醫院網絡安全培訓范文

導語：如何才能寫好一篇醫院網絡安全培訓，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】 網絡信息系統 醫院網絡安全 病案管理系統

網絡信息的安全關系到國家的安全和以及社會穩定等重要問題，并且隨著全球信息化步伐的加速發展而越來越重要。而醫院的網絡安全又是一個比較特殊的而且應該引起極大重視的事，新的醫改方案的出臺，提出要建立一個資源共享的醫療衛生信息系統用以推進信息化建設，重點在于醫院的管理和電子病歷上，這意味著醫院的信息系統將會是一個高科技和高風險并存的系統，它將承載著更多的醫療管理業務，而網絡信息系統本身的脆弱性和復雜性，使得網絡信息系統所要面臨的威脅也越大。因此，醫院的網絡系統安全問題也會變得越來越重要和充滿著挑戰性。

一、醫院的網絡安全系統與重要性

醫院的網絡安全系統包括操作系統的安全和醫保及互聯網的安全，。隨著技術的發展，互聯網已大量普及，使得網絡安全成為了需要重點考慮的問題，這也是現在醫院當務之急最應該做的事，醫院網絡安全的重要性體現在：

1、醫院患者數據的特殊性

醫院的病案管理數據就好像是一個及其重要的醫學文獻，它的每個數據都是醫院所最寶貴的財富，一旦弄丟或者出現差錯，將帶來無法預計的損失，因為每個病人的疾病發生癥狀、演變還有每次醫務人員的診斷和治療過程都被完整的記錄了下來，這是醫學現代化的一個發展和應用，而且也直觀的可以將醫務人員的素質以及現代醫療的技術水平呈現出來。而醫院本身的數據又非常龐大和復雜，以前數據這些都需要有專業的人員深入到科室去對各種病案進行收集分類和整理，工作量非常的大而且又容易出現誤差，因如果借助醫院的網絡手段就可以進行現代化的管理，使得病案的存儲和處理變得更加的便捷和精確，這樣的話將會大大的提高醫院的工作效率。所以醫院的網絡安全問題就顯得尤其的重要。

2、網絡安全犯罪事件越來越多

現在信息技術發展的飛快，掌握網絡犯罪技術的人員也越來越多，網絡安全系統的漏洞不斷被檢測出來，一旦醫院的網絡系統出現故障，不僅會影響到醫院日常工作的進行，也會給醫院帶來非常不利的影響。同時醫院數據的龐大，也對醫院網絡的數據處理能力提出了更高的要求，所以建立健全一個完善的的醫院網絡系統是非常迫切同時也非常重要的事！

二、網絡安全中存在的問題分析

1、網絡協議存在安全隱患

TCP/IP協議中容易遭受到IP的劫持和Smuff攻擊等風險，劫持者利用序列號預測，而在連接中植入自己的數據，Smuff攻擊則假冒受害者主機的IP地址，引起受害主機的崩潰。而FrP協議的口令設置會方便入侵者盜取口令并傳播木馬等病毒，用以竊取用戶的數據，@DDNS提供解析域名等服務，很容易遭受到假冒域名的攻擊， 路由協議缺陷使得入侵者可以偽造ARP包不，不停地更改序列號，冒充主機，然后就可以監聽主機的數據包，影響整個網絡系統的運行穩定。

2、來自病毒的頻繁攻擊事件

網絡病毒肆掠，黑客的頻繁攻擊，所造成的危害越來越嚴重，給醫院的正常運行帶來重重阻礙，大多數的網絡安全事件都是由于用戶終端的脆弱造成，在醫院網絡中，系統漏洞和殺毒軟件的落后的現場非常常見，而醫院的網絡處于互聯網中，難免會遇到各種的病毒攻擊，這些病毒可能會是醫院的系統崩塌，并感染其他的電腦，安全威脅將會快速的擴展到更廣的范圍里。所以醫院急需解決的是要保證用戶終端的健康安全使用，同、同時須完善自身的病毒防御系統。

3、安全制度存在漏洞，安全策略不完善

鑒于醫院信息的特殊性，對醫院信息安全系統的建設將會是一個非常復雜的工程。一些醫院沒有建立完善的網絡安全機制，也沒有采取和調整相應的網絡安全策略，而僅僅是注重于采購各種網絡安全產品，沒有給自己制定相關的中、長期規劃，這樣的話，醫院的信息安全產品其實沒有起到應有的作用。

4、人員的操作失誤

操作人員的安全意識薄弱，不了解網絡安全所應承擔的責任，自身的操作技術不過關，又無法應付網絡安全的突發事件，這樣可能會帶來引入危害程序，泄漏網絡信息，造成網絡的崩塌等安全隱患。所以非常需要加強對操作人員的安全意識和技術培訓。

三、相關的建議和解決措施

1、完善網絡安全策略

根據醫院的具體情況制定一套自上而下的完整的安全策略，同時對網絡進行實時的安全監控，確?？梢约皶r的了解到醫院的網絡安全狀況，提前發現網絡中入侵動作，并且運用防火墻來進行阻止，這樣醫院就可以隨時了解到網絡中存在的缺陷，在發生損失之前就采取必要的安全措施，提高自身的安全防御水平。

2、借助先進的網絡安全技術

（1）在外網同內網之間設置好防火墻，利用防火墻來對進出網絡的數據進行監控和過濾，達到控制和阻斷存在安全隱患的進出網絡訪問行為，對于應當禁止的業務要及時進行封鎖，并把防火墻的工作信息和內容詳細的記錄下來，以此來提前監測和預警可能要進行的網絡攻擊，防火墻的種類有過濾型、檢測型和型等，在實際運用中，要根據不同的情況以便安裝不同的防火墻。

（2）根據不同的安全需求來劃分和隔離出不同的安全域，可利用控制訪問和權限等機制、來達到對不同的訪問者訪問網絡和設備時的控制，防止內部訪問者在無權訪問的區域進行訪問和采取錯誤的操作。通常將網絡安全級別劃分為關鍵的服務區域和外部接入的服務區域，我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域，即關鍵服務器區域和外部并且要安全的隔離這兩大區域之間，針對關鍵的服務器區域內部， 也需要按不同的安全級別而進行不同的安全隔離，劃分并隔離不同安全域要結合網絡系統的安防與監控需要，與實際應用環境、工作業務流程和機構組織形式密切結合起來。

（3）要定期更新升級防病毒的工具，并且要經常對網絡進行安全掃描，以防范病毒和帶有安全隱患的入侵，注意加強系統薄弱的地方，及時檢查漏洞并修補漏洞。除了平常的防毒工作站外，消除病毒的關鍵還在于email防毒和網關式防毒。平時還需要經常使用掃描器主動掃描，及時發現網絡的安全隱患并進行修補，以防黑客攻擊。

（4）要采取先進的加密和認證技術，通過加密，可以使要傳輸的信息得到很好的保密，這是一個非常常見但是效果又很明顯的技術，主要是在文件傳輸和桌面的安全防御中得到廣泛的應用。

（5）要對數據經常進行備份，醫院信息系統的核心是數據庫，它關系著患者的治療資料和隱私，數據庫的安全要保證數據的正常的存儲與應用，而且要對對數據庫的破獲和攻擊采取防御措施，所以數據的重要性對于醫院來說是不言而喻的。即使沒有病毒與網絡攻擊，自己自身的錯誤操作或者系統的斷電及其他的一些意外，都會導致數據的不可挽回的丟失，所以我們必須要有制定一套完整的保護方案和應急手段才行，而備份是一種最常用的最基本的系統安全維護手段，利用數據的備份和恢復功能，有些數據甚至能異地存儲備份，這樣可以避免嚴重的事故發生。

