《医院运维管理》由会员分享,可在线阅读,更多相关《医院运维管理(19页珍藏版)》请在金锄头文库上搜索。
1、第五部分 运维管理所谓运维管理即信息系统的运营和维护管理。目前,大多数医院在信息化建设方面还存在 “重建轻管”或“重建轻用”的现象,系统要么发挥作用有限,要么不能正常使用。从2003年开始,新星科技就提出了“既要帮助用户建好系统,又要让用户用好系统”的服务目标,为实现这一目标,我们建立了服务管理体系,并建立了用户网络系统突发事件的应急预案。同时,我们也一直在积极协助医院建立关于信息系统的运维管理体系,并提供相关的技术和咨询服务。以下就医院信息系统的运维管理体系的建立,提出我们的建议供医院参考。主要包括:组织管理、制度规范、操作规程、突发事件的应对等。第一章 组织管理体系1.1 医院信息化工作领
2、导小组医院信息化管理的组织体系是医院信息系统基础设施正常运行的前提和保障。医院应结合医院规模和信息化建设的实际情况,建立与之相适应的、运行有效的信息化组织管理体系。医院信息化建设应坚持“一把手”负责的原则,由医院院长负责医院信息化建设工作。医院应成立医院信息化工作领导小组(或委员会)(以下简称“领导小组”),统一领导和协调医院的信息化建设工作。领导小组成员由院长、主管副院长、信息中心主任以及人事、医务、护理、科研、教育、财务、器材(设备)等相关职能部门的正职组成。领导小组的主要职责是:1、 制定医院信息化建设的远景目标和战略规划;2、 批准医院信息化建设的五年规划和年度计划;3、 批准医院信息
3、化建设年度资金预算,年度预算要与五年规划和年度计划相匹配,应列入年度资金预算的项目主要包括:人员费、办公费、设备购置费、服务费、运维费、耗材费、培训费等;4、 协调解决和决定医院信息化建设中的重大问题和事项。1.2 医院信息中心医院要设置专门的信息管理与技术部门,如信息中心、信息处(科)等(以下统称“信息中心”)。信息中心负责将医院信息化建设的长远目标及战略规划分解到信息系统的规划、设计、实施方案中。1、信息中心的主要职责是:(1) 编制并落实医院信息化建设的五年规划;(2) 编制并实施信息化建设的年度计划;(3) 编制并执行医院信息化建设的年度资金预算;(4) 协助相关部门优化流程,提高医疗
4、服务质量、减少医疗差错;(5) 制定并实施医院信息管理的规章制度;(6) 制定并实施各种操作规程;(7) 建设、管理及维护医院信息资源;(8) 采集、整理、归集、分析医院信息资源;(9) 组织相关技术培训,提供技术咨询;(10) 负责医院信息系统突发事件应对的管理和协调工作。2、信息中心的技术岗位设置:(1) 数据库管理岗;(2) 网络管理岗;(3) 应用系统管理岗;(4) 系统管理岗;(5) 信息安全管理岗;(6) 现场技术支持岗;(7) 调研与实施岗;(8) 技术培训岗。此外,建议医院在各科室设置兼职信息员,辅助信息中心对各科室的信息管理及信息技术的支持工作。兼职信息员在信息业务方面接受信
5、处中心的指导。1.3 信息中心技术岗位职责1、数据库管理岗(1) 负责服务器(磁盘阵列)硬件的管理,定期观察、监测设备运行状况。设备出现异常及时处理,并向上级主管汇报情况。(2) 负责服务器系统软件的管理。严格执行参数设置和调整的审批手续,按要求对系统参数进行设置和调整,并按规定登记参数设置和调整记录。(3) 负责数据库的管理。严格执行参数进行设置和调整的审批手续,按要求对系统参数进行设置和调整,并按规定登记参数设置和调整记录。(4) 负责服务器、数据库安全的管理。负责对设备的用户名、开机口令、应用口令和数据库口令的管理和使用。严格控制设备存取及加密,未经允许严禁外来软件对服务器进行安装等,不
