醫(yī)院信息安全等級保護建設為信息化發(fā)展保駕護航

楊靜

摘要：隨著醫(yī)療行業(yè)的信息化發(fā)展水平的逐步發(fā)展，信息系統(tǒng)的安全風險越明顯，本文就天津市醫(yī)院核心業(yè)務信息系統(tǒng)等級保護建設工作的管理體系建設提供一些基本的思路、方法和步驟。

關鍵詞：醫(yī)院 安全等級 管理體系建設

一、引言

根據(jù)上級部門三級甲等要求，為了促進和規(guī)范天津市醫(yī)院信息化建設我院于2014年啟動了圍繞醫(yī)院核心業(yè)務系統(tǒng)：門診信息系統(tǒng)、住院信息系統(tǒng)、HIS信息系統(tǒng)，深入開展信息安全等級和統(tǒng)計管理系統(tǒng)，為后續(xù)各兄弟醫(yī)院等級保護建設工作提供一些基本建設和方法。

二、醫(yī)院信息化建設存在的安全現(xiàn)狀分析

大型綜合性醫(yī)院信息系統(tǒng)的安全保障體系建設是一個極為復雜的工程，醫(yī)院的信息系統(tǒng)應用眾多，結構復雜，覆蓋廣泛，涉及的部門和人員眾多，醫(yī)院信息系統(tǒng)的角色越來越重要。信息系統(tǒng)任何風險都有可能帶來巨大的損失。醫(yī)院信息系統(tǒng)故障，會造成門診大量排隊，業(yè)務科室投訴，臨床業(yè)務停頓，每次引發(fā)的問題都給醫(yī)院管理人員造成巨大壓力，社會輿論和聲音受到嚴重影響，不同程度也給醫(yī)院造成了較大經(jīng)濟損失。醫(yī)院信息系統(tǒng)面臨極大的安全風險。具體有以下幾點：

（一）物理環(huán)境安全風險

醫(yī)院的物理安全具備環(huán)境安全、設備安全及介質安全等物理支撐環(huán)境，保護網(wǎng)絡設備、設施、介質和信息免受大自然，環(huán)境事故以及誤操作導致的破壞和丟失。

（二）網(wǎng)絡安全風險

醫(yī)院的臨床、財務系統(tǒng)和物流已經(jīng)全部納入IT系統(tǒng)，業(yè)務網(wǎng)中各業(yè)務應用是其信息系統(tǒng)的核心，同時也需要與外部發(fā)生業(yè)務聯(lián)系。因此業(yè)務應用面臨的任何風險，都會產(chǎn)生嚴重后果。

（三）管理層安全風險

對醫(yī)院信息系統(tǒng)的管理尤為重要，責任不明，管理混亂，安全管理制度不健全等都有可能引起管理安全風險。

三、信息安全管理體系建立的作用

信息安全管理體系必須滿足等級保護標準，同時也要滿足政策的要求，還要貫徹執(zhí)行，不斷進步。一個健全的、正常運行的醫(yī)療信息安全管理體系的主要作用體現(xiàn)在以下方面；

（1）能夠有效增強行政和技術上的安全管理，將解決網(wǎng)絡設計缺陷，威脅網(wǎng)絡安全的問題，制定出信息系統(tǒng)規(guī)范和安全標準。

（2）信息安全管理體系的建設，更加重視和執(zhí)行對安全知識、法規(guī)、標準的宣傳和培訓，考核實現(xiàn)了信息安全的動態(tài)管理過程。

（3）全方位的保護醫(yī)院的核心業(yè)務系統(tǒng)，在核心數(shù)據(jù)和信息受到襲擊時，要確保各項工作正常開展，并盡量把損失降到最低。

（4）滿足醫(yī)療行業(yè)和監(jiān)督機構要求，保護國家或區(qū)域醫(yī)療信息安全，維護社會醫(yī)療秩序穩(wěn)定。

四、安全保管體系建設的主要思路

我院從安全管理機構、安全管理制度、系統(tǒng)建設管理、系統(tǒng)運維管理及人員安全管理等五個方面著手開展安全等級保護建設。

（一）安全管理機構的設立

組建安全管理領導團隊，由院領導和各科室骨干出任第一責任人，把具體的辦公地點設定在信息所。

（二）安全管理制度

根據(jù)《公安信息安全等級保護基本要求》，制定《網(wǎng)絡安全息安全管理制度》，等9個信息安全管理制度，定期進行內(nèi)部檢查和管理評定，不斷優(yōu)化和持續(xù)改進。

我院在實施安全等管理體系建設工作中，采取分級、分類、分階段的策略，根據(jù)我院各系統(tǒng)的不同特點，采取不同的安全等級。

（三）系統(tǒng)運維管理

根據(jù)最高等級的保護要求，制定多種信息安全方法：一是機房定時巡查，二是增加視頻監(jiān)控，減少視頻盲區(qū)，三是建立智能監(jiān)控系統(tǒng)，對全院網(wǎng)絡運維情況監(jiān)控，減低網(wǎng)絡故障。

（四）人員安全管理

我院堅持在風險評估的基礎上，采取適當和管用、足夠的措施來加強信息安全，大大降低系統(tǒng)故障。

五、安全等保的實施過程

實現(xiàn)等級保護，應該采取分級，分類，分階段的策略堅持分級實施保護，加強安全，突出關注重點，要害部位，根據(jù)信息化發(fā)展階段的不平衡，須根據(jù)信息資產(chǎn)的規(guī)模大小，依賴程度的深淺，按階段分步驟逐步實現(xiàn)等級保護的各項要求。

（1）信息安全管理體系第一階段主要是做好建立信息安全管理系統(tǒng)的前期工作及安全管理人力資源配置。

（2）信息安全工作團隊結合等級保護的基本要求，對HIS，LIS，RACS等核心業(yè)務信息系統(tǒng)進行處理，對在傳輸和存儲的過程中，信息的機密性，完整性等重要特性進行調(diào)研和評價，結合等級保護基本要求差距項匯總，分析差距項目涉及的安全事件一旦發(fā)生對醫(yī)院信息系統(tǒng)造成的影響。

（3）制定安全管理策略、安全管理制度和信息安全管理體系等各方位保護措施，計劃和建成符合三級等保系統(tǒng)基本要求的信息安全管理框架。

（4）落實安全管理制度，根據(jù)安全管理體系的具體要求，進行全面的信息安全牢固與整改工作，充分發(fā)揮安全體系的各項功能。

（5）自查和調(diào)整。深入分析問題，找出問題根源，查出不完善的過程記錄文件并進行完善，調(diào)整不合理管理流程，進一步完善信息安全管理體系。

六、結束語

至2014年初，在我院領導的直接關心和指導下，通過各部門通力合作使信息安全通過了等級保護測評的三甲醫(yī)院，為地區(qū)三甲醫(yī)院信息安全等級保護建設工作開啟良好的開端，展現(xiàn)了我院信息化建設的先進成果。

參考文獻：

[1]王升寶.信息安全等級保護體系研究及應用[J].通信技術，2009

[2]朱建平，李明.信息安全等級保護標準體系研究[J].信息技術與標準化，2005（5）：21-24

[3]胡勇.網(wǎng)絡信息系統(tǒng)風險評估方法研究網(wǎng)絡安全技術與應用.2007