3、健全風險的評測體制，增強醫院的安全管理體制

可以長期與專業的安全服務公司進行合作，以便建立一套完整的風險評估機制，在部門之間加強信息的溝通與資源的共享，采用其先進的風險評估技術，同時結自身網絡系統安全實際的實際情況，去不斷發現信息系統中所存在的安全隱患，然后尋求有效的補救方法。同時也要安排專門的人員對硬件設備和系統進行維護和優化。可以設立完善的安全管理機構，由專門的網絡安全的小組的領導組成，落實職責。加強網絡安全隊伍建設，保證醫院的信息系統可以正常運行。在執行安全策略時需要采取制度化管理，規范各個業務系統的操作和數據庫管理員的工作等，而對于不同敏感類型的信息要依據相關的管理制度和方法來管理。

4、建立應急預案，定期進行演練

在醫院網絡系統的運行過程中，難免會會出現各類的故障，為了確保醫院的安全系統可以正常運行，應當建立應急預案，使得醫院在突發事件中提高系統的處理的能力，是不利的影響和損失能夠降到最低，制定應急預案，所以首先，從醫院的實際業務特點出發，來進行不同規模的應急演練，同時應當注意對不同的故障制定不同的應急預案，并設立專門的領導小組作為保證，而啟動應急預案會給醫院的正常工作很大挑戰，因為需要調動大量的人力和物力所以對于應急預案啟動的條件要嚴格控制。在應急預案建立好后，還需定期的組織演練，確保應急方案的切實可行。

5、提高相關人員的素質，加強員工的培訓

操作人員的素質高低會直接影響到醫院網絡完全的系統建立，對員工進行相關的安全培訓則是非常關鍵的手段。安全培訓可以分為信息科的專業人員的安全技術培訓和所有使用人員的操作安全培訓這兩種。信息科的培訓針對的是各類的安全技術和安全策略，而系統使用人員的操作培訓，要則主要在于怎樣安全的使用各類計算機設備和怎么樣對設備進行維修保養。

總之，我們都知道不存在絕對安全的網絡防御系統，網絡信息的安全風險的存在是客觀的現象，也是一個在不斷演變和前進的的系統，科技的發達與便捷，促使醫院的業務對網絡技術的依賴也越來越強，當然相關的風險也就大大的提高了，而當故障發生時，不可避免的會給醫院的服務和秩序帶來無法估計的影響。所以，必須高度重視技術上的和理論上的網絡安全。隨著計算機技術與醫院自身的信息系統的不斷完善，未來在網絡安全上的體制也將會更完善。

參 考 文 獻

[1] 式志紅. 醫院信息系統的安全維護措施[J]. 中國醫療設備，2009（1）

篇2

【關鍵詞】信息安全等級保護 測評實施

1 引言

醫院信息化建設快速發展，信息系統應用深入到各個環節，信息業務系統承載了門診收費、門診藥房、住院收費、住院藥房、醫保、財務、門急診醫生護士站、住院醫生護士站、電子病歷、病案首頁、檢驗LIS系統、檢查PACS系統、體檢系統等。保障重點信息系統的安全，規范信息安全等級保護，完善信息保護機制，提高信息系統的防護能力和應急水平，有效遏制重大網絡與信息安全事件的發生，創造良好的信息系統安全運營環境勢在必要。根據衛生部印發的《衛生行業信息安全等級保護工作的指導意見》，衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作，對于促進衛生信息化健康發展，保障醫藥衛生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。

2 確定測評對象與等級

我院是一所二級甲等綜合醫院，日門診人次1000人左右，住院日人次400余人。醫院信息系統HIS、LIS、PACS、電子病歷、體檢等50余個系統無縫結合，信息雙向交流。按照《信息系統安全等級保護定級指南》定級原理，確定醫院信息業務系統的安全保護等級為第2級，其中業務信息安全保護等級為2級，系統服務安全保護等級為2級。

2.1 招標比選測評公司

醫院通過四川警察網了解到四川省獲得信息安全等級保護測評有資質的5家公司。醫院電話通知該5家公司，簡單介紹醫院信息化情況，其中有3家公司到現場進行調查，掌握了信息系統情況。然后通過招標比選確定一家公司為我院測評安全等級保護。

2.2 測評實施

2.2.1 準備階段

醫院填報《安全等級保護備案申報表》、《安全等級保護定級報告》，確定安全主管人員、系統管理員、數據庫管理員、審計管理員、安全管理員。醫院組織相關人員到市級計算機安全學會進行安全培訓學習。確定醫院信息安全主管人員協助測評公司人員就醫院信息業務系統做調研，提交準備資料。調研內容涉及網絡拓撲結構圖、線路鏈接情況、中心機房位置分布情況、應用系統組成情況、服務器操作系統、數據庫系統以及相應的IP地址、網絡互連設備的配置、網絡安全設備的配置、安全文檔等。

2.2.2 測評主要內容

主要針對醫院信息系統技術安全和安全管理兩方面實施測評，其中技術安全包括物理安全、網絡安全、主機安全、應用系統安全、數據安全及備份恢復進行5；安全管理包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

2.2.3 測評方式與測評范圍

測評公司綜合采用了現場測評與風險分析方法測評、單元測評與整體測評。單元測評實施過程中采用現場訪談、檢查和測試等測評方法。就各類崗位人員進行訪談，了解醫院業務運作以及網絡運行狀況；查看主機房、應用系統軟件、主機操作系統及安全相關軟件、數據庫管理系統、安全設備管理系統、安全文檔、網絡分布鏈接情況。檢查物理安全、主機安全、網絡安全、應用安全和數據安全及備份恢復等技術類測評任務，以及安全管理類測評任務；查閱分析文檔、核查安全配置、監聽與分析網絡等檢查方法查證防火墻、路由器、交換機部署及其配置情況、端口開放情況等；測評人員采用手工驗證和工具測試進行漏洞掃描、系統滲透測試，檢查系統的安全有效性。

整體測評主要應用于安全控制間、層面間和區域間等三個方面。主要就是針對同一區域內、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區域間的互連互通時的安全性。

醫院信息系統運用了身份鑒別措施、軟件容錯機制、用戶權限分組管理、密碼賬戶登錄、數據庫表中記錄用戶操作、對重要事件進行審計并留存記錄。網絡邊界處部署防火墻防御入侵，終端使用了趨勢網絡版本防病毒產品，抵御惡意代碼。開啟系統審計日志，制定和實施有效安全管理制度，加強安全管理，降低系統安全風險。網絡進行了有效的區域劃分，區域之間通過訪問控制列表實現安全控制，與社保局、醫管辦等第三方外聯區之間通過防火墻嚴格限制訪問端口。

2.2.5 差距分析與測評整改

通過測評，測評公司寫出測評報告，提出整改建議。按照《信息系統安全等級保護基本要求》要求6，測評公司人員根據醫院當前安全管理需要和管理特點，針對等級保護所要求的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理，從人員、制度、運作、規范等角度，進行全面的建設7，提供技術建設措施，落實等級保護制度的各項要求，就各類人員進行安全培訓，提升醫院信息系統管理的能力。醫院分期逐步投入防網絡入侵系統、數據庫審計系統等。

2.2.6 編制報告，成功備案

測評公司編制報告，上報市公安局備案成功，獲得二級信息系統備案證書。二級信息系統，每兩年進行一次信息安全等級測評。實施安全等級保護測評備案使醫院信息系統安全管理水平提高，安全保護能力增強，有效保障信息化健康發展。

3 結語

網絡安全問題是一個集技術、管理和法規于一體的長期系統工程，始終有其動態性，醫院需要不斷進行完善，加強管理，持續增加安全設備以保障醫院數據安全有效，保障信息系統安全穩定運行。醫院信息安全建設要切合自身條件特點，分期分批循序建設，保證醫院各系統長期穩定安全運行，以適應醫院不斷擴展的業務應用和管理需求8。

參考文獻

[1]衛辦發.〔2011〕85號，衛生部關于印發“衛生行業信息安全等級保護工作的指導意見”的通知，2011.