6、准将机器设备和数据带出机房。(5) 负责数据的备份工作,按要求对数据进行日备份、月备份和年备份。严格按操作规程进行数据备份工作,确保备份数据的完整和准确性,做好备份数据的审核工作,并做好相应记录。(6) 负责数据的导出、导入工作。要确保导出、导入数据的完整和准确,并做好导出、导入数据的审核和相应记录工作。(7) 负责填写“服务器维护月报表”,要及时、真实、完整地反映系统的运行状况、配置变更和资产变更情况。(8) 负责监督和督促系统维护商按照合同的规定对系统进行维护和保养。(9) 负责按期对系统情况进行分析,并按月提交分析报告。2、网络管理岗(1) 协助主管领导制订网络建设规划;(2) 负责各项
7、网络工程的实施;(3) 负责协调解决各联网单位网络使用中的问题;(4) 负责网络中心资产的管理工作;(5) 监督机房网络设备及软件的正常运行;(6) 拓展网络业务范围,发挥网络的作用;(7) 负责网络文档管理。3、应用系统管理岗(1) 记录用户使用中出现的问题;(2) 负责应用系统出现故障的排查;(3) 用户提出的程序新功能的确认;(4) 根据应用系统使用情况,提出修改意见;(5) 负责新程序的测试;(6) 负责风险分析、问题分析,根据分析结果制定应用系统优化方案;(7) 对数据进行分析,为医院提供分析报告;(8) 利用原始数据,根据需求编写专门程序;(9) 负责软件版本管理;(10) 负责软
8、件文档管理。4、系统管理岗(1) 负责服务器操作系统的基本安装和调试;(2) 负责服务器硬件和系统软件的日常维护;(3) 负责存储设硬件的日常维护;(4) 负责服务器、存储设备等监测项目的确定;(5) 参与新购服务器的存储设备的选型;(6) 负责服务器和存储设备的文档管理。5、信息安全管理岗(1) 负责医院信息系统的日常安全维护;(2) 负责病毒库定期升级;(3) 负责HIS安全检测;(4) 定期分析信息安全风险;(5) 提出安全解决方案;(6) 负责安全文档管理。6、现场技术支持岗(1) 接到维修申请后及时到达现场;(2) 尽量在最短时间内恢复设备和软件正常工作;(3) 负责医院科室设备、软
9、件的现场维修;(4) 指导用户正确使用设备和软件;(5) 负责设备文档管理。第二章 制度和规范医院信息化工作的制度建设是医院信息系统安全运行与有效管理的重要保证。医院必须建立健全信息化建设相关的规章制度和管理规范。医院应对信息资产进行风险评估,并为降低这些风险采取相应措施,包括制定规章制度、设置管理流程并采取相应的技术手段。医院要对信息资产的内容、保密程度及拥有者与责任人作出明确规定。2.1 规章制度分类规章制度应包括如下内容:信息安全管理的规章制度;数据备份的规章制度;机房管理的规章制度;网络管理的规章制度;设备管理的规章制度;用户管理的规章制度;值班制度;应急预案;培训制度。医院应将信息安
10、全的规章制度纳入新职工入院教育及培训的内容当中,医院应与职工签订信息安全保密协议书。2.2 医院网络系统安全管理制度第一条 为了保证医院网络的正常运行,保护医院网络系统的安全的网络用户的使用权益,特制定本安全管理制度。第二条 本管理制度所称的医院网络系统是指在医院信息系统中,由计算机及配套设施构成的,按照医院网络信息系统的应用目标和规定,对数据进行采集、加工、存储、舆、检索等处理的人机系统。第三条 医院网络系统安全管理是通过实施身份认证、访问控制与授权管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁管理、邮件安全网关、远程接入等安全技术和与之相配套的管理制度,保障网络主
