根据浙江省卫生计生委副主任张平“在全省加强新生儿出生信息安全管理会议的讲话”精神,为了防止泄密事件的发生,更好地保护人民群众的隐私权,为民本卫生、和谐卫生和法治卫生作贡献,针对疾控中心工作特点,现将自查情况小结如下:
一、信息安全管理规章制度建设
(一)、为确保中心信息(网络)系统安全、平稳运行,促进我中心信息化建设进一步的发展,和完善我中心信息系统,经研究决定成立信息化建设领导小组(中心安全生产领导小组兼),年初进行了成员的重新调整,并把信息安全工作纳入到中心整个安全生产工作范畴内。
(二)、20XX年已向县公安局提交《信息系统安全等级保护备案表》,安吉县疾控中心信息系统安全保护等级被确定为第二级,从而进一步加强完善信息安全保护体系。
(三)、中心各科室有相应信息安全管理规章制度,建有《安全管理制度》、《实验室管理制度》、《保密制度》、《文书处理制度》、《信息摄像机电话机管理制度》及《保护客户机密信息和所有权程序》、《文件控制程序》、《计算机管理程序》、《记录管理程序》、《检测工作程序》、《样品管理程序》、《检测报告管理程序》等,并有《保护客户机密信息和所有权程序执行情况检查记录》、《外来人员进入实验室申请表》、《职业健康体检协议书》、《委托检测协议书》等严格的相关记录登记流程。
(四)、信息安全工作小组负责制定中心信息安全策略,明确信息安全目标; 定期召开信息安全会议; 根据国家“三网一库”的原则,加强网络安全管理, 防止内网被非法入侵以及医疗信息外露;建立日志制度,每日记录网络、机房及主要设备的 运行情况; 负责针对不同岗位的工作要求进行人员培训。
二、各科室自查情况及信息安全保密的承诺
(一)、中心办公室
1、安全制度落实情况:①、成立了安全小组。明确了信息安全的主管领导和具体负责管理人员,安全小组为管理机构,组长由分管主任担任。②、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人员负主责,并签订安全保密责任书。③、制定了计算机及网络的保密管理制度。办公系统的信息管理人员负责保密管理、密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。④、凡上网的信息,上网前必须进行审查,进行登记,“谁上网,谁负责”,确保国家机密不上网。
全年未发生利用单位网从事危害国家安全,泄露国家机密的活动。
2、安全防范措施落实情况:①、涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。②、涉密计算机都设有开机密码,由专人保管负责。同时,涉密计算机不和其它计算机之间相互共享。③、网络终端没有违规上国际互联网及其他的信息网的现象,安装无线网络需绑定密码等。④、安装了针对移动存储设备的专业杀毒软件。⑤、对重要服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。
3、应急响应机制建设情况:①、制定了详细应急预案,并随着信息化程度的深入,结合我中心实际,并不断完善。②、坚持计算机定点维修,并其给予应急技术的积极支持。③、严格文件的收发,完善了清点、整理、编号、签收制度,并要求信息管理员每天下班前进行系统全备份。④、对所有业务系统都进行了逻辑备份和物理备份,对于重要数据和业务系统同时进行了异地灾难备份。
4、信息技术产品和服务国产化情况:①、终端计算机的保密系统和防火墙、杀毒软件等皆为国产产品。②、公文处理软件具体使用微软公司的office系统。③、信息系统第三方服务外包均为国内公司。
(二)、实验室
1、实验室信息安全措施:首先,对所有与客户委托检测样品相关的资料,包括检测报告、检测过程中的所有原始记录、客户的有关技术资料、上级部门下达的监督检测任务的有关文件等都应作为保护客户的合法权益并加以控制。各科室接触客户检测信息和所有权的工作人员应遵守该规定。其次,客户的任何资料未经客户同意,不得外借或供无关人员查阅、复印。在检测过程中,检测人员应负责对检测结果的保密,拒绝外来人员参观与其无关送检样品的实验经过,询问实验结果。第三客户有要求进入实验室监视与该客户所委托的检测工作有关的操作时,经质管部门同意后在检测部门专人的陪同下进行,并确保不损害其它客户的机密,对绝对控制区域不能进入时,检测部门应向客户说明。第四,检测资料流转过程中涉及的科室/人不得将检测信息泄露给第三方。电脑联网运行程序中应按控制类别设置密码,同时外人一律不得入内,以防资料泄密。第五,检测报告统一由样品室负责打印,校对审核后送授权签字人批准,并通知客户领取检测报告。第六,当客户要求用传真或其它电传形式传送检测结果或内容时,必须对客户的真实身份进行核实,方可由样品室传送,否则中心有权拒绝传送。
2、中心实验室《质量手册》中有“保证对客户的技术资料和数据保密,切实维护客户的权益”的公正性声明。并专门制定了《保护客户机密信息和所有权程序》,有如何对客户资料、样品进行有效保护的详细规定。在中心与客户签订的《委托检测协议书》中明确承诺:中心遵守国家的法律法规,保质保量完成检测任务,为委托方的所有商业或技术机密保密;“完成日期”后,凭本协议书领取检测报告。
3、中心在20XX年下半年开展的业务培训会上,对相关的规定及要求进行了全员培训,要求全体人员遵守中心各项规章制度,做好为客户信息及所有权保密工作。
