醫院防統方解決方案 篇一
醫院防統方解決方案
背景情況
什麼是統方
“統方”是醫院對醫生用藥資訊量的統計。所謂為商業目的“統方”,是指為醫藥營銷人員提供醫生或部門一定時期內臨床用藥量資訊,供其發放藥品回扣的行為。在醫院全面資訊化的今天,“統方”常採用入侵醫院資訊系統,對資料庫進行竊取的方式進行。
統方的嚴重危害
違規統方的危害非常大。醫藥企業的營銷人員通過統方掌握醫院藥品使用資訊,並以此為依據向有關人員送“回扣”,促銷自己代理銷售的產品。醫藥“回扣”腐蝕醫務人員及相關管理人員,其後果是嚴重擾亂醫院醫療秩序,敗壞醫德醫風,進一步造成病人“看病難、看病貴”等問題。
防止統方的相關檔案、法規
衛生部《關於進一步深化治理醫藥購銷領域商業賄賂工作的通知》(衛辦發[2010]59號)要求:“各級衛生行政部門和各類醫療機構要結合本地區本單位實際,研究制訂貫徹落實衛生部《關於加強醫院資訊系統藥品、高值耗材統計功能管理的通知》(衛辦醫發[2007]163號)的具體辦法,採取切實有效措施,加強醫院資訊系統藥品、高值耗材統計功能管理,避免為不正當商業目的統計醫師個人和臨床科室有關藥品、高值耗材用量資訊。要對醫院各個部門通過計算機網路查詢醫院資訊的許可權實行分級管理,對醫院資訊系統中有關藥品、高值耗材使用等資訊實行專人負責、加密管理,嚴格統方許可權和審批程式,未經批准不得統方,嚴禁為商業目的統方。各級衛生行政部門要加大對轄區內醫療機構統方行為的監督檢查力度。對未落實統方管理要求的醫療機構,要責令其限期整改,儘快建立健全有關管理制度。對於違反規定,未經批准擅自統方或者為商業目的統方的,不僅要對當事人從嚴處理,而且還要嚴肅追究醫院有關領導和科室負責人的責任。”
2011年福建省衛生廳釋出《關於進一步強化醫院資訊系統安全防護措施的通知》中則強調:“要加強我省各級醫療機構資訊系統安全管理,消除隱患,堵塞漏洞,化解風險,確保我省醫療機構資訊系統安全可靠,醫療秩序穩定有序;”
需求分析
“統方”可能的來源分為三部分,包括:
(一)院外人員非法接入醫院網路後,入侵資料庫,對資料庫中的藥品表等關鍵表進行竊取;
(二)院內人員通過藥房、醫生工作站等終端,利用職權進行違規操作,對統方資料進行竊取;
(三)第三方開發人員由於長期駐點醫院,且其熟悉應用系統架構,可利用其優勢對資料庫系統進行越權操作,盜取統方資料;
上述非法統方行為能夠成功,主要因為醫院資訊系統在多個層面存在諸多“弱點”,給犯罪分子提供了可乘之機,例如:
網路許可權不合理,未對網路中各區域的許可權進行明確定義和對跨區域的訪問進行控制,導致犯罪分子進入網路後能夠訪問網路中的幾乎所有資源,為其進行攻擊、入侵、竊取等黑客行為提供了條件。
網路接入無控制,導致任意人員、終端都可通過網路介面接入網路。 資料庫操作許可權不合理。目前,醫院資訊系統的運維行為、許可權多采用粗放式管理的方式,導致對資料庫等重要系統的運維操作存在帳號共用、許可權過大等問題。
缺少對資料庫操作行為進行審計的技術手段,導致在“統方”行為出現時,無法在第一時間瞭解情況,也無法知道是何人在“非法統方”。
解決方案
可以看到,黑客能夠成功入侵醫院資訊系統進行“統方”,是資訊系統多個層面的問題、漏洞導致的,因此醫院在進行防“統方”建設時也必須從多個層面對醫院網路進行設計、改造。運維管理區核心伺服器區核心資料庫伺服器運維人員……黑盾安全審計資料中心黑盾堡壘機黑盾安全審計系統接入交換機黑盾准入安全控制系統黑盾防火牆黑盾防火牆核心交換機應用開發區黑盾防火牆黑盾防火牆……骨幹網路區……醫保網、政務外網等專網業務終端終端接入區
合法終端方可接入
通過黑盾准入安全控制系統,對終端的合法性、安全性進行核准和檢查,將非法終端阻擋在網路邊緣。
網路資源分級開放
採用黑盾防火牆對網路安全域進行劃分,並通過訪問控制策略細緻的控制各區域的網路訪問許可權,杜絕對資料庫系統的非法連線、攻擊等行為。
重要行為準確記錄
利用黑盾安全審計系統——醫療專版對資料庫的審計功能,實現對“統方”行為的準確判斷和記錄,並對“統方”源進行定位。
運維操作精細管理
黑盾堡壘機通過對資料庫系統運維許可權的接管,能夠對資料庫系統的運維許可權精細化管理、操作行為全面記錄審計,規範對資料庫系統的運維行為。
產品與服務清單
黑盾安全審計系統——醫療專版 黑盾堡壘機 黑盾防火牆
黑盾准入安全控制系統 使用者價值
採用海峽資訊防“統方”安全解決方案,能為您帶來以下價值: 1.保護核心資料庫和統方資料;
2、對非法統方操作進行準確判斷、記錄和來源定位; 3.滿足相關法規審計要求; 4.簡化資料庫系統安全管理;
