芒市江东乡卫生院信息系统审计

根据《中华人民共和国审计法》第三十二条的规定，以及《云南省审计厅办公室关于印发开展信息系统审计工作的指导意见的通知》要求，芒市审计局派出审计组自2019年9月3日至2020年11月4日对芒市卫生健康局下属的江东乡卫生院信息系统进行了审计。芒市卫生健康局下属的江东乡卫生院对所提供的电子数据及其他证明资料的真实性和完整性负责并对此作出了书面承诺，芒市审计局的责任是依法独立实施审计并出具审计报告，并将在适当的时候公布审计结果公告及审计整改情况。

一、基本情况

（一）信息化建设基本情况

芒市江东乡卫生院属芒市卫生健康局下属的事业单位，属财政一级预算单位。为强化信息安全管理，成立了由卫生院院长刘安乔任组长，副院长何炳茂任副组长，成员分别为韩昇威、左丽莹、尹蓉、唐雪菲的信息安全领导小组。下设办公室于信息统计科，负责信息安全领导小组的日常事务。信息安全领导小组主要工作职责：根据国家和行业有关信息安全的政策、法律和法规，批准医院信息安全总体策略规划、管理规范和技术标准；确定医院信息安全各有关部门工作职责，指导监督信息安全工作。下设两个工作组：信息安全工作组、应急处理工作组。现使用深蓝医院管理信息系统，有机房1个，服务器1台，客户机10台。

（二）信息系统建设基本情况

深蓝医院管理信息系统，服务器上安装数据库Microsoft SQL Server 2008。数据库文件由数据库管理软件进行自动备份，设置为每天定时备份，保留30天的数据备份文件。深蓝医院管理信息系统包含系统管理、库房药品管理、门诊管理、住院管理、财务管理、统计查询等功能模块。

（三）医院业务流程

医院业务流程如下图：

 

二、审计情况

根据江东乡卫生院的实际情况，本次审计主要采用访谈法、查阅资料法、现场查看法、数据测试、业务流程数据跟踪、数据对比分析、数据汇总分析等审计技术及方法，对江东卫生院管理信息系统进行了审计。

1.审计了系统的规划、建设和管理控制情况。

2.审计了业务专网安全管理、制度建设和执行情况，数据备份和管理情况。

3.审计了系统各个功能模块工作状态及效能，检查系统是否存在功能缺陷。

4.提取了江东乡卫生院管理信息系统备份数据，导入SQL Server进行查询分析，对查询结果的合规性、合理性进行审核，审计系统的应用控制情况。

5.提取了处方表、收入表、门诊日志表、就诊记录表、患者信息表、住院日志表等表格的数据，导入SQL Server进行单表查询、多表关联查询，将查询结果与前台数据进行了比对，并依据查询结果分析系统操作是否符合《医院信息系统基本功能规范》以及相关规范性文件的规定，审核各个系统模块的勾稽关系和数据逻辑关系。

三、审计发现的主要问题及处理意见

（一）一般控制审计

1.总体IT控制环境审计/IT规划和计划审计

芒市江东乡卫生院未制订详细的信息化发展规划，且信息系统项目建设、管理资料痕迹档案不完整，缺乏对信息化建设的有效控制和管理，未建立服务外包企业的准入、退出、授权管理以及运维服务监控与绩效评价机制，对服务外包企业依赖性较大，信息系统及数据存在较大的安全风险。

上述情况不符合《医院信息系统基本功能规范》第八条：“……建立医院信息系统，必须根据各级、各类医院的具体要求，充分作好需求分析，制定出系统建设的总体技术方案，有计划、有步骤、分期分批实施，最终实现医院信息系统建设的总体目标”的规定。