11、机及配套设备、设施的安全,网络运行环境的安全,从而达到保障计算机网络系统安全运行和信息安全的目的。第四条 信息中心负责医院计算机网络系统的安全 管理的工作。应建立健全相应的规章制度和岗位职责,以确保对计算机网络系统安全管理的有效性。第五条 计算机网络系统的建设和应用应遵守上级主管部门颁发的行政法规、用户手册和其他相关规定。第六条 计算机网络系统衽安全等级保护和用户使用权限划分。安全等级和用户使用权限的划分和设置由信息中心负责制定和实施。(注释:以下为身份认证)第七条 计算机入网运行必须经信息中心批准备案,分配IP地址后,方可接入网络。第八条 要对重要主机的用户名、开机口令、应用口令和数据库口令
12、实施重点管理,严格控制设备存取及加密,未经允许严禁 外来盘片带入机房对服务器进行安装等,不准将机器设备和数据带出机房。第九条 未办理入网手续,任何单位和个人不得非常私自将计算机接入医院网络,不得以不真实身份使用网络资源,不得窃取他人账号、口令使用网络资源,不得盗用未经合法申请的IP地址入网。未经信息中心允许,任何单位或个人不得擅自接纳网络用户。 (注释:以下为访问控制与授权管理)第十条 应根据网络主机不同的安全级别采取相应的访问控制、数据保护、保密监控管理和系统安全等技术措施。第十一条 信息中心应定期对网上用户的访问及授权情况进行检查,及时发现和限制非常用户和非授权访问。第十二条 按要求对数据
13、进行日常备份、月备份和年备份。严格按操作规程进行数据备份工作,确保备份数据的完整和准确性,做好备份数据的审核工作,并做好相应记录。要确保导出、导入数据的完整和准确,并做好导出、导入数据的审核工作和相应记录。(注释:以下为安全分域及这界防护)第十三条 加强边界安全的防护,应根据安全区域划分情况明确需进行安全防护的边界,并实施有效的访问控制策略和机制。第十四条 应在网络系统或安全域边界的关键点彩严格的安全防护机制,如严格的登录/链接控制,高改组的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。第十五条 要实施必要的边界访问、违规外联的审计和控制。(注释:以下为入侵检测)第十六条 应采取必
14、要的手段(如入侵检测系统、日志分析、网络取证分析等)对系统内的安全事件进行监控,检测攻击行为并能发同系统内非授权使用情况。第十七条 应禁止系统内用户非授权的外部链接(如自动拨号、违规链接和无线上网)。(注释:以下为防病毒系统)第十八条 应部署有效的网络病毒防范软件系统和相应的网络病毒防范管理办法,实施对计算机网络病毒的有效防范。第十九条 要制定文档化的明确的计算机病毒和恶意代码防护策略,以及确保策略有效实施规章制度。第二十条 应在系统内关键的入口点以及各工作站、服务器和移动计算机设备上采取计算机病毒和恶意代码防护措施。(注释:以下备份和恢复)第二十一条 应制定文档化的信息系统备份和恢复的策略,
15、建立健全备份和恢复的管理制度和操作规程。第二十二条 备份包括关键业务数据的备份、关键业务设备(如服务器、交换机等)的备份和电源备份。对重要信息系统(如HIS系统)的关键设施(如服务器)采取热备份。第二十三条 应定期备份和对恢复策略进行测试,以保证其有效性。要有系统恢复的预案和演练。第二十四条 应根据业务的重要程度、信息系统的资产价值等进行相应的需求分析,确定系统恢复的目标,如:关键业务功能、恢复的顺序、恢复的时间范围。(注释:以下为远程接入)第二十五条 为确保医院计算机局域网络运行安全,要在有效部署防火墙、入侵检测和防病毒系统的情况下,实施远程接入。在有条件的情况下,也要实施医院业务网(内网)与远程接入(外网)业务的物理隔离。凡涉密的计算机主机不得与互联网(Internet)链接。第二十六条 任何部门和个人使用医院网络提供的远程接入服务必须向信息管理中心申请。入网用户的用户名和IP地址是用户在医院局域网上的合法标识,也是对用户收费的重要的依据,一经指定不得擅自更改。
