楊靜
摘要:隨著醫(yī)療行業(yè)的信息化發(fā)展水平的逐步發(fā)展,信息系統(tǒng)的安全風險越明顯,本文就天津市醫(yī)院核心業(yè)務信息系統(tǒng)等級保護建設工作的管理體系建設提供一些基本的思路、方法和步驟。
關鍵詞:醫(yī)院 安全等級 管理體系建設
一、引言
根據(jù)上級部門三級甲等要求,為了促進和規(guī)范天津市醫(yī)院信息化建設我院于2014年啟動了圍繞醫(yī)院核心業(yè)務系統(tǒng):門診信息系統(tǒng)、住院信息系統(tǒng)、HIS信息系統(tǒng),深入開展信息安全等級和統(tǒng)計管理系統(tǒng),為后續(xù)各兄弟醫(yī)院等級保護建設工作提供一些基本建設和方法。
二、醫(yī)院信息化建設存在的安全現(xiàn)狀分析
大型綜合性醫(yī)院信息系統(tǒng)的安全保障體系建設是一個極為復雜的工程,醫(yī)院的信息系統(tǒng)應用眾多,結構復雜,覆蓋廣泛,涉及的部門和人員眾多,醫(yī)院信息系統(tǒng)的角色越來越重要。信息系統(tǒng)任何風險都有可能帶來巨大的損失。醫(yī)院信息系統(tǒng)故障,會造成門診大量排隊,業(yè)務科室投訴,臨床業(yè)務停頓,每次引發(fā)的問題都給醫(yī)院管理人員造成巨大壓力,社會輿論和聲音受到嚴重影響,不同程度也給醫(yī)院造成了較大經(jīng)濟損失。醫(yī)院信息系統(tǒng)面臨極大的安全風險。具體有以下幾點:
(一)物理環(huán)境安全風險
醫(yī)院的物理安全具備環(huán)境安全、設備安全及介質安全等物理支撐環(huán)境,保護網(wǎng)絡設備、設施、介質和信息免受大自然,環(huán)境事故以及誤操作導致的破壞和丟失。
(二)網(wǎng)絡安全風險
醫(yī)院的臨床、財務系統(tǒng)和物流已經(jīng)全部納入IT系統(tǒng),業(yè)務網(wǎng)中各業(yè)務應用是其信息系統(tǒng)的核心,同時也需要與外部發(fā)生業(yè)務聯(lián)系。因此業(yè)務應用面臨的任何風險,都會產(chǎn)生嚴重后果。
(三)管理層安全風險
對醫(yī)院信息系統(tǒng)的管理尤為重要,責任不明,管理混亂,安全管理制度不健全等都有可能引起管理安全風險。
三、信息安全管理體系建立的作用
信息安全管理體系必須滿足等級保護標準,同時也要滿足政策的要求,還要貫徹執(zhí)行,不斷進步。一個健全的、正常運行的醫(yī)療信息安全管理體系的主要作用體現(xiàn)在以下方面;
(1)能夠有效增強行政和技術上的安全管理,將解決網(wǎng)絡設計缺陷,威脅網(wǎng)絡安全的問題,制定出信息系統(tǒng)規(guī)范和安全標準。
(2)信息安全管理體系的建設,更加重視和執(zhí)行對安全知識、法規(guī)、標準的宣傳和培訓,考核實現(xiàn)了信息安全的動態(tài)管理過程。
(3)全方位的保護醫(yī)院的核心業(yè)務系統(tǒng),在核心數(shù)據(jù)和信息受到襲擊時,要確保各項工作正常開展,并盡量把損失降到最低。
(4)滿足醫(yī)療行業(yè)和監(jiān)督機構要求,保護國家或區(qū)域醫(yī)療信息安全,維護社會醫(yī)療秩序穩(wěn)定。
四、安全保管體系建設的主要思路
我院從安全管理機構、安全管理制度、系統(tǒng)建設管理、系統(tǒng)運維管理及人員安全管理等五個方面著手開展安全等級保護建設。
(一)安全管理機構的設立
組建安全管理領導團隊,由院領導和各科室骨干出任第一責任人,把具體的辦公地點設定在信息所。
(二)安全管理制度
根據(jù)《公安信息安全等級保護基本要求》,制定《網(wǎng)絡安全息安全管理制度》,等9個信息安全管理制度,定期進行內(nèi)部檢查和管理評定,不斷優(yōu)化和持續(xù)改進。
我院在實施安全等管理體系建設工作中,采取分級、分類、分階段的策略,根據(jù)我院各系統(tǒng)的不同特點,采取不同的安全等級。
(三)系統(tǒng)運維管理
根據(jù)最高等級的保護要求,制定多種信息安全方法:一是機房定時巡查,二是增加視頻監(jiān)控,減少視頻盲區(qū),三是建立智能監(jiān)控系統(tǒng),對全院網(wǎng)絡運維情況監(jiān)控,減低網(wǎng)絡故障。
(四)人員安全管理
我院堅持在風險評估的基礎上,采取適當和管用、足夠的措施來加強信息安全,大大降低系統(tǒng)故障。
五、安全等保的實施過程
實現(xiàn)等級保護,應該采取分級,分類,分階段的策略堅持分級實施保護,加強安全,突出關注重點,要害部位,根據(jù)信息化發(fā)展階段的不平衡,須根據(jù)信息資產(chǎn)的規(guī)模大小,依賴程度的深淺,按階段分步驟逐步實現(xiàn)等級保護的各項要求。
(1)信息安全管理體系第一階段主要是做好建立信息安全管理系統(tǒng)的前期工作及安全管理人力資源配置。
(2)信息安全工作團隊結合等級保護的基本要求,對HIS,LIS,RACS等核心業(yè)務信息系統(tǒng)進行處理,對在傳輸和存儲的過程中,信息的機密性,完整性等重要特性進行調(diào)研和評價,結合等級保護基本要求差距項匯總,分析差距項目涉及的安全事件一旦發(fā)生對醫(yī)院信息系統(tǒng)造成的影響。
(3)制定安全管理策略、安全管理制度和信息安全管理體系等各方位保護措施,計劃和建成符合三級等保系統(tǒng)基本要求的信息安全管理框架。
(4)落實安全管理制度,根據(jù)安全管理體系的具體要求,進行全面的信息安全牢固與整改工作,充分發(fā)揮安全體系的各項功能。
(5)自查和調(diào)整。深入分析問題,找出問題根源,查出不完善的過程記錄文件并進行完善,調(diào)整不合理管理流程,進一步完善信息安全管理體系。
六、結束語
至2014年初,在我院領導的直接關心和指導下,通過各部門通力合作使信息安全通過了等級保護測評的三甲醫(yī)院,為地區(qū)三甲醫(yī)院信息安全等級保護建設工作開啟良好的開端,展現(xiàn)了我院信息化建設的先進成果。
參考文獻:
[1]王升寶.信息安全等級保護體系研究及應用[J].通信技術,2009
[2]朱建平,李明.信息安全等級保護標準體系研究[J].信息技術與標準化,2005(5):21-24
[3]胡勇.網(wǎng)絡信息系統(tǒng)風險評估方法研究網(wǎng)絡安全技術與應用.2007