处理意见：建议江东乡卫生院根据医院的建设发展规划，制定符合医院发展要求信息系统建设中长远规划，实现医院信息系统建设发展总体目标。

2.总体IT控制环境审计/基础设施控制审计

芒市江东乡卫生院机房基础设施存在较大安全隐患。卫生院现有机房1个，位于医院办公楼和中医馆之间，由两楼之间的空位改造而成。未安装水灾探测器；未设置火灾自动报警系统；未进行适当的防静电、防潮、防尘、防雷设备和措施，只有建筑物整体防雷措施；机房处于常温度、常湿度环境中运行；机房未装设视频监控系统或有人24小时职守，对通道等重要部位进行监视；机房出入口未配置电子门禁系统，鉴别进入的人员身份并登记在案；未安装机房新风系统。

上述情况不符合《信息安全技术 信息系统物理安全技术要求》（GB/T 21052-2007）“6.2.2.2 设置火灾自动报警系统，包括火灾自动探测器。6.2.10.3 机房应安装漏水检测系统，并有报警装置……6.2.13.3 应对出入口通道进行视频监控……6.2.13.4 机房出入口配置电子门禁系统，鉴别进入的人员身份并登记在案”的规定。

处理意见：建议江东乡卫生院按照《中华人民共和国国家标准电子计算机机房设计规范》的相关要求，加强机房物理环境安全控制，完善基础设施建设。

3. 信息安全控制审计/逻辑访问控制审计

（1）系统用户存在弱口令。通过SQL语句查询分析用户表Person，发现有20个用户的登录密码相同，sPerson_Password的记录均为“@@@@@@”。具体用户sPerson_Name分别是：李会聪、许翠萍、向叶保、邢素轻、许冬坤、保早糯、苏敏、韩昇威、段自涛、唐雪菲、药房公众号、杨明雨、韩艳芳、彭连香、李晔、李聪和、杨顺、祁木果、邢世兵、王丽钦。经过核实，20个用户密码相同的原因是未修改初始密码。

上述情况不符合《信息安全等级保护管理办法》（公通字〔2007〕43号）第三十六条“信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护”的规定。

处理意见：建议江东乡卫生院加强信息系统安全控制，加强操作人员安全教育，应强制要求信息系统使用者修改原有弱口令，使口令的设置达到必要的安全程度。

（2）未及时清理过期人员信息。

审计调查发现，许冬坤、保早糯、管晶晶3位临时工已经离岗，未及时清理人员信息。

上述情况不符合《信息系统安全等级保护基本要求》（GB/T 22239-2008）“5.2.3.2 人员离岗（G1）本项要求包括：a)应立即终止由于各种原因离岗员工的所有访问权限；b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备” 的规定。

处理意见：建议江东乡卫生院及时清理过期人员信息。

4.信息安全控制审计/网络安全控制审计

芒市江东乡卫生院不能有效管理和控制信息系统客户端，一旦发生信息安全事故难以追查事故源头，网络安全控制存在风险隐患：未采取IP地址与物理地址（MAC地址）绑定技术；连接深蓝系统的电脑共10台，随机调查发现深蓝信息系统的电脑与互联网相连接，原因是方便与医保系统连接；未对网络与信息系统实行安全等级保护制度。

上述情况不符合《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）“ 5.5.5.4网络安全管理要求 b ) ……包括：不同安全保护等级的信息系统网络之间的连接按访问控制策略实施可审计的安全措施，如使用防火墙、安全路由器等，实现必要的网络隔离……”和《信息安全等级保护管理办法》（公通字〔2007〕43号）“信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。”的规定。

处理意见：建议江东乡卫生院在网络安全控制方面，采取必要的保护措施，提高安全事故的防范能力。启用IP地址与物理地址（MAC地址）绑定技术等技术手段。

5.信息安全控制审计/操作系统安全控制审计

江东乡卫生院连接深蓝系统的共计10台电脑，经实地抽查了4台，发现未使用正版操作系统，允许远程协助连接计算机功能；电脑的“remote registry”功能未设置为“禁用”，存在远程用户能修改本地计算机上注册表的风险。

