附表10:
医院信息报送、统计报表、信访工作督查内容和评价标准
┏━━━━━━━┯━━━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┯━━━━━━━━━━━━━┯━━━━━━━━━━━━━┓
┃项目 │分值 │内容和要求 │检查方式 │评分标准(每一单项在该项分┃
┃ │ │ │ │值范围内扣完为止,不再扣取┃
┃ │ │ │ │其他项目分值) ┃
┠───────┴──────┴─────────────────────────────┴─────────────┴─────────────┨
┃1、及时报送相关信息(40分) ┃
┠───────┬──────┬─────────────────────────────┬─────────────┬─────────────┨
┃突发事件报送 │ │发生突发性事件要按规范及时报送信息。 │ │迟报、漏报、瞒报各扣2分、5┃
┃ │ │ │ │分、10分 ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃政务信息报送 │ │按时、保质、保量报送市卫生局要求上报的政务信息 │ │迟报、漏报各扣2分、5分 ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃督办和信访事项│ │按时上报市卫生局交办的督办工作事项和重要信访事项 │ │查出有迟报、漏报情况各扣2 ┃
┃报送 │ │ │ │分、5分 ┃
┠───────┴──────┴─────────────────────────────┴─────────────┴─────────────┨
┃2、做好卫生统计报表上报工作(20分) ┃
┠───────┬──────┬─────────────────────────────┬─────────────┬─────────────┨
┃统计报表 │ │按时按质报送上海市医疗机构业务动态即业务收入月度快报、卫生│ │迟报、漏报、差错均扣5分 ┃
┃ │ │部卫统1~7表、上海市医疗机构工作质量分析报表 │ │ ┃
┠───────┴──────┴─────────────────────────────┴─────────────┴─────────────┨
┃3、做好信访化解工作(20分) ┃
┠───────┬──────┬─────────────────────────────┬─────────────┬─────────────┨
┃化解医患矛盾 │ │从源头上预防和控制医患矛盾的产生,依法、及时、妥善化解矛 │ │查出应在萌芽状态化解而未化┃
┃ │ │盾。 │ │解的扣2分,造成重复信访的 ┃
┃ │ │ │ │扣5分,造成越级走访的扣10 ┃
┃ │ │ │ │分 ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃信访处理 │ │认真妥善处理群众信访,在规定时限内答复信访人。 │ │查出晚复、未复信访人情况各┃
┃ │ │ │ │扣1分、5分 ┃
┗━━━━━━━┷━━━━━━┷━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┷━━━━━━━━━━━━━┷━━━━━━━━━━━━━┛
附表11:
医院计算机信息网络系统安全管理督查内容和评价标准
(以下表格为100分制,检查得分除以5后,再与附表10的分数相加)
┏━━━━━━━┯━━━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┯━━━━━━━━━━━━━┯━━━━━━━━━━━━━┓
┃项目 │分值 │内容和要求 │检查方式 │评分标准(每一单项在该项分┃
┃ │ │ │ │值范围内扣完为止,不再扣取┃
┃ │ │ │ │其他项目分值) ┃
┠───────┴──────┴─────────────────────────────┴─────────────┴─────────────┨
┃一、技术措施(45分):依据上海市卫生局信息中心2003年8月30日印发的《上海市医院计算机信息网络系统安全策略》制定,以下同。 ┃
┠───────┬──────┬─────────────────────────────┬─────────────┬─────────────┨
┃网络布线安全 │2分 │机房布线需考虑抗干扰、防雷击、安全冗余等要求。 │现场查看 │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃网络设备安全 │2分 │建立核心交换机(即网络拓扑结构的主汇聚点的中心网络设备)的│现场查看 │ ┃
┃ │ │备用方案,确保该交换机出现故障后有相应的应急措施。 │ │ ┃
┃ │ │有条件的医院核心交换机采用双机在线互为热备,对网络的关键设│ │ ┃
┃ │ │备要求有配件或整机备用。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃中心机房安全 │2分 │中心计算机机房应综合考虑供电、场地、环境、防水、防鼠、电磁│现场查看 │ ┃
┃ │ │环境、接地系统、防雷系统等方面的保护措施。 │ │ ┃
┃ │ │具体要求参见卫生局信息中心颁发的《HIS系统安全策略》。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃A类服务器 │5分 │A类服务器必须采用在线双机热备份方案以确保关键服务的连续性 │现场查看 │ ┃
┃ │ │和稳定性。 │ │ ┃
┃ │ │做好A类服务器的防病毒工作。 │ │ ┃
┃ │ │A类服务器的其他安全防护措施,如容错措施等等。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃A类服务器定期 │2分 │每年至少4次以上对A类服务器进行停机维护,保证服务器对稳定运│核查相关文档、记录。 │ ┃
┃停机维护 │ │行。(建议与医保停机维护同时操作) │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃重要设备折旧期│2分 │重要设备应规定折旧期限,逾期更新/更换设备以保证设备正常、 │核查相关文档、记录。 │ ┃
┃限 │ │稳定运行。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃数据存储设备 │4分 │数据存储设备必须实现磁盘存储的冗余备份,确保单个磁盘的损坏│现场查看 │ ┃