[2]尚邦治.做好信息安全等級保護工作[J].中國衛生信息管理雜志，2005.

[3]王建英，陳文霞，胡雯，張鵬.醫院信息安全分析及措施[J].中國病案，2013.

[4]王俊.醫院信息安全等級保護管理體系的構建[J].醫學信息，2013.

[5]韓作為.醫院信息安全等級保護三級建設流程與要點[J].中國數字醫學，2006.

篇3

隨著計算機軟件技術的發展,特別是分布式和軟件移動計算的廣泛應用,使得系統開放性越來越強,局域網內的用戶都可能訪問到應用系統和數據庫,這給醫院信息安全帶來了極大的挑戰。從收費數據到醫療信息、從病人隱私保密到管理信息的保密,都要求醫院管理系統要處于高度安全的環境中。醫院信息系統的穩定和安全運行,是醫院持續正常工作的組成部分。作為一個持續運行的事務處理系統,要求能每天24小時不間斷運行,不希望有中斷,否則會使醫院的聲譽受到影響。同時,隨著業務的發展,系統數據量的增加,要求系統能穩定地運行,不能使系統性能快速降低。在一些重要的系統中,如財務、人事、醫保實時交易等信息,已經不能滿足于簡單的本地保護,要求有更高的系統可靠性,保證系統能進行容災保護。一旦出現異常情況,如火災、爆炸、地震、水災、雷擊或某個方向線路故障等自然原因以及電源機器故障、人為破壞等非自然原因引起的災難后,系統能快速穩定地恢復正常工作。因此,信息安全已經不是人們傳統意義上的安全概念,是要保證系統避免一系列威脅,保證醫院業務的連續性,最大限度地減少醫院業務的損失,為醫院的業務發展提供信息安全保障。本文作者根據多年來從事醫院管理信息系統和網絡系統的建設及維護工作的經驗出發,探討安全建設和日常維護工作。

二、安全的硬指標

系統安全的硬指標考慮的問題是多方面的,包括如下。

(一)中心機房安全

中心機房是醫院信息系統設備的存放地,包括數據庫服務器、磁盤陣列、網絡主交換、應用服務器等設備,因此對環境的要求極高,應該做到:1.機房供電不少于兩路;2.雙路UPS供電、并采用智能報警管理UPS;3.防靜電地板、玻璃隔斷、防火墻面處理、外窗防水處理;4.火災探測器、防竊探測器;5.溫度、濕度恒定,防塵,防蟲鼠;6.三相四線雙變電站供電,安裝應急照明系統;7.專用機房接地系統,與主配線柜、主設備柜、防靜電地板下的接地線(環)相連;全方位防雷系統,強電、弱電都應安裝防雷保護器等。

(二)服務器及服務器操作系統安全

服務器是數據處理的核心單元,是軟件安全的基礎,因此,其安全應該做到:1.根據醫院業務狀況決定采用PC服務器或小型機,并配備磁盤陣列、冗余電源、大規模內存和高速緩存的自動糾錯,保證在連續工作狀態下保持穩定、快速;2.對服務器進行隔離,并采取嚴格的安全管理,各開箱鎖單獨保存;3.應用程序服務器和數據庫服務器必須嚴格分開;4.服務器操作系統應采用安全機制較高的系統,如Windows2000或Unix等;5.網絡操作系統的用戶資源權限控制以及安全審計等功能必須開啟;6.操作系統不相關的應用服務必須關閉;7.操作系統安全布丁必須定時更新。

(三)群集技術及磁盤陣列的可靠性

群集技術是能使服務器連續可靠運行的重要保證,簡單地說是兩臺服務器采用雙機熱備份工作狀態,當一臺機器出現問題后另一臺機器能快速接替主服務器的工作;服務器中易損部件是硬盤,硬盤損壞可以造成系統癱瘓,因此采用磁盤陣列進行冗余,其要求如下:1.為了避免出現災難性后果,必須每天檢查群集工作狀態;2.當群集中一臺機器出現問題時應該馬上解決,檢查主服務器,盡早恢復其工作;3.RAID保證數據庫的高可靠性,保證在部分存儲介質損壞時數據不丟失;4.必須定時檢查硬盤工作情況,發現問題及時處理。

(四)網絡安全

網絡安全主要是指當用戶通過網絡訪問應用服務器和數據庫服務器時如何保證網絡鏈路的安全,包括網絡布線安全和網絡設備安全。特別還應注意設備的軟故障,軟故障將造成網絡系統長時間無法正常運行,使得醫院處于一種半癱瘓狀態。軟故障包括廣播風暴、交換機等設備處于時好時壞狀態、網絡以極慢速率傳輸數據、頻繁出現丟包現象等,因此,基于安全的要求:1.對于光纖介質要求包括溫差、陽光、鼠害、碰撞摩擦、拐角半徑等的防護環境;2.對于雙絞線介質要求包括磁場、雷擊、電磁干擾、鼠害、溫差、濕度等的防護環境;3.網絡設備對環境的要求包括溫度、濕度、潔凈度、電源質量等;4.核心交換機也須采用雙冗余進行備份,確保該交換機出現故障后備份交換機能迅速接替工作;5.定時觀察服務器網絡傳輸數率。

(五)數據庫安全

在醫院信息系統的后臺,數據信息是整個系統的靈魂,其安全性至關重要,而數據庫管理系統是保證數據能有效保存、查詢、分析等的基礎;數據被安全存儲、合法地訪問數據庫以及跟蹤監視數據庫,都必須具有數據有效訪問權限,所以應該實現:1.數據庫管理系統提供的用戶名、口令識別,試圖、使用權限控制、審計、數據加密等管理措施;2.數據庫權限的劃分清晰,如登錄權限、資源管理權限和數據庫管理權限;3.數據表的建立、數據查詢、存儲過程的執行等的權限必須清晰;4.建立用戶審計,記錄每次操作的用戶的詳細情況;建立系統審計,記錄系統級命令和數據庫服務器本身的使用情況。

(六)數據存儲安全

數據存儲安全是數據庫存儲的信息不能因自然災害、人為原因和設備損壞而被破壞,同時保證數據可以長期保存,備份的數據可以正確恢復,其要求如下:1.建立數據備份方案,嚴格按照規定的備份時間、方式進行數據備份;2.數據備份要有多重冗余備份,要有異地數據備份,當某一地點數據丟失或破壞時,另一地點保存的副本可用于恢復;3.數據部分的有效性檢查,保證備份的數據萬無一失,做到定期檢查;4.建立快速恢復機制,明確出現故障后的快速恢復手段與方法,而且必須對之進行階段性檢查,進行災難模擬測試。

(七)應用軟件的安全

由于醫院信息系統的用戶量大、數據量大、涉及面廣、職責多樣、業務流程復雜和權限管理復雜等,所以對應用程序,系統安全設計的要求很高。1.設計安全審計功能,且每個審計事件都應和觸發該行為的用戶身份相關聯;2.審計查閱功能,為審計功能提供清晰易懂的審計日志;3.審計事件存儲,審計日志存儲空間溢滿時能導出審計日志并妥善保存;4.設計訪問控制策略和訪問控制功能;5.設計用戶標識、用戶主體綁定;6.設計多重會話并發限制、會話鎖定。

(八)病毒防護和防黑客攻擊安全

計算機病毒在網絡中的危害遠大于對單機的危害。網絡發生計算機病毒后最難處理的問題是清除病毒。對于服務器等關鍵設備應安裝殺毒軟件和防黑客攻擊軟件,網絡環境下要把防止計算機病毒進入系統放在首位,基于以上安全特性,要求:1.設備VLAN,在主域服務器上安裝網絡版殺毒軟件和防黑客攻擊軟件;2.定時更新病毒庫和殺毒引擎;3.定時更新操作系統漏洞布丁;4.關閉不用的操作系統服務;5.關閉不用的端口;6.盡量將醫院的內網與外網做到物理上的完全隔離。

