信息系统安全检查工作报告

盐城市第一人民医院信息科

为认真贯彻落实办公室《关于印发盐城市政府信息系统安全检查工作实施方案的通知》文件精神和要求，我科组织人员对全院范围内的信息系统进行了一次全面的自查工作。现将自查情况报告如下：

一、信息安全状况总体评价：

1.领导重视，机构健全。我院信息安全管理工作由分管信息科副院长领导，信息科负责具体执行。

2.制定方案，加强检查。我院使用信息系统作为办公工具已有十余年的历史，在信息安全管理方面已拥有一阵套完善规范合理的信息安全制度。为了保证我院应用系统信息的安全、完整和保密，保证各应用系统稳定、高效运行，我科制定了医院信息中心信息安全管理制度制度、一院内网防病毒制度、一院内网防入侵制度、一院内网接入安全制度、数据备份及服务器应急方案等一系列信息安全规范和制度。

二、信息安全自查情况：

1.我院信息系统采取内外网物理隔离的方式，从根本上了防止医院业务信息系统遭到外部的攻击和窃取，充分保护涉及医院和患者核心利益信息的安全。

2.严格把关接入内网信息流入口。我院所有内网（除信息科）电脑一律拆除光驱软驱等外接存储设备，通过内网管理系统对电脑usb存储接口，无线网卡，上网卡等可能引入外部不安全数据的信息流入口进行堵截。所有需要进入内网的数据一律在信息科确定其安全性后方能存入目标信息终端。

3.按医院各职能科室物理位置和业务需求，制定相应的实用程序白名单，规范内网电脑使用软件的范围，杜绝不安全软件、病毒的启动和传播。

4.按操作者的职务和专业分配使用医院业务系统的权限。医院的各工作人员只能获取与其工作相关和与其职称职务相关的信息，充分保护了医院机密和患者隐私。

5.医院信息终端采取准入制度，各科室增加需院领导审批后才能实施。我科在所有网络交换机上关闭不使用的端口，不加装网络跳线，在实际需要使用时打开指定位置的交换机端口、安装网络跳线。防止了擅自将自配电脑接入医院局域网的情况发生，保证了信息科对于医院业务内网的有效控制。

6.全院电脑安装国产专业杀毒软件和内网控制系统，并及时更新病毒库和补丁库，做到操作系统、应用软件、病毒防护软件等的补丁及时升级。全院所有接入医院业务内网的电脑全部下达了程序白名单，外设黑名单等审计策略。

7.建立了完善的信息设备安全监控手段和值班制度。我科定期对软件进行测试，对检测和用户反应的问题进行研究，制定相应的措施，编写相应的补丁，并做好版本的备案。对服务器，杀毒软件，安全策略，系统安全日志，进行定期安全检测保证其在安全的前提下，确保数据传输和信息的安全度。

8.我科已经做好各项准备工作，对可能发生的各类信息安全事件做到心中有数，进一步完善了信息安全应急预案，明确应急处置流程，明确了应急技术支撑队伍，把信息安全工作做深做细做在前面。积极组织开展了应急演练，检验了应急预案的可操作性，提高了应急处置能力。

三、检查发现的主要问题及整改情况

（一）存在的只要问题及其原因

1.医院工作人员较多，信息安全意识总体水平较低，且层次不齐。广大医务工作者工作繁忙，我科多次组织信息安全相关培训，但收效甚为。

2.

（二）下一步工作打算

1.加强信息网络安全技术人员培训，使安全技术人员及时更新信息网络安全管理知识，提高相关管理及法律法规等的认识，不断地加强信息网络安全管理和技术防范水平。

2.加大网络安全设备的投入。

3.继续加强对医护人员、行政后勤人员的安全意识教育，提高做好信息安全工作的主动性和自觉性。

4.切实增强信息安全制度的落实工作，定期不定期的对安全制度执行情况进行检查，对于导致不良后果的责任人，要严肃追究责任，从而提高人员安全防护意识。