发布文号: 杭卫发[2011]72号
各区、县(市)卫生局(社发局),局属各单位,市二医院:
为切实加强医院信息系统中药品、高值耗材等统计功能管理,防止违规统计药品、高值耗材用量等信息行为的发生,建立源头防控医药购销领域商业贿赂的长效机制,按照浙江省卫生厅《关于进一步加强医院信息系统药品、高值耗材统计功能管理的通知》(浙卫办〔2011〕1号)要求,我局在《切实加强计算机信息安全管理的若干规定(试行)》(杭卫发〔2008〕130号)的基础上,研究制定了《杭州市卫生局加强医院信息系统药品、高值耗材统计功能管理的规定(试行)》(以下简称《规定》),现印发给你们,请认真贯彻执行。原我局印发的《切实加强计算机信息安全管理的若干规定(试行)》中的内容有与本规定不一致的,以本规定为准。各级卫生行政部门和各类医疗机构也要结合实际,制订具体管理办法。要列出工作计划表,明确时间节点要求,采取切实有效措施,规范医院信息系统药品、高值耗材等统计工作。我局将在今年下半年组织相关部门对各单位执行《规定》情况进行督查。
二o一一年四月十一日
杭州市卫生局加强医院信息系统药品、高值耗材统计功能管理的规定(试行)
为切实加强医院信息系统中药品、高值耗材等统计功能的管理,防止违规统计药品、高值耗材等用量信息行为发生,建立源头防控医药购销领域商业贿赂的长效机制,特制订本规定。
一、健全管理制度
1、完善教育制度。各医疗机构要切实加强对医院内部信息系统使用者、管理者(包括软件公司派驻医院的技术人员)的法律法规教育、思想政治教育和警示教育,结合典型案件,以案说法,警钟长鸣,自觉抵制各种违法违纪行为。
2、执行保密承诺制度。各医疗机构要与信息科、药剂科、设备科等药品、高值耗材用量统计查询相关科室工作人员签订保密协议,作出廉政承诺;必须与医院信息系统建设运维有关的各类服务商签订信息保密协议,必须明确软件开发商在保障信息系统安全方面的权利和义务。加强与上级行政管理部门、医保等部门的联系,落实外来接入系统前置机安全保密措施。
3、落实权限密码管理制度。加强用户权限管理,明确软件、操作系统以及数据库用户管理规定,按照最小授权原则,严格限制权限。服务器管理员和数据库管理员密码分开,专人管理,定期更新。通过应用软件后台维护功能的完善,逐步把掌握核心数据库及其服务器密码的人数分别控制到两人以内。定期对各类用户的权限分配合理性进行评审。
4、实施机房安全管理制度。加强计算机机房的安全管理工作,规范人员出入的批准授权,建立完善出入人员及设备进出、维护工作登记制度。
二、完善安全措施
1、加强终端安全防范。规范终端用户访问数据库的密码管理,定期修改密码,严禁使用明文方式保存在业务终端中。部署终端管理系统,实现对终端接入内网的认证准入管理、可运行应用软件的严格限制、ip地址与物理地址及操作人员密码绑定、usb接口及sd卡等存储卡接口的封闭等功能。及时更新补丁,防止操作系统漏洞,安装杀毒软件,有条件的安装服务器版杀毒软件。
2、强化应用系统认证。应用软件必须实现对用户登录、查询统计敏感数据、修改用户权限等操作行为的审计功能;必须具备后台管理维护功能,既能最大限度减少信息技术人员直接访问数据库的操作,又满足日常工作需要。鼓励对数据库敏感信息字段进行加密处理,逐步实现应用软件的三层架构模式,鼓励采用数字证书、动态口令及指纹等技术强化应用系统认证。
3、配置部署堡垒主机。禁止所有信息科人员终端直接访问网络设备、服务器及数据库,通过堡垒主机等具有集中维护及审计功能的网络安全产品实现对所有信息管理人员日常系统维护操作的监控记录。
4、强化信息查询管理。严格管理应用软件中的敏感信息统计查询功能,卸除所有不必要的敏感信息统计模块,严格限制剩余统计功能的权限分配,或将统计查询功能集中至独立的软件系统中,落实专人负责。对药品、高值耗材用量信息进行统计,必须征得医疗机构有关负责人同意,并有监督人员在场监督,系统必须保留查询痕迹。
5、加强信息安全投入和管理。各医疗机构要加大信息安全工作经费投入,每年信息安全工作经费投入不低于信息化建设经费投入的15%。各单位要加强人才队伍建设,配强配齐信息科管理人员和专业技术人员,合理设置机房管理、系统管理、数据库管理、审计分析等岗位,明确岗位职责,落实岗位责任。有条件的机构配备专职审计分析员。
三、强化审计监督
1、加强数据库审计。部署必要的数据库审计系统,对数据库访问的行为进行实时监控,具备基于异常行为分析知识库的审计分析能力及阻断能力。建立专人负责的核心主机及数据库访问行为审计分析机制。
2、加强审计岗位管理。明确审计分析岗位职责,其承担出入机房的审批,软件、操作系统、数据库任何操作的审批和出入机房事件、系统日志、数据库异常操作等进行日常审计;但不能进入机房,不得掌握核心数据库及其服务器操作系统密码。
四、加强检查评估
1、健全考核奖惩制度。各单位的信息安全管理成效将纳入市卫生局综合目标考核,与考核奖惩挂钩。对违反相关工作制度和规定的,要严肃处理,并按管理权限追究有关人员责任。
2、建立和落实督查制度。各级卫生行政部门要对辖区内医疗机构落实本规定情况开展督查。市卫生信息中心要加强对全系统信息安全的检查和指导。各医疗机构要加大对信息管理部门人员的监督力度,确保相关制度落实到位。
3、实行评估整改报告制度。逐步开展医疗机构信息系统安全等级保护工作。新建及改扩建信息系统在上线运行前应进行全面的安全性评估,各医疗机构须将评估、定级、测评、整改结果上报杭州市卫生信息中心。