三、安全的軟指標

系統安全的軟指標是指管理制度、應急方案、操作規范和安全培訓制度等。

(一)組織

成立系統安全工作領導小組、確定第一責任人、責任部門、相關部門和部門負責人,明確安全責任制,并定期檢查、督促落實。

(二)制度

建立信息安全管理制度也是安全管理的重要組成部分;完整的計算機文檔是分析故障、排除故障的基礎,是系統正常運行的保證;工作制度的建立與系統建設同步開始;同時,在日常工作中應該根據系統設置的變化進行修改,保證文檔和制度能真實反映系統狀態,具體制度為:1.建立網絡服務器管理制度;2.建立網絡設備管理制度;3.建立網絡工作站管理制度;4.建立網絡工作人員管理制度;5.技術文檔管理制度;6.“第三方”訪問管理制度。

(三)信息安全操作規范

很多安全隱患都來自于操作不規范,口令定期調整、程序升級、日志檢查都可能杜絕掉很多安全隱患,因此,應建立如下規范:1.建立操作系統操作規范;2.建立數據庫系統操作規范;3.應用系統操作規范。

(四)應急方案

醫院信息系統應急方案是在計算機出現故障,且不能短期完全恢復運行,并影響到局部或整體工作時,只有采用人工的方式來開展工作,保證正常醫療活動不被完全打亂,因此應做到:1.確定應急方案實施責任制;2.應急方案實施范圍和時間;3.應急方案通報制度;4.系統故障一般應急措施;5.業務應用應急實施細則。

(五)安全培訓制度

信息中心應負責全院相關部門和人員的信息系統安全教育和使用培訓的計劃制定、實施和組織協調工作:1.制定相應的安全培訓大綱、培訓計劃,有計劃地加以實施;2.對醫院決策層和管理層的應知應會培訓,充分認識信息安全的重要性和信息安全防御體系建設的必要性;3.對計算機科室管理人員的技能培訓;4.對操作層面人員的使用培訓;5.知識更新培訓及業務再培訓。

四、探討

以上的框架描述只是從作者的工作經驗和部分理論指導的角度出發,因此很多地方還有待探討。不同的醫院有不同的情況,不能一概而論,包括管理現狀、資金狀況、人員配備、技術支持等都會影響到信息安全的實施。醫院如何開展信息安全工作,應該本著從實際出發的精神,先進行風險評估,研究信息系統存在的漏洞缺陷、面臨的風險與威脅,對于可能發現的漏洞、風險,制定相應的策略:首先在技術上,確定操作系統類型、安全級別,以選擇合適的安全的服務器系統和相關的安全硬件;再確定適當的網絡系統,從安全角度予以驗證;選擇合適的應用系統,特別要強調應用系統的身份認證與授權。在行為上,對網絡行為、各種操作進行實時的監控,對各種行為規范進行分類管理,規定行為規范的范圍和期限,對不同類型、不同敏感度的信息,規定合適的管理制度和使用方法,限制一些不安全的行為。在管理上,制定各項安全制度,并定期檢查、督促落實;確定醫院的安全領導小組,合理分配職責,做到責任到人。當然,還要意識到信息安全工作的開展有可能會影響到系統使用的方便性,畢竟,安全和方便是矛盾的統一體,要安全就不會很方便,相關工作效率必定降低,要方便則安全得不到保證,因此必須權衡估量。

篇4

 

尊敬的領導：

2018年，xx嚴格按照集團公司“穩中提質、改革創新”總要求，圍繞安全生產、經營管控、風險防控等工作重點，從信息化管控、系統建設、應用推廣、運行維護等方面開展信息化工作，較好的發揮了信息系統在生產監控、過程管理和輔助決策方面的作用。現將主要工作情況匯報如下：

第一部分 信息化管控

一、信息化管理制度建設情況

公司共制定有《xx信息化管理辦法》、《xx網絡安全管理制度》、《xx計算機管理辦法》、《xx軟件正版化管理辦法》、《xx辦公自動化系統使用管理辦法》、《xx應用系統數據管理辦法》等有關規劃、項目、基礎設施、應用系統和運行維護的信息化管理制度18項，較好的指導和規范了公司信息化建設。

2018年重新修訂完善了硬件資產管理辦法、應用系統運維管理辦法、信息化管理辦法、微信、QQ群組管理辦法、報廢計算機和計算機耗材廢舊污染物品管理辦法、網絡信息安全管理辦法等6項信息化管理制度。

二、信息化資本支出計劃情況

（一）2018年信息化資本支出計劃完成情況。

按《xx關于下達2018年度資本支出計劃（信息化專項）的通知》要求，嚴格監控審核各類信息化資本支出項目的執行情況，督導各單位資本支出計劃按進度完成。2018年各類信息化計劃資本支出費用為537.2萬元，截至10月底，完成了346.43萬元，預計11-12月份完成122.13萬元，全年總計完成468.56萬元，計劃完成率為87.22%。

 1、審核類項目

xx審核類項目共計8項，分別為工藝動畫展示軟件、SaaS門戶網站防護軟件、龍軟地測空間信息管理系統、病案管理系統、生化檢驗血庫管理軟件、預防保健數字化門診系統、遠程控制軟件、綜合管理系統（二期）。

（1）綜合管理系統（二期），合同額120萬，2018年計劃完成80萬元，按合同約定，已完成第一階段付款36萬元，按照開發進度及合同約定，12月份將完成第二階段付款36萬元，完成了預算目標。

（2）山不拉煤礦龍軟地測空間信息管理系統，預算金額為30萬元，實際支出30萬元，完成了預算目標。

（3）職工醫院病案管理系統預算金額為15萬元，計劃12底前購置完成。

（4）職工醫院生化檢驗血庫管理軟件預算金額4萬元，實際支出4萬元，完成了軟件的購置。

（5）職工醫院預防保健數字化門診系統軟件預算金額為8萬元，實際支出為7.51萬元，完成了系統軟件的購置。

（6）特鑿公司工藝動畫展示軟件預算金額為15萬元，實際支出15萬元，完成了軟件的購置。

（7）特鑿公司SaaS門戶網站防護軟件預算金額為8萬元，計劃12月底前購置完成。

（8）培訓中心遠程控制軟件預算金額為2萬元，計劃12月底前購置完成。

2、備案類項目

備案類重點項目有3項，分別為筆記本電腦購置38臺，24.58萬元，臺式機購置116臺，74.89萬元，打印機購置71臺，23.43萬元，合計占備案總預算的62.48%。

3、費用類項目

重點費用類項目有1項，為線路租賃費用，公司共有廣域網專線9條，互聯網線路13條，年租賃費用為87.64萬元。

（二）2019年信息化資本支出計劃情況。

1、基本情況。2019年各類信息化資本支出費用預計為1261.9419萬元，其中審核類費用預計773.15萬元，備案類費用預計320.78萬元，費用類預計168.0119萬元。

審核類中，BIM分中心建設項目318.55萬元，BIM分中心配套機房及網絡改造項目139.6萬元，山不拉煤礦安全監控系統升級改造項目186萬元（說明：地方政府要求在2018年底完成，專項請示在2018年增列計劃，由于時間太緊，只能將計劃在2019年列支）。

