第一是制度方面。我们成立了信息委员会，委员会包含了从院长到每一个科室主任。信息安全委员会主任委员由院长担任，各副院长任常务委员，各科室主任任委员。并实行例会制度，常务会议每月一 次，成员为主任委员和常务委员，讨论信息方面当前存在的问题和需要新建、改建、升级等的相关事项，信息委员会的必须半年举行一次，成员为所有信息委员会组成人员，讨论信息化建设方面的重大事项，及汇报主要工作。让大家一起参与信息化的建设。我们通过信息管理委员会的秘书室进行分析，分析之后需要进一步讨论的，会提交给常务委员会来决策，这样有机会把信息化建设更好的融入到企业的整体战略。同时也便于制订及不断完善信息化的发展战略。

第二是技术方面。医院网络相对于企业环境更复杂，除了连互联网，还要连卫健局、银行、社保， 结算业务。同时内网部分连着我们的检查检验设备，这些设备通过他们科室自主申报的网络连接了互联网，厂商进行远程定期巡检、系统维护，如同企业的工控设备。检验检查设备的安全是最容易忽略的，我们在其设备接入口配置了应用层防火墙，仅开放需要使用的端口。

数据中心区域，我们根据业务或功能性质对网络进行逻辑隔离，哪些是业务服务器，哪些是管理服务器，邮件服务器，文件服务器、设备管理区域等。各区域间只能根据业务需求开放指定的端口进行数据交换，这样不会因为某一个区域出现问题而影响另一个区域。同时我们会做双机冗余，在一台设备宕机的时候，另外一个设备能够接管它的业务。存储方面，实行“321”原则(即一份数据，两个地方备份，3份副本)，因为我们的所有业务完全依赖信息系统，因此我们的虚拟化服务器存储也实行双冗余架构。日志审计的平台，原始的服务器巡检一百多台要投入两个人每天巡检，很浪费人力物力。基于此我们开发了自助的日志服务器平台和监控平台，能够时刻监控，出现问题的时候手机能够及时进行提醒，并且我们要求对日志服务器平台以及配置文件定期做备份，同时根据风险等级定期做恢复测试。

第三是教育训练。任何岗位的员工入职第一天即对其进行信息安全教育。平时把网络安全知识做成视频投放在显示屏上，坐在就诊大厅以及办公室都能看到信息安全教育视频。

信息安全建设五大注意点

首先，注重数据的备份。信息数据已经成为企业的资产，一定要做好备份，有备份时，一切都可以重新再来。假如数据没有了，特别是研发型的企业，那么数据的丢失对于企业而言可能会面临倒闭的风险。

第二，注重安全的治理。定期或者持续做风险评估和脆弱性分析，做脆弱性分析的时候，我们要分析现在存在什么样的安全风险?这个安全风险会不会对我们的网络运行环境以及业务造成影响?根据这个影响等级进行定性、定量的数据分析之后，做出轻重缓急的处置，当前不处理的风险，定期做好监控和跟踪。

第三，注重应急响应。出现风险的情况下，我们怎样引导业务科室在没有信息系统的情况下进行作业，否则因为系统的宕机造成业务瘫痪造成业务的停顿;建立应急响应处置流程，发生网络安全事件时，能够在最短的时间内，及时恢复业务。

第四，注重风险意识的培训。IT人员内部的疏忽是我们最疏于防范的。现在的一体机、台式机、笔记本，都是带WIFI模块，而我们IT人员又喜欢把办公配置的笔记本电脑下班后带回家使用，回家后老婆、小孩又一起使用，第二天匆匆忙忙抱起笔记本又往办公室跑，一回办公室又接入企业内网环境。信息科电脑，大家又为了方便使用，权限设置到最大，企业网络中任何系统都无往而不至，如果一台电脑失陷，整个网络全部歇菜。因此，必须严于律己。信息科做到权责分工，分等级管理，遵循“给且只给必须的权限”，并相互监督、审查。

第五，注重多方位管理。大家常说信息安全七分靠管理，三分靠技术。因此我们要从高层到中层到用户层再到外围客户进行一个全方位的管理，并且要紧抓科室内部的运维管理。总结起来我们从技术体系、管理体系、运营体系三方面融合，做到安全的可视持续性，业务的协作紧密性，实现对工作的持续保护，对外的合规合法，把自己的风险降到最低。