上述情况不符合《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）“ 5.5.1.3 普通用户要求b）不应在不符合敏感信息保护要求的系统中保存和处理高敏感度的信息；不应使用各种非正版软件和不可信的自由软件……”的规定。

处理意见：建议江东乡卫生院将非正版的操作系统更换为正版操作系统，以维护版权，防范因操作系统漏洞造成的安全隐患；定期检查客户端的设置，是否采取有效的安全控制措施。

6.信息安全控制审计/最终用户控制审计

经实地抽查发现客户端电脑未设置开机密码的情况；“关闭自动播放功能”未设置成“启用”，存在U盘或其他介质所带的病毒，一旦在插入计算机时会造成病毒入侵威胁。

上述情况不符合《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）“5.5.5.7密码算法和密钥管理：应按国家密码主管部门的规定，对信息系统中使用的密码算法和密钥进行管理；应按国家有关法律法规要求，对信息系统中包含密码的软、硬件信息处理模块的进、出口进行管理；应按国家密码主管部门的规定，对密码算法和密钥实施分等级管理”的规定。

处理意见：建议江东乡卫生院加强计算机超级用户的访问权限设置，如设置登录用户名和密码，登录密码使用大小写字母与数字组合，6位数以上；“关闭自动播放功能”设置为启动，防止U盘或其他介质所带的病毒入侵。

7.信息系统运营维护控制审计/系统灾难恢复控制审计

芒市江东乡卫生院在用的深蓝管理信息系统，采用单机存储数据并定期备份数据，但未对其实现双机热备，也没有建设异地容灾系统。核心业务数据存储的安全性难以得到有效保障，进而影响医院日常业务的运转。

上述情况不符合《医院信息系统基本功能规范》第二章第四条“医院信息系统数据技术规范要求……4．数据备份：具备数据备份功能，包括自动定时数据备份，程序操作备份和手工操作备份。为防止不可预见的事故及灾害，数据必须异地备份。 5．数据恢复：具备数据恢复功能，包括程序操作数据恢复和手工操作数据恢复……”的规定。

处理意见：建议江东乡卫生院按照《医院信息系统基本功能规范》的相关要求，使用专用数据存储设备保存核心业务数据，防止不可预见的事故及灾害发生，如采用双机热备、本地数据备份等保障措施。

8.其他一般控制审计

芒市江东乡卫生院管理信息系统确认系统投入使用后，未按照相关规定开展信息系统安全等级测评。

上述情况不符合《信息安全等级保护管理办法》（公通字200743号）“第十条 信息系统运营、使用单位应当确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准”的规定。

处理意见：建议江东乡卫生院按要求开展信息系统安全等级测评。

（二）应用控制审计

1.业务流程控制审计/业务授权与审批控制审计

通过SQL语句查询用户表Person，发现存在用户名称sPerson_Name为“药房公众号”的用户。

上述情况不符合《信息系统安全等级保护基本要求》（GB/T 22239-2008）“7.1.3.2  b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限”的规定。

处理意见：建议江东卫生院清理名称为“药房公众号”的用户，规范用户权限管理。

2.数据控制审计/交易数据输入控制审计

系统启用时间为2012年6月28日，但在收入表中有“2011年住院收入1元”的记录；通过SQL语句查询分析，有冯泽成、赵加付、李同楼、番汝支、赵兴瑶等几位男性患者被诊断为女性疾病。

上述情况不符合《医院信息系统基本功能规范》第二章第一条“医院信息系统为采集、加工、存储、检索、传递病人医疗信息及相关的管理信息而建立的人机系统。数据的管理是医院信息系统成功的关键。数据必须准确、可信、可用、完整、规范及安全可靠”的规定。

处理意见：建议江东乡卫生院核实修正上述信息，并做好维护管理工作。

3.业务流程控制审计/数据处理逻辑审计

系统启用后存在异常中断情况。通过SQL语句查询日志记录表InterfaceLog，系统正式运行时间为2012年6月28日。2012年度系统日志为空有97天，2012年6月28日登记住院病人黄显文，住院号2012000001,从6月30日至10月14日系统日志均为空；2013年有7天，分别为5月31日，6月3日，9月12至16日；2015年1天，10月10日；2017年6天，5月17日至22日。