第二部分 信息系統建設應用

三、綜合管理系統（二期）建設應用

（一） 建設目標：流程固化、數據共享、全程追溯。

（二） 建設原則：圍繞資金、業務主導、橫向到邊、縱向到底。

（三） 保障措施：

1、成立了綜合管理系統應用推進領導小組，公司主要領導親自抓。明晰系統應用推進中的職責、責任到人。

2、定期不定期的召開項目協調例會，及時協調解決系統開發、應用過程中的各類問題。

3、全員培訓。已開展用戶培訓12場次，培訓用戶2200余人次，涵蓋公司領導、部門負責人、關鍵用戶和業務人員。

4、日常指導。通過電話、QQ群、遠程桌面、面對面交流等方式解答系統使用中的各類問題，平均日處理各類解答300余人次。

5、督導考核。從組織機構、用戶培訓、系統操作、數據質量四方面對各單位、各項目部已上線業務開展督導考核。通過督導考核來看，數據質量基本可靠。

（四）開發進度：

自7月份正式開發以來，完成了物資、技術質量、科技、安全、黨建、市場開發、法律事務和監察審計業務的開發上線，完成了財務、人力、經營、機電業務部分功能（資金、稅務、人事、薪酬、結算、分包、租賃等）的開發上線，完成了整體開發計劃的80%。

（五）應用效果

1、用戶可通過手機APP，企業微信處理系統業務。

2、用戶日平均登錄2000余人次，7日上線率為54.7%（系統注冊用戶數2558人）。

3、打通了從業務到財務的各個環節，財務核算與業務過程互相約束、互相校驗，實現了業務過程可控、資金流向可控。

4、提高了工作效率、提升了管理水平。流程平均審批效率29小時，較之前的以周計算或以月計算，工作效率成倍提高。管理模式逐漸從結果導向轉變為過程控制，建筑行業的粗放型管理得到明顯改觀。

四、云視頻會議系統建設應用

云視頻會議系統采用SaaS模式建設，省卻了基礎設施、網絡安全、系統運維等方面的工作。

系統可以通過PC、手機、硬件終端召開會議。系統有三個會議室，一個100賬號和兩個25賬號，一個賬號在一臺設備中使用，一臺設備可以在實體會議室供多人參會。

系統上線以來，平均月召開云視頻會議10余次，平均參會人數200余人/次，年節省差旅費、油費、會議費約120萬元（按每項目部每次節省1000元計算，10x12x1000x10=1200000）。

系統的成功應用，不但提高了會議效率,降低了費用，還減少了路途中的安全風險。

五、BIM技術應用情況

在建設集團、集團公司的領導和統一部署下，xx有條不紊的開展了BIM系統的應用和推廣工作。完成了與建設集團BIM云平臺對接和公司BIM平臺建設；完成了各專業族庫的建立、施工工藝視頻的制作及BIM5D平臺學習與試用。截至目前，公司BIM平臺已經具備了質量、安全和進度管理、匹配成本信息和施工進度模擬等功能，能夠實現數據和信息的有效共享。

六、安全監控監測系統

按照國家煤礦安監局及內蒙古煤礦安監局相關文件要求，配合山不拉煤礦完成了瓦斯監控系統升級改造方案制定、預算編制和前期籌備工作，協調完成了專項費用計劃增列的申報工作。

按照集團公司要求，配合山不拉煤礦完成了工業視頻監控高清改造方案的調研、方案制定、預算編制工作。

完成了小回溝項目部瓦斯監控系統升級改造后的數據聯網上傳工作。

七、推進各應用系統的使用

（一）年度考核系統應用。開展考核系統的配置、值守等工作，協助人力資源部完成年度考核工作。

（二）OA系統應用。繼續優化涉及辦公、財務、經營、人力、機電等各方面各類電子簽章審批工作流，指導各單位梳理建立使用OA簽章審批工作流。截至目前，優化、修改工作流程50個，制作電子簽章100余人次。

（三）視頻會議系統的應用。截至目前，公司召開視頻會議121次，參會人數12000多人次；召開云視頻會議100余次，參會人數20000余人次。保障了會議精神實時、全面、有效的傳達，節約了大量交通、住宿、會議等費用。

（四）安全培訓系統的應用。協助公司職工教育培訓中心開展特種作業人員和項目部安管人員的取證培訓、崗位復訓，使用系統進行培訓、考核10場次，參培人員800余人次。

（五）推進集團公司ERP等系統的應用。定期跟蹤各部門對集團財務、采購、庫存、人力資源、合同管理、安全管理等系統的應用情況。定期收集相關部門對系統的使用意見和建議，督促系統實施進度和培訓。

 

第三部分 基礎設施建設應用

八、數據中心機房建設情況

公司數據中心機房建于2009年，安裝有門禁、供電、UPS、制冷、新風、消防、監測等機房系統，其中UPS按照供電8小時設計，現由于電池組老化，僅能滿足供電2小時。機房內有服務器14臺，分別承載OA、綜合項目管理、檔案管理、安管培訓模擬、視頻會議、用友財務等使用中的應用系統；有存儲設備1臺，承擔綜合項目管理系統的數據存儲任務；有核心交換機、IDS、防火墻、路由器、網絡行為管理、VPN等網絡設備14臺，分別承載公司局域網和廣域網的數據傳輸和網絡安全任務。

九、廣域網建設情況

公司廣域網連接的單位有10處、31處、49處、特鑿處、南陽坡分公司、內蒙古分公司、山不拉煤礦和兩級集團公司。到南陽坡分公司和內蒙古分公司廣域網帶寬為2Mbps，到集團公司的廣域網帶寬為8Mbps，其余為4Mbps。廣域網主要承載視頻會議系統、ERP系統等需要專線連接的應用系統。

十、局域網建設情況

局域網采用星型拓撲，接入交換機到電腦終端為百兆帶寬，接入交換機匯聚到核心交換機為千兆帶寬。

公司局域網包括公司辦公樓、培訓中心和物業管理公司叢臺基地，共有電腦終端200余臺。電腦按樓層、部門劃分為10個VLAN，起到疏導流量、隔離廣播風暴和防止病毒大范圍擴散的作用。

根據具體實際，對各單位機房和局域網的建設提出了最基本的標準，并指導各單位信息專業人員逐步完善。

十一、互聯網建設

公司機關及各單位均有互聯網接入線路。公司機關接入帶寬為中國電信的50Mbps互聯網專線，31處、49處、特鑿公司和山不拉礦今年均變更為100Mbps，其他各單位互聯網接入帶寬為50Mbps。

十二、BIM分中心基礎設施建設情況

配合建設集團完成了BIM中心建設總體方案的制定工作和xxBIM分中心建設方案的制定工作，圍繞BIM分中心建設方案，結合公司機房及網絡現狀，制定了BIM分中心機房、網絡配套設施改造方案。

第四部分 信息化運維

開展桌面運維，定期對用戶計算機安裝的軟件進行維護，監督正版軟件的使用。定期維護計算機硬件，保障計算機正常工作。

開展網絡運維，定期檢查網絡設備的配置、日志，保障設備運行正常。定期對網絡線路巡檢，及時排除斷網隱患。不定期開展用戶網絡排錯培訓，提高用戶常見網絡故障的自我解決能力。

開展應用系統運維，督促或組織制定應用系統管理辦法，從系統用戶、系統運行、系統安全等方面加強日常檢查，保障各系統安全運行。

開展機房運維，嚴格執行每日巡檢制度，明確了機房溫度、濕度、供電等環境要素標準。加強運維人員操作系統、服務器組成等軟硬件知識學習，每日必須登錄服務器分析運行日志，及時發現問題、解決問題。

第五部分 信息安全

網絡與信息安全方面管控主要從安全制度、安全技術、安全教育和安全評測等方面進行，力保信息的可信性、可用性和完整性。

安全制度方面。公司成立有保密與網絡安全委員會，領導公司的網絡安全工作。下發了《黨委網絡安全責任制實施細則》、《網絡安全管理制度》、《信息安全崗位職責管理辦法》等制度，明確了安全職責、任務、措施等內容，經常性的在用戶中宣傳網絡安全的重用性、必要性，指導用戶使用常用網絡安全技術措施。

