1��、日常醫(yī)療網絡安全包括哪些方面�����?
答:(1)遵守相關法律�����、法規(guī)�����、規(guī)章��、制度的要求���,包括《中華人民共和國網絡安全法》�、《中華人民共和國數據安全法》��、《關鍵信息基礎設施安全保護條例》���、《中華人民共和國個人信息保護法》等���。
(2)注意保護患者隱私�����。
(3)不為商業(yè)統(tǒng)方提供便利及不進行商業(yè)統(tǒng)方�����。
(4)保護個人賬號密碼��,不將賬號借給他人和不借用他人賬號���。
(5)不得在醫(yī)院網絡中進行病毒的傳播或者攻擊醫(yī)院網絡���、系統(tǒng)和服務器����。
2���、互聯網醫(yī)院工作是否要遵循信息安全管理制度����?
答:互聯網醫(yī)院也是我們醫(yī)院工作的一部分��,同樣需要遵守���。
3���、患者敏感信息包括哪些?
答:《中華人民共和國個人信息保護法》第二十八條規(guī)定 敏感個人信息是一旦泄露或者非法使用��,容易導致自然人的人格尊嚴受到侵害或者人身���、財產安全受到危害的個人信息�,包括生物識別�、宗教信仰、特定身份����、醫(yī)療健康��、金融賬戶�、行蹤軌跡等信息����,以及不滿十四周歲未成年人的個人信息。
在醫(yī)療行業(yè)中��,以下信息被確定為敏感信息:
(1)在藥品和避孕藥具不良反應報告和監(jiān)測過程中獲取的個人隱私���、患者和報告者信息;
(2)突發(fā)公共衛(wèi)生事件與傳染病疫情監(jiān)測過程中獲取的傳染病病人及其家屬���、密切接觸者的個人隱私和相關疾病�����、流行病學信息等�;
(3)醫(yī)療機構和健康管理服務機構保管的個人電子病歷�、健康檔案等各類診療、健康數據信息����;
(4)人體器官移植醫(yī)療服務中人體器官捐獻者�����、接受者和人體器官移植手術申請人的個人信息����;
(5)人類輔助生殖技術服務中精子���、卵子捐獻者和使用者以及人類輔助生殖技術服務申請人的個人信息�����;
(6)計劃生育服務過程中涉及的個人隱私�;
(7)個人和家族的遺傳信息�����;
(8)生命登記信息����。
4、數據泄露包括哪些方面?
答:數據泄露是最常見的醫(yī)療行業(yè)網絡安全問題��,所有行業(yè)中醫(yī)療行業(yè)的數據泄露概率最高����。最常見的數據泄露類型是基于惡意軟件的黑客攻擊。犯罪黑產團伙將非法獲取的醫(yī)療數據及醫(yī)療記錄拿去售賣�,具體包括患者個人敏感數據,藥品和高值耗材的統(tǒng)方等��。
5����、科室是否可以隨意將各種設備和電腦接入我院網絡?
答:不可以�,為保障我院的網絡安全和數據安全,設備接入內網系統(tǒng)需要聯系信息中心并走OA流程���,同時需要安裝終端安全準入系統(tǒng)及殺毒軟件。設備接入外網可以需要安裝殺毒軟件����。
6、科室和門診上的電腦是否可以讓非我院工作人員隨便使用���?
答:不可以���,非我院工作人員的不規(guī)范操作可能會導致網絡安全隱患或事件���。各科室和門診要做到屬地化管理,禁止非我院工作人員使用我院內外網電腦�,發(fā)現非我院工作人員操作電腦的,應確認其身份或授權����,信息中心派遣的工作人員請及時聯系信息中心值班電話68616746進行確認。
7���、廠家贈送的信息系統(tǒng)是否可以直接作為醫(yī)療系統(tǒng)使用���?
答:不可以。信息系統(tǒng)的信息化建設包括了網絡安全等級保護測評��、互聯互通建設(接口對接����、數據字典統(tǒng)一等)、容災備份機制��、服務器及終端的運維管理等,在每一個信息系統(tǒng)接入前����,都必須與信息中心進行對接,做好以上的工作�����。
8��、信息系統(tǒng)的二次開發(fā)是否需要與信息中心對接����?
答:需要,信息系統(tǒng)的二次開發(fā)涉及代碼修改�����、接口變更�、規(guī)范變更、字典變更等����,會產生網絡安全隱患和漏洞���,必須與信息中心對接修改后��,由信息中心進行漏洞掃描�����,確認不存在網絡安全漏洞后�,才能驗收通過并上線運行。
9�、廠家運維人員需要臨時接入我院網絡時,是否需要報備��?
答:需要���,廠家運維人員的設備��、電腦可能存在危害我院網絡安全和數據安全的軟件���、病毒、木馬等�����,如盲目任其接入我院網絡���,有可能會造成不必要的損失��。應該首先聯系信息中心值班電話68616746進行報備�����,待確認廠家設備或電腦安全后�����,授權定時接入����。
10、廠家對現有設備進行系統(tǒng)重裝時���,是否需要提前聯系信息中心��?
答:需要�����,現有設備重裝系統(tǒng)后�����,需要重新進行準入認證并安裝殺毒軟件�。
11���、科室工作與網絡安全工作有關系么�?
答:有�����,科室負責人為網絡安全工作第一負責人�����,全體人員都需要參與到網絡安全工作中�。同時科室應設立網絡安全聯絡員,聯絡員負責與信息中心網絡安全管理員進行對接���。
12����、在發(fā)生網絡安全事件的時候如何處置���?
答:第一時間應該保證人員的人身安全���,對發(fā)生的網絡安全事件進行證據固定�,可以使用書面記錄�、拍照、錄像�����、第三人的形式����,可以的情況下,中斷網絡連接����。同時聯系信息中心值班電話68616746進行報備處置。
13�����、我院職工WiFi:SZY_Internet的密碼是否需要保密�����?
答:需要�,我院的職工WiFi:SZY_Internet是提供給全院職工進行業(yè)務系統(tǒng)連接使用的���,該WiFi與我院內部系統(tǒng)相連。如果泄露給患者或者第三方人員�,會產生不確定的網絡安全隱患,可能會成為不法分子入侵我院網絡的渠道��?����;颊呤褂梦以禾峁┑拿赓MWiFi:SZY_Freewifi進行連接�����。
14����、個人授權包括哪些�����?如何會泄露��?防范措施有哪些����?
答:(1)個人授權包括證件�����、工牌�、賬號密碼���、短信驗證碼��、簽字�����、人臉特征����、指紋��、虹膜等�����。
(2)泄露方式最常見的是將證件和工牌借與他人,賬號密碼和短信驗證碼口頭或者書面泄露(比如HIS工號和密碼寫在電腦上或紙條上)��,還有就是密碼使用弱口令被猜測出來(弱口令是指默認密碼����、沒有包括字母、數字�、特殊符號的兩種及以上且少于8位的口令)。
(3)防范措施包括不要隨意將證件��、工牌借給他人�����,對賬號密碼保密���,使用強口令且定期更改密碼。