20XX年实验室全年无泄密事件发生,无客户投诉记录。
(三)、传防科
我科室主要涉及了传染病患者信息和免疫规划中的儿童建卡信息,我科室主要针对以下五方面的内容进行自查,即患者及儿童信息的保密性、真实性、完整性、未授权拷贝和系统的安全性。现将自查结果汇报如下:
1、传染病网络信息安全
①、网络架构:自2004年实行传染病网络直报以来,目前我县共有本级用户1个,直报用户35个,所有用户实习实名制管理。业务管理员以保障数据直报有效、准确、安全为原则对直报用户进行使用权限的分配,权限范围限于满足用户直报工作需要,又不影响信息安全。用户帐号的使用密码要求在8位以上,并有数字与英文字母组合,每月至少更改一次。使用人员未经上级系统管理员许可,不得转让或泄露网络直报系统操作账户和密码。②、登录方式:本级用户自20XX年起必须使用VPN通道方可登录系统,确保安全。不允许在公共场所如网吧使用网络直报系统。③、用途:所有传染病个案信息仅做统计分析、疫情调查处置用,不得用于商业用途,不得随意泄露侵犯个人隐私。④、安全培训:每年对传染病网络直报用户进行培训,内容为网络安全、使用操作等,要求各直报用户专人管理,开展内部培训,加强职业操守教育,遵纪守法。
2、免疫规划儿童信息
①、我科室针对信息泄漏的问题,专门制定并下发了《关于加强安吉县预防接种儿童信息安全管理的通知》,要求各接种单位务必认清信息安全的重要性,制定相关信息安全管理规章制度和流程,有效防范新生儿卫生信息的泄漏。加强普法教育,对泄漏患者或儿童信息的人员给予行政处分,情节严重的要追究刑事责任。建立规章制度,责任到人。在办理预防接种证的时候,计算机操作人员必须严谨、认真、仔细对待,一旦建卡完成,不得擅自修改和涂抹儿童信息,确保信息的真实性和完整性。接种完毕后必须备份后再上传接种信息。②、儿童预防接种信息管理系统应做好保密措施,设定登录密码,不得泄漏密码,不得将计算机内资料泄漏给无关人员,如发生失、泄密现象应及时向有关部门报告。计算机操作人员不得对外提供儿童信息和资料以及免疫规划信息系统用户名、口令等内容。③、家长需复印儿童接种信息时,需凭身份证或户口本等有效证件才能提取儿童接种信息,无关人员不得复印或抄写儿童信息(包括接种信息)。预防接种卡在接种门诊保存15年,然后统一转至县疾病预防控制中心。④、与金卫信公司签订保密合约,不得将我县上传的儿童信息用于商业交易或对外公布。
3、科室信息安全
①、科室电脑必须安装防病毒工具,并具有漏洞扫描和入侵防护功能,以进行实时监控,定期检测。不得擅自在网络上安装其他设备。②、做到涉密的信息不上网,上网的信息不涉密。坚持“谁上网,谁负责”的原则,加强上网人员的保密教育和管理,提高上网人员的保密观念,增强防范意识,自觉执行有关规定。③、使用电子邮件进行网上信息交流,应当遵守国家有关保密规定,不得利用电子邮件传递、转发或抄送国家秘密信息。严禁浏览、下载、传播、发布违法信息。严禁接收来历不明的电子邮件。④、使用外来数据盘,必须在检测、清除病毒后方可使用。如遇杀毒仍旧无法清除的,应及时与办公室联系,以免病毒侵扰计算机及网络系统,造成严重后果。⑤、涉密计算机系统进行维护检修时,须保证所存储的涉密信息不被泄露,对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。
截至目前未发现我县有传染病数据、儿童信息外泄现象,今后将继续加强信息安全管理工作。
(四)、卫生监测科
1、按照中心《质量手册》、《程序性文件》中有关声明,切实保证对客户的技术资料和数据保密,切实维护客户的权益。
2、在中心与客户签订的《职业健康体检协议书》中明确承诺:中心遵守国家的法律法规,保质保量完成检测任务,为委托方的所有商业或技术机密保密;严格保证15个工作日内发放体检报告书。
3、对于存放客户资料的文档,存放在专人专管电脑上,电脑设置 密码,非指定人员不得接触。
4、科室人员参与中心在20XX年下半年开展的业务培训会上,对相关的规定及要求进行了全员培训,要求全体人员遵守中心各项规章制度,做好为客户信息及所有权保密工作。
20XX年卫生监测科运行良好,客户投诉记录。
(五)艾结科
1、科室主要涉及的信息为病人的个人信息,有艾滋病患者、麻风病患者、结核病患者、血吸虫病患者的信息。
2、针对病人的个人信息主要采取以下安全管理措施:①、所列疾病的患者个人信息都有专门的信息网络报告系统,系统账号和密码都有专人负责。②、患者的纸质病历资料有统一的文件袋整理,放在特定的橱、柜中,并有“注意保密”明示。③、《浙江省艾滋病防治条例》第41条“任何单位和个人应当依法为艾滋病病毒感染者和艾滋病病人保密。未经本人或者其监护人同意,任何单位和个人不得向社会公开其本人及其家属的姓名、住址、工作单位、肖像、病史资料以及其他可能推断出其具体身份的信息。”这也是我们科室在对待艾滋病感染者和病人时的工作原则。
(六)慢病科
1、在死因、慢性病数据管理系统中设置密码,确保只有科室专业人员才能登陆。
2、在公开的数据报告中不涉及死者、病人的具体姓名和地址,保护他们的隐私。
3、定期对电脑杀毒,防止木马等软件盗取电脑账号密码。
相關自查报告: 学校素质教育的自查报告、街道办事处应急管理自查报告、关于卫生院自查报告的文章、班级安全教育自查报告、副校长自查报告、班级安全的自查报告、卫生院消防安全自查报告、八项规定财务自查报告、学校安全教育自查报告、最佳文明单位创建工作自查报告