需要培訓(xùn)?！彼f，一旦法規(guī)遵從的最后期限臨近時(shí)，她就會(huì)直接打電話給那些沒有參加培訓(xùn)的員工。

Humana還在大廳內(nèi)安裝了等離子屏幕，隨時(shí)播報(bào)最新的法規(guī)和公司新聞，以不斷提醒員工公司的法規(guī)遵從文化。公司還會(huì)定期向員工發(fā)送關(guān)于法規(guī)遵從的郵件，幫助他們了解公司最新的安全制度。與此同時(shí)，Humana會(huì)在公司內(nèi)部網(wǎng)站上輪流播放公司政策和手續(xù)。

負(fù)責(zé)保密的小組甚至設(shè)定了保密月（Privacy Month），用于加強(qiáng)保密實(shí)踐。保密月活動(dòng)包括對(duì)所有員工進(jìn)行安全培訓(xùn)和教育、在內(nèi)網(wǎng)上宣傳有關(guān)保密的規(guī)定、在公司內(nèi)部張貼保密告示以及在員工中間開展關(guān)于保密的競(jìng)賽等。

舉一反三 下次不再難

摩爾認(rèn)為，Humana在HIPAA和SOX頒布前后的變化是從規(guī)范變成嚴(yán)格規(guī)范。盡管Humana需要不斷調(diào)整以適應(yīng)層出不窮的新法規(guī)，但公司所付出的努力是一勞永逸的，這也成為它的優(yōu)勢(shì)?！白裱@些法規(guī)并不是難如登天。它們大同小異，可以舉一反三?！蹦栒f。那就是，必須有管理以及能讓管理奏效的方法，比如公司內(nèi)外的安全保障、保密和數(shù)據(jù)訪問管理、安全保障以及個(gè)人行為的跟蹤――例如誰接受了培訓(xùn)，誰更改了密碼等等。

Humana的客戶也參與了他們的行動(dòng)。“他們更關(guān)心我們是如何保護(hù)他們的信息的?！蹦栒f?！岸宜麄兿Ｍ覀冏袷胤ㄒ?guī)的要求?！币虼?，遵守法規(guī)不僅是Humana的優(yōu)勢(shì)，而且還保證了公司的有序發(fā)展。

金錢必須付出的代價(jià)

幾十年來，CIO們一直在努力證明IT不僅僅是公司的成本中心，更不是不可避免的累贅，或只會(huì)增加公司的管理費(fèi)用。他們中的許多人認(rèn)為，IT是一套寶貴的戰(zhàn)略性工具，不僅能增加收益，而且能大大降低成本，甚至能激發(fā)新的商業(yè)模式。為此，他們這兩年確實(shí)付出了巨大的努力。然而，近年來繁重的法規(guī)遵從工作又將CIO推向了財(cái)務(wù)報(bào)表的成本項(xiàng)目一邊，以前的努力付之東流。

當(dāng)然，要說SOX和HIPAA制造的麻煩――且不說其他法規(guī)，政府自然是“罪魁禍?zhǔn)住?，IT則被看作第二號(hào)敵人。企業(yè)數(shù)據(jù)、信息和技術(shù)分析與咨詢公司AMR認(rèn)為，遵循SOX的成本將于2006年達(dá)到60億美元，但是其中IT所占的比例將會(huì)增加――將達(dá)到近20億美元。

CFO們肯定不會(huì)愿意看到這種情況，但他們對(duì)于成本增加也不是束手無策。在法規(guī)遵從工作中，IT成本之所以增加，一個(gè)原因就是企業(yè)正在利用技術(shù)手段降低法規(guī)遵從的總體成本，實(shí)現(xiàn)程序自動(dòng)化，同時(shí)精簡(jiǎn)在SOX恐慌時(shí)期雇傭的大批審計(jì)員和顧問。據(jù)AMR介紹，IT的投入能夠降低人力需求，最終減少支出。

IT對(duì)法規(guī)遵從的貢獻(xiàn)是前所未有的，企業(yè)需要IT系統(tǒng)來跟蹤并檢驗(yàn)諸如發(fā)電廠排出的廢氣、網(wǎng)絡(luò)安全以及財(cái)務(wù)管理等工作，所有這些使IT成為企業(yè)的核心。

當(dāng)然，法規(guī)遵從工作是必不可少的開支，但是CIO們能夠利用技術(shù)化繁為簡(jiǎn)，降低成本：在法規(guī)遵從工作中，明智的公司一定會(huì)發(fā)揮IT的戰(zhàn)略作用，大大提高效率。CIO們完全有能力向斤斤計(jì)較的老板們證明，IT正在幫助公司躲過一場(chǎng)完美風(fēng)暴。