3.1.2对硬件的审计

　　审计中通过实地观察、调阅硬件的购置文件和维修记录等方法，对医院机房物理环境控制、硬件设备采购管理控制等进行审计，确认服务器、工作站等硬件是否有良好的兼容性。

　　3.1.3对软件的审计

　　审计过程中查阅医院的会议纪要和购买合同，询问信息部门负责人关于系统开发和变更的各项细节，索取相关的技术资料，对系统开发控制、系统采购控制、系统变更控制等环节进行审计。

　　3.2对运行与维护控制审计

　　3.2.1对访问控制的审计

　　审计过程中通过检查用户口令设置表，筛选出那些符合口令特征的记录，统计出弱口令所占的比例，并随机对部分医护工作站进行登录测试。

　　3.2.2对网络安全的审计

　　通过审阅医院业务系统及数据库系统的日志文件，查看操作日志记录是否完整，是否包含敏感内容，以及关键性日志是否都有对应的操作人员和触发时间。

　　3.2.3对灾难备份恢复的审计

　　审计中检查业务系统操作手册、实地观察重要部门的具体操作，与信息部门负责人进行交谈等，了解医院业务连续性计划的制订和演练情况，查看以往系统中断后的事故处理记录，实地观察备份机房的位置和环境。

　　3.3对具体业务控制的审计

　　3.3.1对业务流程的审计

　　在医院信息系统中，每个用户都应有相应的操作权限，用户应该只能在自己的权限范围内办理业务。审计人员获取用户访问权和文件权限的资料，检查系统流程图，询问操作系统和数据库系统的参数设置情况。在财务系统中，审计人员将"记账凭证表"中制单人与记账人或审核人同名的记录调取出来；在业务系统中，审计人员将"用户权限表"与"系统模块表"等关联，结合现场查看的方法，从中观察重要岗位人员的权限，关注其是否存在不相容设置、冒用他人权限的情形。

　　3.3.2对数据控制的审计

　　审计过程中对医院业务系统的手术费、麻醉费、检验费、治疗费、药品费等数据控制进行检查。系统应将收费项目与主管部门下发的标准目录关联，如有无收费依据，医护人员就无法在规定项目之外另行收费。

　　3.3.3对接口控制的审计

　　审计项目对信息系统界面接口、数据接口以及应用接口进行审计，验证数据在与其他信息系统或应用中的转换与传输中的安全性。

　　4审计结论与建议

　　审计结论是信息系统审计的重要成果，是审计的主要目的。审计完成后，审计人员按照审计实施方案要求，在对医院信息系统进行测试和审查的基础上，根据审计证据和审计记录，对医院信息系统进行客观、独立的评价，针对审计过程中发现的漏洞和问题提出相应的整改意见和建议，并与相关人员进行沟通，分析影响的程度和范围，提出适当可行的审计建议。

 

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。