信息科工作制度及职责
信息科工作制度
一、在院长领导下负责全院信息化建设、计算机应用、医疗统计等管理工作,积极主动地做好全院信息管理工作。严格执行岗位职责和请示报告制度。
二、对医院信息化建设进行规划和实施,整体把握医院信息技术与管理。负责全院计算机软件的引进、开发、应用;负责计算机网络系统安全、数据备份、存储。指导院内计算机知识的普及,负责对计算机操作者的上岗培训。
三、对所属各部门建立完善的岗位责任制和严格的工作制度,工作有计划、有落实、有检查。
四、定期组织、督促、检查计算机、统计、病案等部门的各项工作,充分发挥信息功能作用,向院长、职能科室、其他业务科室提供信息反馈。
五、遵守医院各项规章制度,尽职尽责做好本职工作,积极完成上级主管部门规定的统计报表、信息资料的编写和上报工作,并对所报信息资料进行认真的审核。
六、按照国家有关规定,严格保密制度,增强法制观念,对与本院相关信息不得随意泄露。
2000年12月1日
信息安全策略体系
一、定义
信息安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总合,是对信息资源使用、管理规则的正式描述,是医院内所有成员都必须遵守的安全规则。
保护网络信息的安全是一场没有硝烟的战争,安全策略则是这场战争的战略方针,它负责调动、协调、指挥各方面的力量来共同维护信息系统的安全。如果没有安全策略进行总体规划,那么即使安全实力雄厚,信息系统也是千疮百孔。
安全策略属于网络信息安全的上层建筑领域,是网络信息安全的灵魂和核心。安全策略为保证信息基础的安全性提供了一个框架,提供了管理网络安全性的方法,规定了各部门要遵守的规范及应负的责任,使得信息网络系统的安全有了统一、可靠的依据。
安全策略的制定过程是一个循序渐进、不断完善的过程。因为,不可能指定一个策略就能够完全符合、适应某个信息系统的环境和需求,只能不断地接近目标。策略的制定应该由专门的“计算机信息安全管理小组”来负责,由网络安全专家和来自医院内不同部门的成员组成。安全策略在制定时必须兼顾它的可理解性、技术上的可实现性、组织上的可执行性。
二、目标
网络信息安全的最终目标是保护网络上信息资源的安全,信息安全具有以下特征:
·保密性:确保只有经过授权的人才能访问信息;
·完整性:保护信息和信息的处理方法准确而完整;
·可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资源。
信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。
安全策略中要包含信息网络系统中要保护的所有资产(包括硬件及软件)以及每件资产的重要性和其要达到的安全程度,如可以对系统中所有的主机根据其
重要性和功能范围进行分类,涉及到核心机密信息或提供关键服务的为A类;含有敏感信息或提供重要服务的为B类;能够访问A类和B类主机且不含敏感信息的为C类,不能够访问A类和B类主机;不含敏感信息且可以从外部访问的为D类;可以从外部访问但不能访问A类、B类、C类和D类主机的为E类。这样的划分,既体现了各类资产的重要程度,又规定了它们的功能范围。
三、范围
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:
(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的。然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,黑客攻入网络内部的事件大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门’’都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
因此,安全策略的范围可包括如下方面:
1.物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作,确保计算机系统有一个良好的电磁兼容工作环境,建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。