Download
1 / 17
170 likes | 234 Views
北医三院业务连续性管理的经验与教训. 北京大学第三医院 信息管理中心 2009.3. 2008 年平均住院日 8.78 天 出院总人数 46142 手术例数 30355 门急诊总量 2303921. 1958 年建院 床位数 1130 在职职工数 2260 合同职工数 974. 北医三院信息系统规模. 网络 累计布放信息点 7404 个 机房及配线间 48 个 交换机 157 台 信息系统 服务器 89 台 PC 1770 台 65 个应用系统. 第二门诊部. 上地门诊部. 中央党校院区. 三院本部. 北方医院分部.
E N D
北医三院业务连续性管理的经验与教训 北京大学第三医院 信息管理中心 2009.3
2008年平均住院日8.78天 • 出院总人数46142 • 手术例数30355 • 门急诊总量2303921 • 1958年建院 • 床位数1130 • 在职职工数2260 • 合同职工数974
北医三院信息系统规模 • 网络 • 累计布放信息点7404个 • 机房及配线间48个 • 交换机157台 • 信息系统 • 服务器89台 • PC 1770台 • 65个应用系统
第二门诊部 上地门诊部 中央党校院区 三院本部 北方医院分部
实施业务连续性管理的必要性 • 医院信息系统已经成为医院正常运营不可或缺的技术支撑环境 • 影响医院运行秩序 • 影响医疗质量和安全 • 2008年3月17日,北京市卫生局下发《北京市卫生局关于加强北京市三级医院及奥运定点医院信息系统安全保障工作的通知》(京卫办字[2008]19号)
实施业务连续性管理的必要性 • 业务连续性管理(Business Continuity Management, BCM)是针对企业信息安全与风险管理的综合管理流程,其总体目标是提高企业的风险防范与抗击打能力,以有效地响应非计划的业务破坏并降低不良影响
业务问题确定 业务影响分析 风险评估 风险 优先级划分 分析灾难发生对 企业各个业务造 成的影响 根据业务影响分 析和风险评估的 结果,对企业可 能面临的风险划 分优先级 根据行业特点和 企业自身情况确 定关键业务,分 析业务流程 评估客户系统现 有的风险及灾难 管理能力和水平 风险管理 解决方案 规划和实施 最佳实践和 指导方针确定 根据业务影响分析 和风险评估的结果, 确定实现客户业务 连续和高可用需求 的差距,并结合最 佳行业实践,制定 相应的业务连续和 高可用指导方针 通过后续的变更 管理、日常监控、 系统变更后以及 定期测试和演习 确保系统的高可 用和业务连续 根据企业面临的 风险,采用不同 解决方案降低风 险或提高灾难恢 复能力 业务连续性管理实施要点
运行风险评估及对策 • 基础设施 • 光缆线路(包括院内和院外) • 备用线路 • 机房火灾 • 灭火器 • 远程视频监控 • 配线间共用 • 管理措施 • 巡检
断电 • UPS定期巡检,电池定期更换 • 机房漏水 • 报警器 • 雷击 • 北京市公共卫生信息中心年检 • 空调失效 • 主机房每天例行检查,配线间定期巡检 • 机房被盗 • 防盗门 • 远程视频监控
物理可达 • 配备两套钥匙 • 网络 • 架构合理性 • 三层交换 • VLAN划分 • 设备故障 • 备用设备 • 运行故障 • 专人监控和维护 • 系统
程序BUG • 严控发布环节 • 域登录账号 • 由系统管理员专控 • 数据库管理员账号 • 由系统管理员专控 • 数据库锁表 • 随时发现,即刻解除 • 中间层服务器故障 • 取消负载均衡,实行交错连接 • 空闲设备备用
服务器故障 • 集群 • 冷备 • 修改配置和数据 • 须经批准 • 尽量不在运行期间操作 • 双人执行 • 系统状态异常 • 例行检查 • 运行监控 • 数据破坏 • 备份
网站攻击 • 加固 • 监控 • 病毒攻击 • 反病毒系统 • 桌面管理系统监控
突发事件响应预案 • 建立信息系统突发事件处置领导小组和技术支持小组 • 确立应急响应流程 • 演练
实施效果与教训 • 实施效果 • 系统故障率明显降低 • 保证了奥运会期间的安全运行 • 教训 • IT部门的权力有限,业务科室之间的协调配合尚待改善 • 受环境条件所限,部分措施未能落实到位,留下安全隐患