┃ │ │不会造成系统停机和数据丢失。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃边界安全 │3分 │系统应该同外部公共的因特网进行有效的隔离,禁止安装Modem, │现场查看 │ ┃
┃ │ │如有需要应设立统一的Internet出口,通过防火墙对内部网络进行│ │ ┃
┃ │ │保护。 │ │ ┃
┃ │ │对通过电话线等进行远程接入的接口必须要有完善的身份认证体 │ │ ┃
┃ │ │系,并且严格控制授权群体,必要时使用第三方提供的专业安全认│ │ ┃
┃ │ │证软件进行登录认证。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃操作系统安全 │3分 │操作系统内置安全性、升级维护、数据存储。 │现场查看 │ ┃
┃ │ │单用户操作系统工作站采用必要的管理和技术措施。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃数据库安全 │4分 │数据库冗余备份、DBMS系统、数据库加密、对系统内用户进行分类│现场查看 │ ┃
┃ │ │并分别授予不同的数据库管理权限、数据分类(数据视图)、审计功│ │ ┃
┃ │ │能。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃数据存储安全 │4分 │使用RAID(磁盘阵列技术)。 │现场查看 │ ┃
┃ │ │做本地/异地备份。 │ │ ┃
┃ │ │建立快速恢复机制 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃病毒防范 │2分 │安装网络防病毒软件。 │现场查看 │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃入侵检测 │2分 │安装基于网络的IDS系统,对网络进行动态实时监控。 │现场查看 │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃应用安全审计 │2分 │审计数据生成、审计查阅、审计事件存储。 │询问并实地验证 │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃访问控制策略、│2分 │ │询问并实地验证 │ ┃
┃访问控制功能。│ │ │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃应用标识与鉴别│2分 │用户标识、用户主体绑定、用户属性定义、安全属性期限。 │询问并实地验证 │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃应用系统访问 │2分 │多重会话并发限制、会话锁定 │询问并实地验证 │ ┃
┠───────┴──────┴─────────────────────────────┴─────────────┴─────────────┨
┃二、管理措施(30分) ┃
┠───────┬──────┬─────────────────────────────┬─────────────┬─────────────┨
┃安全组织管理 │4分 │成立信息安全组织、信息安全组织的机构职能。 │询问、核查相关文档、记录 │ ┃
┃ │ │每年信息安全会议记录至少2次以上。 │等。 │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃信息安全管理制│15分 │网络服务器管理制度、网络设备管理制度、网络工作站管理制度、│询问、核查相关文档、记录。│ ┃
┃度 │ │网络工作人员管理制度、技术文档管理制度、“第三方”访问管理│ │ ┃
┃ │ │制度。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃信息安全操作规│8分 │操作系统操作规范、数据库系统操作规范、应用系统操作规范。 │询问、核查相关文档、记录。│ ┃
┃范 │ │ │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃培训制度 │3分 │1、培训环境、培训对象、培训内容、培训考核、培训内容的更 │询问、核查相关文档、记录、│ ┃
┃ │ │新;2、是否有人参加院外培训。 │证书。 │ ┃
┠───────┴──────┴─────────────────────────────┴─────────────┴─────────────┨
┃三、应急措施(25分) ┃
┠───────┬──────┬─────────────────────────────┬─────────────┬─────────────┨
┃应急总则 │2分 │应急预案实施责任制、应急预案实施范围和时间、应急预案实施通│询问、核查相关文档、记录。│ ┃
┃ │ │报制度、系统故障一般应急措施。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃应急技术保障实│5分 │医保通信线路保障、网络设备保障、服务器保障、应用软件保障、│核查相关文档、记录。 │ ┃
┃施细则 │ │供电保障、病毒防范保障。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃故障处理 │6分 │故障超过15分钟以上应启动应急预案,上报上级管理部门。 │核查相关记录。 │ ┃
┃ │ │排除故障并恢复数据。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃业务应用应急保│8分 │挂号部门应急措施、诊间医生工作站应急措施、收费处应急措施、│核查相关文档及措施是否符合│ ┃
┃障实施细则 │ │门急诊药房 │《HIS系统安全策略》要求。 │ ┃
┃ │ │应急措施、入院处应急措施、病区护士工作站应急措施、病区医生│ │ ┃
┃ │ │工作站应急措施、病区药房应急措施、出院结账处 │ │ ┃
┃ │ │应急措施、检验系统应急措施、手术室、麻醉科应急措施、计算机│ │ ┃
┃ │ │中心应急措施。 │ │ ┃
┠───────┼──────┼─────────────────────────────┼─────────────┼─────────────┨
┃应急预案演练 │4分 │以上部门每年至少1次演练。 │核查相关演练记录。 │ ┃
┗━━━━━━━┷━━━━━━┷━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┷━━━━━━━━━━━━━┷━━━━━━━━━━━━━┛
