市婦幼保健院關于網絡安全的自查評估一、自查評估范圍本次自查評估涵蓋婦幼保健院所有在用的信息系統，包括但不限于醫院信息系統（HIS）、電子病歷系統（EMR）、實驗室信息管理系統（LIS）、醫學影像存檔與通信系統（PACS）、婦幼保健專項信息系統以及承載這些系統的網絡基礎設施、服務器設備、終端設備等。同時，對網絡安全管理制度、人員安全意識、應急響應機制等管理層面內容進行評估。二、自查評估內容與結果（一）網絡安全組織管理1、管理機構與人員設置：醫院已設立信息化管理部門，負責網絡與信息系統的日常管理與維護工作。但在網絡安全專職人員配備方面還不足，現有人員多為信息技術綜合崗位，網絡安全專業知識和技能有待進一步提升。2、醫院制定了網絡安全責任制度。明確了信息化管理部門及相關人員的職責，在責任細化和監督考核方面，加強培訓了科室對網絡安全責任的認識，降低責任落實不到位的情況。醫院已建立了一系列網絡安全管理制度，包括信息系統操作規程、數據備份與恢復制度、網絡安全事件應急預案等。（二）網絡基礎設施安全醫院網絡采用分層架構設計，使用部門和云服務廠商，實現了不同業務系統之間的邏輯隔離。對網絡設備（如路由器、交換機等）和服務器設備進行檢查，部分老舊電腦設備由于硬件性能有限，在高并發業務訪問情況下，容易出現性能下降的情況，影響系統的正常運行。（三）信息系統安全1、操作系統、數據庫、機房等核心管理權限，以及信息內容發布審核。安全審計、數據庫導入導出、密鑰管理等均為本單位工作人員負責。嚴格限制通過互聯網遠程運維系統。系統升級嚴格進行各層審批通過才可進行升級。2、身份認證與訪問控制。部分信息系統采用簡單的用戶名和密碼進行身份認證。在訪問控制方面，嚴格遵循最小權限原則。（三）數據安全與個人信息保護1、數據存儲與備份。醫院建立了數據存儲中心，對業務數據進行集中存儲。對重要系統、重要功能、重要數據進行了加密備份。2、接口數據。醫院系統和政務系統對接，嚴格按照政務系統接口來進行規范對接，不存在未授權訪問。弱口令。越權遍歷批量獲取數據風險等問題，數據返回的數據不超出業務所需。3、個人信息保護。在患者個人信息收集、使用和共享過程中，嚴格遵循相關法律法規要求。同時，定期對員工的個人信息保護意識進行培訓，使員工違規操作導致患者信息泄露風險降低。（四）應急響應能力1、應急預案。醫院制定了網絡安全事件應急預案，并進行了相關演練，在應急情況時，具體的應急處置流程和技術支撐措施。2、應急演練。近一年來，醫院組織開展網絡安全應急演練，相關人員對流程均已熟悉，在遇到突發網絡安全事件時，可能做出迅速做出反應，避免延誤事件處理時機。三、存在的問題及整改措施（一）主要問題總結1、網絡安全組織管理方面，專職人員配備不足。2、網絡安全設施方面，部分服務設施需要維護更新。（二）整改建議1、加強網絡安全組織管理。增加網絡安全專職人員配備，引進專業的網絡安全工程師，充實網絡安全管理隊伍。進一步細化網絡安全責任制度，明確各科室和崗位在網絡安全工作中的具體職責，建立健全監督考核機制，確保責任落實到位。2、完善網絡安全制度建設。對現有網絡安全管理制度進行全面梳理和修訂，補充完善操作細則和流程，確保制度具有可操作性。加強制度執行的監督和檢查，建立定期檢查和考核機制，對違反制度的行為進行嚴肅處理，確保制度有效執行。3、強化網絡基礎設施和信息系統安全防護。及時更新網絡設備和服務器的系統補丁，修復已知安全漏洞。加強網絡邊界防護，完善訪問控制策略，限制非法訪問。對信息系統進行全面的安全加固，啟用多因素認證機制，嚴格遵循最小權限原則進行權限分配，修復系統存在的高危漏洞。4、加強數據安全與個人信息保護。優化數據備份策略，采用多種備份方式（如全量備份、增量備份、差異備份等），并將備份數據進行異地存儲，確保數據的安全性和可用性。在信息傳輸過程中，采用加密技術對數據進行保護，防止數據泄露。加強對員工的個人信息保護意識培訓，提高員工的安全意識和操作規范，防止因人為因素導致信息泄露。5、提升應急響應能力。完善網絡安全事件應急預案，細化應急處置流程和技術支撐措施，明確各部門和人員在應急處置中的職責和分工。定期組織開展網絡安全應急演練，通過演練檢驗和完善應急預案，提高相關人員的應急處置能力和協同配合能力，確保在遇到突發網絡安全事件時能夠迅速、有效地進行應對。通過本次網絡安全自查評估，全面梳理了我