成功案例
福建省立醫院
福建醫科大學附屬第一醫院 福建省婦幼保健院 ……
防統方制度 篇二
防止違規統方制度
為進一步加強醫院行風建設,維護醫院及廣大醫務工作者的良好形象,促進臨床合理用藥,降低醫藥費用,切實減輕患者負擔,防止醫藥購銷活動中不正之風的發生,特制訂本制度。根據衛生部《關於進一步深化治理醫藥購銷領域商業賄賂工作的通知》(衛辦發
[2010]59號)的有關工作要求,結合我院工作實際,制訂本制度。
一、“統方”是醫院對醫生用藥資訊的統計。所謂為商業目的“統方”,是指醫院中個人或部門為醫藥經銷企業或醫藥營銷人員提供醫生或科室一定時期內臨床用藥量、醫用耗材用量等資訊,供其發放回扣的行為。
二、醫院嚴格按照衛生部要求,對醫院各個部門通過計算機網路查詢醫院資訊的許可權實行分級管理。根據不同科室的職能,設定各科室、各崗位通過計算機網路查詢資訊的許可權。戶名密碼必須專人使用,不能洩露給他人。
三、嚴禁醫院工作人員利用工作之便為醫藥經銷企業或醫藥購銷人員直接提供統方資訊,或牽線搭橋,從醫院其他工作人員取得統方資訊,干擾正常醫療秩序。
四、建立所有對藥品、高值耗材進行相關統計和查詢許可權,建立統計許可權名冊,建立查詢統計審批制度和程式,工作人員只能在授權範圍內查詢本職責範圍的相關資訊,有效地控制藥品、高值耗材資訊的傳播範圍。
五、建立資訊管理制度,對涉及到“統方”的相關模組,由網路資訊科加強監管,並建立查詢日誌,進行登記(包括計算機編號、操作者代號、操作時間等),定期檢查分析,發現異常統方及時向陽光用藥監管領導小組彙報,保障藥品、高值耗材使用的資訊的安全。
六、建立教育監督制度,以防為《本站·》主,對相關工作人員進行紀律教育,簽訂資訊保密承諾書,對有條件統方的部門、崗位進行層層把關,層層監督。
七、建立藥品、高值耗材購銷雙向承諾制和不良行為記錄制度。醫院與醫藥生產、經營單位簽訂《廉潔購銷承諾書》,禁止違規統方行為。對從事違規統方的醫院工作人員按規定嚴肅處理,對要求進行統方的醫藥代表和醫藥生產及經營單位列入“黑名單”,停止採購該單位藥物,兩年內不準其單位藥物進入醫院。
八、本制度自下發日起執行。
相關方管理制度 篇三
相關方管理規定
1目的本程式旨在加強對相關方的管理,促使相關方的環境、職業健康安全狀況符合公司規定的要求。
2範圍
適用於體系範圍內所涉及的對相關方環境、職業健康安全的管理和控制。
3職責
3.1 辦公室負責本程式的編制、修訂和解釋工作;負責監督公司各部門對相關方的安全及環境管理工作。
3.2 各職能部門負責與本部門有業務關係的相關方的職業健康安全和環境的監督管理工作。工作程式
4.1 公司環境和職業健康安全管理體系涉及的可望施加影響的相關方主要有菸葉物資供應商、菸葉商品運輸單位、菸廠、設施裝置供應商、上級領導、外來參觀者、在本區域活動的其他人員等。
4.2 對菸葉物資供應商的管理
生產主管在採購活動中,向供方傳達公司職業健康安全、環境保護方針和管理規定,讓其遵照執行,具體按《採購控制程式》的規定執行。尤其在採購危險化學品時,應向供應商索取必要的安全資料和資料,主要有害有毒原輔材料
和能源材料的運輸、包裝、貯存條件說明等資訊,並監督其實施。
4.3 對菸葉商品運輸單位的管理
4.3.1 對菸葉商品運輸管理主要按菸草專賣法的相關要求進行管理,嚴格執行菸草準運證制度。
4.3.2向運輸單位傳達公司職業健康安全、環境保護方針和管理規定,讓其遵照執行。
4.4 重要環境因素和職業健康安全危險源的控制
4.4.1 辦公室應根據特定的供方在重要環境因素和危險源控制中擔負著較大的控制力度時,應考慮在相關採購資訊(如採購合同)或以書面的形式告知這些特定的供方如何在進入我公司區域內或以公司名義在外履行相關交付產品的活動過程中會涉及到的重要環境因素和危險源。
4.4.2 必要時,應建立適宜的監督機制和對這些特定供方的保證金考核制度,加強對相關方的環境保護意識和職業健康安全風險意識。
4.5 相臨的組織及社群公眾的合理抱怨意見由辦公室、負責收集、整理,確認責任部門進行糾正,驗證其整改效果並及時予以答覆,處理有難度的應向經理反映直至問題圓滿解決並儲存相關紀錄。
4.6 當出現相關部門負責對上級領導和外來參觀者的接待,配置必要的勞動保護用品後方能按照指定參觀路線、參觀區域及活動範圍進行。
4.7辦公室及其他部門分別向上級有關部門及時通報職業健康安全和環境保護方面的相關資訊。收集相關方的合理抱怨,要求答覆的予以答覆。在制定職業安全健康和環境保護目標時,將上述相關方的觀點作為輸入資訊之一。