上述情况不符合《医院信息系统基本功能规范》第一章第十一条“医院信息系统运行基本要求：操作系统、数据库、网络系统的选择要求安全、稳定、可靠，开发单位应提供该方面的保证，并提供技术培训、技术支持与技术服务，系统须保证‘7天24小时’安全运行，并有冗余备份”的规定。

处理意见：建议江东乡卫生院查明数据中断原因，并做好维护管理工作。

4.数据控制审计/对业务参数的审计

通过SQL语句查询HisTables中HIS表定义，并对照表格查看数据记录情况。发现DrugClass药品分类、FARecord固定资产入账记录、FixedAssets固定资产目录、Inform信息发布记录、OA_Documents公文记录、OA_ReadRec办公文档阅读记录、OPRegister门诊挂号、ReliefMain交班记录、ReliefSub交班记录明细等表格均为零记录。

上述情况不符合《医院信息系统基本功能规范》第二章第一条“医院信息系统为采集、加工、存储、检索、传递病人医疗信息及相关的管理信息而建立的人机系统。数据的管理是医院信息系统成功的关键。数据必须准确、可信、可用、完整、规范及安全可靠”的规定。

处理意见：建议江东乡卫生院核实完善上述信息，并做好维护管理工作。

5.数据控制审计/对重要信息的审计

通过SQL语句查询vIpList就诊记录表中姓名字段sSI_Name，姓名为空的有4条记录；姓名长度大于4的有11条记录，如：“康所昌之子”、“胎儿(曹雨含）”等；查询身份证字段sSI_IDCard，身份证长度不等于15或18位的有792条记录，身份证月份日期不合法的有1条记录，身份证校验码错误的有10条记录。

上述情况不符合《医院信息系统基本功能规范》第二章第一条“医院信息系统为采集、加工、存储、检索、传递病人医疗信息及相关的管理信息而建立的人机系统。数据的管理是医院信息系统成功的关键。数据必须准确、可信、可用、完整、规范及安全可靠”的规定。

处理意见：建议江东乡卫生院核实上述信息，修正身份证不规范的问题，并做好日常维护管理工作。

四、审计评价

江东乡卫生院为医院管理信息系统的有序运行做了大量工作。成立了江东乡卫生院信息安全管理组织机构，明确了岗位职责；建立了《芒市江东乡卫生院信息网络安全工作管理制度》，确保信息系统的有序运行。但审计发现，江东乡卫生院信息系统在人员管理、机房基础设施建设、网络建设等方面存在一定的安全隐患，在信息系统数据管理维护方面存在数据不规范和录入错误的问题。

五、审计建议

（1）制定符合医院发展要求的信息系统建设中长远规划，实现医院信息系统建设总体发展目标。

（2）加强机房物理环境安全控制，完善基础设施建设。

（3）对电脑设置存在安全隐患的，应尽快予以排除和解决。

（4）安装财务软件的电脑应与互联网隔离，启用IP地址与物理地址（MAC地址）绑定技术。

（5）将非正版的操作系统更换为正版操作系统，以维护版权，防范因操作系统漏洞造成的安全隐患。

（6）按照《医院信息系统基本功能规范》的相关要求，使用专用数据存储设备保存核心业务数据，防止不可预见的事故及灾害发生，如采用双机热备、本地数据备份等保障措施。

（7）修正完善重要数据信息，并做好日常维护管理工作。

对本次审计发现的问题，芒市卫生健康局督促江东乡卫生院抓好审计发现问题的整改，并在收到审计报告之日起60日内将整改情况书面函告芒市审计局。同时向芒市人民政府报告，并向社会公告。

芒市审计局将依法对本报告及跟踪检查整改情况向社会公告。