医院信息安全自查报告及整改措施

医院信息安全自查报告及整改措施本次信息安全自查覆盖医院核心信息系统（HIS、电子病历、LIS、PACS、医保接口、互联网医院平台）及相关基础设施（服务器、终端设备、网络链路、数据存储介质），通过技术检测、日志分析、人员访谈、漏洞扫描（使用Nessus、AWVS工具）、渗透测试（委托第三方机构）等方式，重点排查网络安全、数据安全、终端安全、访问控制及人员管理风险。现将具体问题及整改情况报告如下：一、自查发现问题1.弱口令与身份认证缺陷：门诊收费处5台终端（IP：01205）使用默认口令"123456"或简单重复字符（如"abc123"），占该区域终端总数的31%；放射科3名医生账号未启用双因素认证，存在账号冒用风险。2.数据访问控制不严：药剂科3名护士账号（工号：YZ007、YZ012、YZ015）通过HIS系统越权访问电子病历（EMR）模块，可查看非本科室患者诊疗记录；检验系统（LIS）存在12条冗余权限，已离职人员账号未及时注销。3.网络边界防护薄弱：互联网医院平台Web应用（域：）经渗透测试发现SQL注入漏洞（CVE20241234），可导致患者姓名、手机号等个人信息泄露；医保接口区与业务网间仅部署单台防火墙，未划分DMZ区，存在横向渗透风险。4.数据备份与恢复隐患：PACS系统（存储患者影像数据）本地备份周期为每周一次全量备份+每日增量备份，但备份介质（磁带）仅存放在机房同一楼层，未执行异地容灾；最近一次恢复测试（2024年3月）未覆盖所有影像类型，乳腺钼靶影像恢复失败率达15%。5.终端安全管理缺失：急诊科2台移动查房平板（设备编号：PAD20240401、PAD20240402）未安装企业级杀毒软件，检测到恶意软件"Trojan.Win32.MalDoc"；门诊诊室4台电脑存在使用私人U盘拷贝患者检验报告的行为（涉及5例，拷贝文件含患者姓名、检查结果）。6.人员安全意识不足：随机抽取50名医护人员进行信息安全知识测试，平均得分62分（满分100），其中23人不了解《个人信息保护法》中"最小必要"原则；3名护士在非工作时间（22:0024:00）登录电子病历系统，未留存操作日志。二、整改措施及落实情况1.强化身份认证与口令管理：2024年5月20日前完成全院终端口令策略升级，强制要求8位以上字母+数字+符号组合，定期90天更换，禁用默认及简单口令；对门诊收费处5台终端进行专项检查，重置弱口令并记录，同步启用账号登录失败5次锁定机制。放射科医生账号全部绑定动态令牌（OTP），双因素认证覆盖率达100%。2.规范数据访问权限：2024年5月25日前由信息中心联合医务科、药剂科完成权限梳理，药剂科3名护士账号权限调整为仅药品发放及库存查询，取消电子病历访问权限；建立"申请审批授权审计"全流程权限管理机制，离职人员账号由人事部门同步通知信息中心，24小时内注销（已清理历史冗余账号12个）。3.加固网络边界防护：2024年5月18日前修复互联网医院平台SQL注入漏洞（通过参数化查询、输入过滤实现），并部署Web应用防火墙（WAF）进行流量监测；医保接口区新增1台防火墙，划分DMZ区隔离第三方接口服务器，配置严格的访问控制策略（仅开放80/443端口，限制源IP范围）。4.完善数据备份与恢复机制：2024年5月22日前将PACS系统备份介质迁移至同城灾备中心（距离主机房15公里），调整备份策略为每日增量备份+每周全量备份，每月进行恢复测试（5月测试覆盖所有影像类型，乳腺钼靶影像恢复成功率提升至99%）；建立备份有效性验证记录，由信息中心与放射科共同签字确认。5.加强终端安全管控：2024年5月19日前为急诊科2台移动查房平板安装企业级杀毒软件（深信服EDR），启用终端安全管理系统（ESM），禁止非授权移动存储设备接入（通过USB接口管控策略实现）；对门诊诊室违规使用U盘行为开展溯源，涉及的5例拷贝文件已追回并销毁，相关人员进行全院通报批评及安全培训。6.提升人员安全意识：2024年5月20日组织全院医护人员（共823人）进行信息安全培训，内容包括《个人信息保护法》《数据安全法》解读、医院信息系统操作规范及典型案例分析（如某医院因弱口令导致患者信息泄露事件）；培训后重新测试，平均得分提升至89分；对非工作时间登录账号启用二次认证（短信验证码），并要求操作日志完整记录（包括IP、时间、操作内容）。三、整改效果验证截至2024年5月30日，所有自查问题均已整改完毕：弱口令终端整改率100%，双因素认证覆盖核心业务账号；数据权限梳理完成率100%，冗余账号清理率100%；网络漏洞修复后经第三方检测无高危风险，边界防护策略符合等保2.0要求；PACS备份介质已实现异地存放，恢复测试通过率达标；