安全技術方面。遵照ISO七層網絡模型，針對每層容易暴露的安全問題，采取有針對的防護措施。在網絡邊界部署了防火墻、入侵檢測、上網行為管理等安全設備。在服務器區部署了防火墻，并在服務器中安裝了殺毒軟件和終端防護軟件。在用戶端按樓層劃分了VLAN、IP地址和MAC地址進行了登記并綁定，用戶計算機也安裝了殺毒軟件、軟件防火墻。

安全教育方面。通過專題講座、發放宣傳資料、安全事件案例等多種形式開展信息安全知識普及工作，提高員工的安全防范意識，減少安全事件的發生。要求用戶口令長度不小于8位，且必須由大寫、小寫字母與數字共同組成，并定期提醒用戶更換密碼，必要時強制更改密碼。要求用戶不得將賬號密碼轉借他人。

安全評測方面。定期開展應用系統和基礎網絡自評，加強了計算機終端、局域網絡、服務器主機、服務器操作系統、應用系統等安全制度、安全策略和安全行為管理，進一步提高了公司信息系統的安全水平。定期委托專業公司開展安全評測，按照評測整改報告及時完成整改。對新開發的應用系統，需通過安全測評后才允許驗收。

第六部分 對外網站

制定了《xx門戶網站管理辦法》，明確了網站管理的權利、責任。

要求各單位對外網站需完成備案工作、安裝政府網站防護軟件、在國家重大活動期間強化安全監控，必要時關閉網站。

公司網站采用PaaS模式建設，采用的阿里云平臺的專有云，并采購了安騎士云盾、WAF防火墻和態勢感知安全服務，還安裝了公安部網防G01 V3.0防護軟件。專有云提供安全風險短信預警功能，能動態提醒操作系統、網站系統、惡意攻擊等安全風險事件。

第七部分 存在的問題和不足

一、專業人才短缺。軟件、網絡、安全和數據庫等方面相關專業人才短缺，制約了應用系統自主運維和開發。

二、系統集成難度大。系統種類多、功能重合多，系統間數據集成共享難度大，造成了業務和數據的割裂，形成了實際上的信息孤島，有違信息化建設的初衷。建議能有系統建設和系統集成的頂層設計，形成標準規范。

第八部分 2019年重點工作

篇5

關鍵詞: 檔案管理 信息化 意義 安全 防范策略

檔案信息逐漸走向數字化管理是必然趨勢,但在檔案信息化過程中,出現的安全問題制約了檔案信息化的進程。如何確保信息化檔案的完整與安全,成為當前檔案管理者的重要課題。

一、檔案信息化管理的作用和意義

電子檔案管理信息系統的建立,可以提高檔案工作的效率,方便用戶的使用,加強檔案的保存,提高檔案利用的效率,對維護和保障單位的合法權益,促進兩個文明建設具有重要意義。具體優勢如下:

(一)檔案信息的傳遞量和服務對象的數量大大增加。由于數字信息占用空間小,信息傳遞不受空間的限制,隨著計算機通訊網絡的不斷延伸,所能鏈接的用于存儲和管理數字信息的服務器和存儲設備及服務對象的數量將加速增加。

(二)時間的延續性,可以24小時服務。

(三)檔案數字信息網絡檢索方便,傳遞速度快。

(四)可以根據利用者的需要,提供個性化服務。檔案信息網絡服務的出現,是我們提供檔案信息服務的適時的現代化手段。

(五)資源共享,提高檔案的利用率。利用網絡傳輸檔案信息,其有紙質檔案不可比擬的優點,網絡傳輸速度快,檔案傳輸不再受空間和人力的限制。查閱者一旦需要檔案就可以通過檔案管理網絡系統進行查閱,不僅可以查閱所需的信息,而且可以下載電子版的檔案原件,沒有必要再到檔案室進行查閱。這極大地節省了查閱者和檔案管理員的時間。還可以通過檔案管理網絡系統異地查閱檔案信息,節約了人力、物力,大大提高了檔案的利用率。

二、檔案信息化后可能存在的安全隱患

(一)操作系統的安全缺陷

操作系統是計算機最主要的系統軟件,是信息安全的基礎之一。然而,因為操作系統太龐大(如Windows操作系統就有上千萬行程序),致使操作系統不可能做到完全正確。操作系統的缺陷所造成的功能故障,往往可以忽略,如當Windows出現死機時,按一下復位鍵重新啟動就可以了。但是,如果操作系統的缺陷被攻擊者利用,所造成的安全問題就不能忽視了。

(二)網絡技術本身的安全隱患

網絡本身就不是一種很安全的信息傳輸方式。網絡上的任何信息都是經過重重網站分段傳送至目的地的,任何中介站點均可以攔截、讀取甚至破壞信息。同時,網絡的應用技術發展很快,新技術不斷推動新的應用,而安全技術是一種在對抗中發展的技術,它總是顯得有些滯后,防范攻擊的能力不強,這樣就導致網絡安全的脆弱性。

(三)管理人員素質問題

據有關資料顯示,80%以上的檔案管理人員沒有受過正規的計算機安全培訓,缺乏計算機與網絡信息的安全意識,致使網站遭到攻擊。

三、檔案信息化管理中安全問題的防范策略

(一)加強對檔案管理人員素質培訓及安全教育

在檔案信息化管理安全防范中,人的因素是第一位的。檔案管理的現代化,對檔案管理人員的素質提出了新的要求,檔案部門應加強對信息安全意識和安全業務的宣傳與教育,不斷提高檔案管理人員的思想素質、業務素質和職業道德。對現有的在職檔案人員進行檔案現代化管理和計算機網絡等信息技術方面新知識、新技術的培訓和再教育,積極引進復臺型人才,為檔案信息化管理注入新的活力,提升綜合管理能力。應對工作中可能發生的意外事故,及時發現問題和解決問題,維護系統的安全和正常運行,確保檔案信息的完整性。

(二)從管理上加強安全防范

針對信息化檔案的安全問題,安全防范的最高境界不是產品,也不是服務,而是管理,沒有好的管理思想、嚴格的管理制度、負責的管理人員和實施到位的管理制度,就沒有真正的安全。

1.建口可以信賴可以控制的內部網絡。管理好內外網絡的通道,杜絕內部人員使用撥號、寬帶等方式非法接入外網。管理好軟件資產,避免內部人員在計算機上安裝使用盜版軟件,以防引入潛在的安全漏洞,降低計算機系統的安全系數。

管理好計算機的外部設備,防止內部人員在內網計算機上通過移動存儲介質間接地與外網進行數據交換,導致病毒的傳人或者敏感信息、機密數據的傳播與泄漏。

管理好單位個人使用的計算機上的重要文檔,防止相同域內的終端用戶互相調用和操作機密文件。

管理好輸出設備,對于重要電子文檔的打印,要進行嚴格的登記和日志管理。

管理好內網客戶端,在單位局城網上建立起嚴密的監控點。

2.實施強審計管理。所謂強審計,就是利用日志對網絡上的行為、蹤跡進行監控,并能事后取證的技術。但是,與傳統的計算機日志相比,強審計的日志是不能隨便刪除、修改的。如果要修改或刪除,必須系統管理員、審計員及單位領導同時進入系統才能刪除,從而有效保護內網。

強審計技術一般包括五個方面的內容:一是網絡審計,防止非法內連和外連;二是數據庫審計,對數據庫的讀取行為進行跟蹤;三是應用系統審計,例如公文流轉經過幾個環節,必須有清晰的記錄;四是機審計,包括對終端系統安裝了哪些不安全軟件的審計,并設置終端系統的權限等;五是介質審計,包括光介質、磁介質和紙介質的審計,防止機密信息通過移動U盤、移動硬盤、非法打印或照相等多個環節從信息系統中泄密。

