徐州中医院多措并举严禁非法“统方” 切实保障医院信息安全

　全程导医网 徐州卫生信息：谭云龙 报道 信息安全是医院安全工作的重要组成部分，直接影响到医院的医疗工作。徐州市中医院多措并举严禁医务人员非法“统方”，开展岗位廉政教育，筑牢思想防线，并狠抓落实，建立信息安全管理、监督长效机制，切实保障医院信息安全。

　　近年来，医院不断加大监控力度，坚决打击伸向医院的非法统方“黑手”，加强“防统方”工作，完善工作制度，落实相关责任，遏制医药卫生领域商业贿赂行为，保障医院安全运行。医院领导多次带领广大干部职工集中学习文件精神，制定和完善了医院信息安全工作的相关制度，如《关于医院信息系统药品、高值耗材统计功能管理的规定》、《信息安全保密制度》等。医院对各个部门通过计算机网络查询医院信息的权限实行分级管理，对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严禁为商业目的统方(所谓商业目的“统方”，是指医院中个人或部门为药品、器械营销人员提供医生或部门一定时期内临床用药量、耗材量信息，供其发放回扣的行为)。

　　一、不断加强医院信息安全管理

　　市中医院严格执行保密承诺签订制度。医院信息科、器械科、药剂科相关从业人员和系统服务商分别签订了信息保密协议，作出承诺不泄露医院任何业务数据信息，否则将承担相应责任。以上科室被列为医院预防职务犯罪岗位风险点进行排查梳理，查找漏洞，完善防控措施。医院加强与上级行政管理部门及医保、信息等部门的沟通，对医院内部HIS系统及时更新维护，构筑网络防火墙，做好外接系统前置机安保措施。

　　医院严格权限密码和用户权限管理。医院制订《信息系统用户权限保密制度》，保障信息系统安全、可靠、稳定地运行，防范医疗风险。系统管理员的上机口令实行“双密码”制度，严格管理，严禁泄密，须由两人分别录入密码方可进入，核心密码做到每周更换。操作员代码和权限统一由微机室扎口管理，对各操作员使用模块的权限设置进行分级管理。由各使用单位组长、护士长统一上报操作员名单和权限，微机室根据名单严格执行，不扩大操作员权限范围。

　　医院严格计算机机房安全管理。医院制订《机房安全管理制度》，做好出入人员管理，严禁非信息中心工作人员进入机房，特殊情况需经批准，并登记后方可进入。每天由专人依据“机房检查制度”检查机房(包括网络设备、服务器、湿度、温度、空调、UPS等)，并认真、如实、详细地作好记录。对数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。

　　医院严格相关人员日常管理。医院信息系统管理人员定期对系统漏洞、账号安全等情况进行检查、维护，及时终止计算机离岗人员的系统访问权限。系统开发公司等第三方人员进入信息系统，需提交申请，经有关负责人批准后进行，并做好记录工作。

　　二、不断加强医院信息系统管理

　　市中医院严格终端设备安全管理。1.医院科学合理设置各信息设备的功能模块，已卸除所有不必要的敏感信息统计模块，能做到严格限制剩余统计功能权限分配，每项工作均有专人负责，明确具体责任，严格管理敏感信息统计查询功能，严禁普通操作人员使用统计、汇总等“统方”敏感功能。2.我院购入桌面管理控制软件，彻底控制医院内部电脑桌面的行为，就以下方面做到了绝对控制：控制工作站“白名单”，在名单列表以外的软件无法运行，严格控制非法应用程序在全院所有工作终端的运行;控制工作终端“U盘”使用，未经信息科授权的移动存储介质无法在全院任何一台接入网络的电脑终端使用，有效杜绝信息泄露和外来移动存储介质的使用;记录后台日志，任何终端就泄露信息或损坏终端安全的行为将会被记录在案，为事后处理提供有效证据。3.医院进行网络整改，采用高端天融信网络防火墙系统以及医院内部的VLAN网络技术将外部网与内部业务网络隔离，即凡能访问因特网的电脑终端上均无法运行医院内部信息系统，在医院内部业务网的电脑终端上无法访问外部网，从网络环境上保障信息安全。

　　医院严格限定“访问”权限。医院规定从事统计、汇总等“统方”敏感功能的人员必须在授权范围内“访问”信息系统，设置多人多重密码防护，并每月定期或不定期更换密码。建立健全机制，所有到医院信息科进行数据查询的申请工作均需要按照数据提取流程进行，并将数据提取人、申请理由、审批人、执行人员及执行时间等做详细登记。该院网络接入控制，购入上网行为控制软件，现已做到对所有连入医院网络的电脑终端的接入控制，在未经过信息科授权的情况下，任何外来人员无法通过私用电脑终端进入我院网络。

　　医院利用“防统方”软件实施全面监控。医院已安装“防统方”软件，采取对计算机网络共享信息严格授权、加密等有效措施，防止个别工作人员利用统计、报告、分析等方式，获取医生或部门用药的有关信息，透露给医药营销人员。医院通过该软件筛查出危险查询行为，根据报警信息可定位使用者IP地址，及时采取针对性措施，有效打击了非法“统方”行为。

　　三、不断加强医院信息监督检查

　　市中医院严格日常审计。医院设有专人负责的审计分析岗位，承担对日常系统日志、数据库异常操作等信息的分析筛查工作，排查“统方”行为。严格执行医院信息安全及计算机机房管理制度，不进入机房，不掌握核心数据库及服务器操作系统密码。

　　医院严格责任追究。医院对非法“统方”工作从严管理、常抓不懈，投诉举报渠道畅通，自觉接受社会监督。医院组织相关部门工作人员不定期深入到临床科室、门诊诊室、药剂科、计算机房进行查访。对非法“统方”的人员，一经发现和查实，情节轻微的按照相关规定处理。情节严重的停止医生处方权，构成犯罪的移送司法机关追究刑事责任。对科室负责人因教育不力、管理不严，造成医生用药信息泄露，并为医药营销人员“回扣”提供方便的，予以免职处理。

　　徐州市中医院通过进行非法“统方”的预防阻止和审计追溯，保障了医院的信息安全，切实加强了医务人员岗位风险廉政教育，强化了相关从业人员的保密意识，有效地推进了医药购销领域商业贿赂治理工作的深入开展。