二、数据库设置不同的用户和用户组,每个用户组要设置数据库各用户表的访问权限,用户通过帐号和密码登录系统,操作均在数据库中保留有日志,保证系统操作的安全性。数据库中要设置使用角色,限制各使用用户的范围。
三、要对重要保密数据进行加密处理后再存入机内,对存贮磁性介质或其它介质的文件和数据,系统必须提供相关的保护措施。
四、数据库、数据库日志安排定期备份与恢复,数据备份可以用磁带或硬盘以及光盘等介质备份。备份文件应异地存放,保证数据的安全性。
第三十一条 客户机管理
一、安装好操作系统和数据库客户端软件。
二、有条件的单位可以安装硬盘保护卡,防止误操作删除系统文件。
三、建立各部门操作和设备的管理规程,各部门安排专人负责客户端设备的日常管理工作。
第三十二条 应用软件的安装和调试
一、应用软件应安装到服务器。
二、设置和修改应用系统的工作参数,满足不同部门工作业务要求。
三、设置应用系统的用户权限,定期修改操作口令,保证系统的登录和操作的安全。
四、执行应用程序,测试数据的准确性、可靠性和完整性。
五、调整好所有票据格式和专用报表格式。
第三十三条 基础数据的准备
一、按照各项标准建立数据字典,并及时更新。
二、基础数据应满足医院业务流程、管理和统计的要求,由各有关职能部门负责整理和维护。
第三十四条 系统的试运行
一、初次使用应用系统的医院,在试运行阶段,应手工系统与机器系统双轨并行,每天要核对信息的准确性,发现问题及时解决,经过一段时间的运行,计算机信息与手工信息一致则停止手工系统,正式运行应用系统。
二、更换已有应用系统的医院,在试运行前要把原系统的数据准确、完整地导入到新的系统中。
第三十五条 数据的质量控制
一、建立数据质量控制的管理机制,确定质量管理的专门负责人。
二、根据系统的功能要求,对软件系统工作流程和数据结构以及数据流程进行检查核对,特别是对数据的更新和存盘操作流程进行检查。
三、对数据的更新进行数据核对,定期检查数据的完整性,对应用系统中可能出现的各种故障进行重点测试,发现问题及时更正,并对系统的容错方式提出解决方案,确保数据的一致性。
四、系统在经过一定时间的运行之后,如果需要更新程序并且更改了数据存盘流程,则必须经过严格测试,然后跟踪存储的数据,直到保证数据的准确和完整为止。
第三十六条 信息资源的共享与利用
一、数据要高度共享,提供全方位的查询与分析决策功能,并与办公自动化系统衔接,实现网络化管理。
二、根据医院的需求,进行数据更深层次的加工、利用、分析和开发。
第三十七条 系统的维护
一、与开发商签订系统维护协议,建立快速有效的沟通体系,及时准确地定位并解决发生的问题。
二、建立应用程序备份和管理机制,定期监测数据使用空间、数据导出和整理工作。
三、保证系统的运行速度,定期检查数据的索引,不断对程序进行优化和修改,保证运行效率。
四、更新程序要严格测试并做好记录,要求在非工作繁忙的时间进行(节假日或晚上),对原应用程序要妥善保管,一旦新程序出现问题,及时恢复原系统。更新后的程序至少有一个工作日的跟踪时间。
五、建立服务器、网络系统、应用软件、数据库、操作流程以及数据的工作日志和更改档案,并定期由主管领导审核。
六、服务器硬件至少每年保养维护一次,清理硬盘数据(包括文件系统和数据库系统),清理灰尘,检查电源系统、UPS系统以及其他附属设备(如空调系统、接地防雷击系统、绝缘系统等)。
第三十八条 系统的升级与扩展
一、结合医院的实际,不断升级与扩展业务模块,使系统更加完善和实用。
二、根据实用性的原则和医院实际情况,升级与扩展医院网络系统和硬件设施。
三、确保系统在升级和扩展中对历史数据的向下兼容,要建立完整的数据迁移方案,在经过审核和测试通过的前提下进行。
第五章 系统安全
第三十九条 成立医院信息安全工作小组,设立专职信息安全员,专人负责,定期召开信息安全工作会议。
第四十条 制定医院信息安全策略,明确信息安全的目标、涉及的范围、采取的方法和应对措施。
第四十一条 医院重要信息原则上永久保存。对冗余、中间数据保存三年。在更新、维护与升级时必须保证信息的连续性,对原有信息应按新的格式进行转换、迁移。历史信息的销毁必须经医院安全工作小组书面同意。信息存储介质保存在具有防火和防潮的铁皮柜内,并采取防磁措施,异地存放。有条件的单位可采用异地同步存储的方式。
第四十二条 依据国家“三网一库”的建设原则,医院内部网络与外部网络必须严格进行边界控制,采取物理隔离、授权访问等限制措施。数据需要与外部交换时,必须在指定的工作站上利用存储中介媒质(磁盘、光盘等)来完成,并注意存储中介媒质信息的事后销毁。对专用业务网的安全管理应根据各种业务的实际情况,落实有效的管理措施。加强网络安全管理,防止内网被非法入侵以及医疗信息外泄。
第四十三条 医院内部各客户端不宜配备软驱、光驱、可移动存储设备等数据交换接口或设备。