3.檔案信息的數據備份和容災。理想的數據保護解決方案應既能解決業務對高性能與可用性的需求,又能解決備份與恢復管理問題。目前,數據備份與容災能力已成為存儲安全保障的重要標志。容災備份就是指通過特定手段和機制,在各種災難損害發生后,仍能最大限度地提供正常應用服務的信息系統。它可分為數據備份和應用備份。數據備份需要保證用戶數據的完整性、可靠性和一致性。對于提供實時服務的信息系統,用戶的服務請求在災難中可能會中斷,應用備份必須提供不間斷的應用服務,讓客戶的服務請求能夠繼續運行。

(三)保障數字檔案安全的技術措施

數字檔案是技術的產物,因此,運用先進網絡技術和信息安全技術是確保數字檔案安全的重要保障。

1.計算機和網絡防火墻技術。防火墻是網絡之間執行訪問控制策略的系統,是硬件和軟件的組合體,它保護內部網絡免受非法用戶的侵入、過濾不良信息、防止信息資源的未授權訪問。防火墻的實現技術主要有:包過濾技術、服務技術、狀態監測防火墻技術等。

2.檔案信息加密技術。密碼技術是網絡安全技術的核心,是提高網絡系統數據的保密性、防止機密數據被外部破解所采用的主要技術手段。采用加密技術可以確保數字檔案內容的非公開性。加密技術通過信息的變換或編碼將機密敏感信息變換為難以讀懂的亂碼型信息,以達到保護數據安全的目的。數據加密技術可分為兩類:對稱型加密和公鑰密碼算法。

3.檔案信息防寫技術。防寫技術,即將數字檔案設置為“只讀”狀態,在這種狀態下,用戶只能從計算機上讀取信息,而不能對其進行任何修改。在計算機外存儲器中,只讀光盤只能讀出信息而不能追加或刪除信息;一次寫入光盤可供使用者一次寫入多次讀出,可以追加記錄但不能擦除原來的信息。這種不可逆式記錄介質可以有效地防止用戶更改數字檔案的內容,保持數字檔案的真實性和可靠性。

四、結語

隨著檔案信息化進程的深入,大量數字檔案的安全問題已經擺在檔案管理者面前,如何做好信息化檔案的安全工作值得我們不斷探討和研究。

參考文獻:

[1]劉景紅,朱俊東.醫院檔案信息化建設中的信息安全管理.檔案,2009,(4).

篇6

關乎眾多百姓生命及健康問題的保健保險企業，怎么才能安全運營？

正因為他們服務的人群面廣泛，政府才會出臺五花八門又極其嚴格的法規，以規范他們的管理、財務、服務行為。要想生存，這些企業必須在規定時間內遵從層出不窮的政府規定，而IT則是幫助他們快速實現法規遵從并保有核心競爭力的關鍵。

保健保險行業因為其特殊性而備受政府關注―受眾廣泛，關乎國計民生，每個國家都不敢放任自流，任其發展。因此，保健保險企業受到國家最嚴格的法律規定約束。

法規，如果好好遵從，是快速發展的基礎；如果不遵從，只有死路一條。這種行業特性，使得保健保險企業在每次法規頒布之后都誠惶誠恐，亂做一團。

而其實，如果利用好IT這個武器，法規遵從反而可以成為他們甩掉競爭對手的機會。位于美國肯塔基州路易維爾市身價140億美元的保健福利公司Humana從解決千年蟲問題時留下的好傳統，使得他們因遵從法規而快速提高了核心競爭力。

當其它公司抱怨薩班斯?奧克斯利法案（Sarbanes-Oxley, SOX）影響了公司的財務狀況，不斷向股東和監管機構提出執行SOX的困難時，Humana公司的總裁兼CEO邁克爾?邁克阿里斯特（Mike McAllister）則在一次采訪中表示，過去兩年，Humana一直在循序漸進做準備，所以SOX沒有驚動Humana。法規遵從已經成為Humana企業文化的一部分。

面對法律 繞行還是穿行

作為一家以醫療保險為主營業務的企業，Humana公司在全美50個州以及波多黎各擁有930名萬會員，公司始終不渝地遵循著各種國家、地方法規，包括聯邦醫療保險（Medicare）、國家保險規定、國家質保委員會、應用評估鑒定委員會以及國防部醫療保健計劃。近幾年，當聯邦政府推出美國最嚴厲的醫療保險信息交換與保密法案（HIPAA）時，Humana本著重在早抓、貴在堅持的原則提前做好了應對挑戰的準備，相比之下，應對SOX就是小巫見大巫了。

“別誤會我的意思，其實我們做了大量的法規遵從工作?！盚umana的CIO布魯斯?古德曼（Bruce Goodman）說。

當然，Humana在貫徹落實HIPAA時也遇到了一些問題。好在他們有嚴謹的組織結構負責推動，且營造了遵循法規從我做起的企業文化，所以Humana的日子比其它公司要好過得多。Humana樹立的榜樣是任何一家公司都能做到的―只要他們不是又跳又叫，而是靜下來解決問題。實質上，Humana讓人們看到了未來，即法規遵從是公司日常運營的一部分，而且還能成為公司的競爭優勢。

在法規遵從的道路上，Humana并不是一帆風順的，相反，他們也是因為某些人、某些事情的出現而有了轉機。

千年蟲留下了好傳統

1999年，古德曼辭去一家咨詢及系統整合公司的CEO職位，加入Humana。當時，Humana正面臨波及全世界的千年蟲問題。當成功避免了岌岌可危的千年蟲問題之后，Humana由此得出了一套應對未來法規遵從問題的經驗。

那一年，為了掃除千年蟲，Humana組建了一支“老虎隊”，即緊急小組―Humana希望借用這個名字表現事情的重要、緊急性以及這個團隊必勝的精神。Humana的老虎隊與各個部門相關人員齊心協力，在指定期限內執行了關鍵項目。后來這個小組成了公司的一個項目管理辦公室，負責分析需要解決的業務問題，確定解決方案以及方案的實施人員，并監控整個項目流程。2001年初，Humana準備應對HIPAA時，再次啟動了老虎隊。

1996年頒布的HIPPA是為了保障美國民眾在換工作或失業的情況下能有醫療保障。它還為保健行業在病人健康、數據交換以及數據保密等方面制定了標準?？梢哉f，HIPAA代表了整個保健行業進入數字化時代之后的藍圖。HIPAA設定了遵從法規的最終期限―2003年。

為了遵從HIPAA，Humana組建了三個緊急小組，一個負責電子數據交換，一個處理保密制度和實踐，一個解決數據安全問題。公司讓三個小組與來自內部審計、保密、安全、電子數據交換（EDI）、法律以及提供服務等部門的工作人員合作。每個緊急小組有12個人，每周一次例會。

搭班子 眾人拾柴火焰高

古德曼很快意識到必須有人專門負責HIPAA的全面安全事宜。于是他將重擔放在IT安全及法規監查總監喬納森?摩爾（Jonathan Moore）的肩膀上。摩爾除了帶領負責安全事務的緊急小組外，還像球場上關鍵時刻將球傳給古德曼的助攻者，在所有HIPAA事宜中扮演著IT聯絡員的角色。Humana首席保密官及資深IT和法規遵從執行官吉姆?提薩（Jim Theiss）則帶領負責保密事務的小組。

之后，Humana還組建了由六位高級經理組成的第四支隊伍：兩個信息技術副總裁、高級管理小組主管、法規監察主管、服務運營主管以及服務供應主管，并命名為HIPPA籌劃指導委員會。三個小組每個月匯報一次工作進展，委員會將據此在必要時調整工作重點。

公司還進行了必要的機構重組。Humana本來設有一個法規遵從部門、醫療保險部門以及鑒定部門―確保保險公司和各種團體的保健計劃有質保機構的鑒定。公司將這些部門編入了HIPAA法規遵從中心，每個部門根據HIPAA建立了適用Humana的制度。后來SOX強制執行時，Humana又將法規遵從中心的概念沿用到內部審計部門。

