|
审计过程中查阅医院的会议纪要和购买合同,询问信息部门负责人关于系统开发和变更的各项细节,索取相关的技术资料,对系统开发控制、系统采购控制、系统变更控制等环节进行审计。 3.2对运行与维护控制审计 3.2.1对访问控制的审计 审计过程中通过检查用户口令设置表,筛选出那些符合口令特征的记录,统计出弱口令所占的比例,并随机对部分医护工作站进行登录测试。 3.2.2对网络安全的审计 通过审阅医院业务系统及数据库系统的日志文件,查看操作日志记录是否完整,是否包含敏感内容,以及关键性日志是否都有对应的操作人员和触发时间。 3.2.3对灾难备份恢复的审计 审计中检查业务系统操作手册、实地观察重要部门的具体操作,与信息部门负责人进行交谈等,了解医院业务连续性计划的制订和演练情况,查看以往系统中断后的事故处理记录,实地观察备份机房的位置和环境。 3.3对具体业务控制的审计 3.3.1对业务流程的审计 在医院信息系统中,每个用户都应有相应的操作权限,用户应该只能在自己的权限范围内办理业务。审计人员获取用户访问权和文件权限的资料,检查系统流程图,询问操作系统和数据库系统的参数设置情况。在财务系统中,审计人员将“记账凭证表”中制单人与记账人或审核人同名的记录调取出来;在业务系统中,审计人员将“用户权限表”与“系统模块表”等关联,结合现场查看的方法,从中观察重要岗位人员的权限,关注其是否存在不相容设置、冒用他人权限的情形。 3.3.2对数据控制的审计 审计过程中对医院业务系统的手术费、麻醉费、检验费、治疗费、药品费等数据控制进行检查。系统应将收费项目与主管部门下发的标准目录关联,如有无收费依据,医护人员就无法在规定项目之外另行收费。 3.3.3对接口控制的审计 审计项目对信息系统界面接口、数据接口以及应用接口进行审计,验证数据在与其他信息系统或应用中的转换与传输中的安全性。 4审计结论与建议 审计结论是信息系统审计的重要成果,是审计的主要目的。审计完成后,审计人员按照审计实施方案要求,在对医院信息系统进行测试和审查的基础上,根据审计证据和审计记录,对医院信息系统进行客观、独立的评价,针对审计过程中发现的漏洞和问题提出相应的整改意见和建议,并与相关人员进行沟通,分析影响的程度和范围,提出适当可行的审计建议。 |
|
核心期刊网(www.hexinqk.com)秉承“诚以为基,信以为本”的宗旨,为广大学者老师提供投稿辅导、写作指导、核心期刊推荐等服务。 核心期刊网专业期刊发表机构,为学术研究工作者解决北大核心、CSSCI核心、统计源核心、EI核心等投稿辅导咨询与写作指导的问题。 投稿辅导咨询电话:18915033935 投稿辅导客服QQ: 投稿辅导投稿邮箱:1003158336@qq.com |
| 你好,欢迎来到! 设为首页 |收藏本站 | ||
|