摩爾還建立了一個新的IT安全性戰略部門，作為公司法規遵從戰略的一部分。原有IT安全組繼續負責日常工作，而新的IT安全戰略部門負責開發一個遵守法規的數據安全戰略?！白屛覀冾^疼的是原有IT安全模式?！蹦栒f：“這個模式只能防止系統受到外部侵襲?！钡@還不夠，HIPAA要求公司內部也要做到數據安全保障。于是公司成立了一個由近40人組成的新戰略性安全部門，專門處理由于新法規如HIPAA、互動語音系統以及無線應用等產生的安全問題。

用IT探索法規的邊界

像眾多公司一樣，IT在Humana的法規遵從工作中占有核心地位。尤其對于電子數據交換和信息安全，IT的作用顯而易見。而且IT對于Humana的保密工作也是一個強有力的支持。“我很早就著手法規遵從工作中的IT安全問題。”提薩說：“IT安全與保密是唇亡齒寒的關系?！?/p>

提薩并不是唯一一個與IT密切接觸的人。Humana負責法規遵從的總監勞拉?凱萊（Laura Kelley）說：“我每天都會與IT人員溝通好幾次，其他地方的同事也是如此?！遍_會內容可能涉及從電子簽名到關于在線政策文件法規的各種問題。

凱萊和古德曼有著同一個目標，那就是利用技術讓公司運營變得更有效，同時又不會與法規發生沖突。例如，古德曼可能會建議凱萊在法律法規允許的情況下使用電子郵件來處理客戶投訴以提高效率?；诱Z音系統也是公司日程上的頭等大事，但是由于涉及隱私問題，需要深度和全面的研究。

守法自有長遠收獲

正如許多政府法規一樣，HIPAA也有一些內容存在多種理解方式。因此，由于理解不當，Humana在對待病人的信息時表現得過于保守。例如，公司一開始從不公開任何關于病人的信息，導致和經紀商很被動。再例如，Humana設定了一個非常復雜的身份認證程序，給那些通過Web訪問的人制造了不少麻煩。

根據HIPPA的要求制定的安全和保密制度是一件一舉多得的事情―法規遵從加強了Humana的整體業績。因為HIPAA規定了數據交換的標準。隨著越來越多的醫生和醫院都開始采用這種標準，必將為Humana的后臺交易程序鋪平道路。“如果能夠完全遵循HIPAA，那么消費者和服務提供方會更容易溝通。”古德曼說?！叭绻覀冎滥臣裔t院使用某個交易代碼，那么信息交換就容易多了?！?/p>

HIPAA的投資回報會日益明顯，古德曼說?？傆幸惶欤?0多萬名醫生都會擁有一個可以在整個職業生涯中使用的、獨一無二的ID，那個時候就是Humana得到回報的時候。”

正如分析師埃里克?布朗（Eric Brown）所說的，這是順理成章的事情?！耙溃琀IPAA是一項巨大的工程。但是如果你是搞IT的，你會認為這種良好的規范是大勢所趨。”

兩萬名員工養成同一種習慣

近些年頒布的SOX、HIPAA等法規就是要提醒公司高管們謹慎行事，可惜效果并不理想。其實在大多數公司看來，更難的問題是如何在整個公司范圍內營造出一種法規遵從的文化氛圍，讓每一個人都受到熏陶。對于Humana而言，這意味著要讓兩萬名員工認識一致。

營造文化氛圍能夠幫助HIPAA籌劃委員會，同時也表明Humana對法規遵從的重視。這需要公司每個人都認真接受HIPAA和SOX等法規的洗禮。

Humana負責保密工作的緊急小組制定了一個行動計劃，第一項就是所謂的“清理桌面制度”，要求每個人在結束一天工作后不得將病人的信息留在桌面上。執行這一政策等于分擔了公司的安全工作，保證所有桌面都能通過檢查。

此外，公司要求員工將密碼記在腦子里，而不是寫下來。HIPAA法規建議定期更改密碼，而且密碼必須具有一定的復雜度。對于Humana而言，密碼自動生成程序是法規遵從的關鍵，而原有密碼生成系統不能勝任。為此，Humana購買了新系統。

根據HIPAA法規，對員工進行病人數據管理的培訓同樣至關重要。在Humana，每個員工都要接受法規遵循培訓。勞拉手下負責法規遵從的工作人員制訂了培訓課程，員工可以親自參加培訓，也可以選擇遠程培訓。古德曼為凱萊創建了一個儀表板式的跟蹤系統。“我每天都能根據跟蹤系統察看誰還需要培訓?！彼f，一旦法規遵從的最后期限臨近時，她就會直接打電話給那些沒有參加培訓的員工。

Humana還在大廳內安裝了等離子屏幕，隨時播報最新的法規和公司新聞，以不斷提醒員工公司的法規遵從文化。公司還會定期向員工發送關于法規遵從的郵件，幫助他們了解公司最新的安全制度。與此同時，Humana會在公司內部網站上輪流播放公司政策和手續。

負責保密的小組甚至設定了保密月（Privacy Month），用于加強保密實踐。保密月活動包括對所有員工進行安全培訓和教育、在內網上宣傳有關保密的規定、在公司內部張貼保密告示以及在員工中間開展關于保密的競賽等。

舉一反三 下次不再難

摩爾認為，Humana在HIPAA和SOX頒布前后的變化是從規范變成嚴格規范。盡管Humana需要不斷調整以適應層出不窮的新法規，但公司所付出的努力是一勞永逸的，這也成為它的優勢?！白裱@些法規并不是難如登天。它們大同小異，可以舉一反三?！蹦栒f。那就是，必須有管理以及能讓管理奏效的方法，比如公司內外的安全保障、保密和數據訪問管理、安全保障以及個人行為的跟蹤――例如誰接受了培訓，誰更改了密碼等等。

Humana的客戶也參與了他們的行動。“他們更關心我們是如何保護他們的信息的。”摩爾說?！岸宜麄兿Ｍ覀冏袷胤ㄒ幍囊蟆！币虼耍袷胤ㄒ幉粌H是Humana的優勢，而且還保證了公司的有序發展。

金錢必須付出的代價

幾十年來，CIO們一直在努力證明IT不僅僅是公司的成本中心，更不是不可避免的累贅，或只會增加公司的管理費用。他們中的許多人認為，IT是一套寶貴的戰略性工具，不僅能增加收益，而且能大大降低成本，甚至能激發新的商業模式。為此，他們這兩年確實付出了巨大的努力。然而，近年來繁重的法規遵從工作又將CIO推向了財務報表的成本項目一邊，以前的努力付之東流。

當然，要說SOX和HIPAA制造的麻煩――且不說其他法規，政府自然是“罪魁禍首”，IT則被看作第二號敵人。企業數據、信息和技術分析與咨詢公司AMR認為，遵循SOX的成本將于2006年達到60億美元，但是其中IT所占的比例將會增加――將達到近20億美元。

CFO們肯定不會愿意看到這種情況，但他們對于成本增加也不是束手無策。在法規遵從工作中，IT成本之所以增加，一個原因就是企業正在利用技術手段降低法規遵從的總體成本，實現程序自動化，同時精簡在SOX恐慌時期雇傭的大批審計員和顧問。據AMR介紹，IT的投入能夠降低人力需求，最終減少支出。

IT對法規遵從的貢獻是前所未有的，企業需要IT系統來跟蹤并檢驗諸如發電廠排出的廢氣、網絡安全以及財務管理等工作，所有這些使IT成為企業的核心。

當然，法規遵從工作是必不可少的開支，但是CIO們能夠利用技術化繁為簡，降低成本：在法規遵從工作中，明智的公司一定會發揮IT的戰略作用，大大提高效率。CIO們完全有能力向斤斤計較的老板們證明，IT正在幫助公司躲過一場完美風暴。