信息安全管理的建設(shè)在醫(yī)院信息化建設(shè)中的作用

王麗娜　趙利敏　張東軍

摘要：介紹了衛(wèi)生行業(yè)信息安全管理的相關(guān)政策，分析了醫(yī)院信息系統(tǒng)安全管理需求，結(jié)合醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)和醫(yī)院評(píng)審的有關(guān)政策和標(biāo)準(zhǔn)，指出了醫(yī)院信息安全管理的對(duì)策，為醫(yī)院的信息安全管理提供參考。

關(guān)鍵詞：醫(yī)療衛(wèi)生行業(yè)；信息安全；等級(jí)保護(hù)；管理制度

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）02-0041-03

The Role of Information Security Management in the Construction of Hospital Information

WANG Li-na， ZHAO Li-min， ZHANG Dong-jun.

（Xinxiang Medical College， Xinxiang 453003， China）

Abstract：Introduced the related policy of informational security management in medical industry， analyzed the security management requirements of hospital information system. And then the countermeasures of hospital information security management were pointed out to provide reference for the information security management of the hospital.

Key words：medical industry； information security； hierarchy protection； management system

1 引言

隨著信息化、數(shù)字化、網(wǎng)絡(luò)化的發(fā)展，大數(shù)據(jù)和換聯(lián)網(wǎng)+也進(jìn)入了醫(yī)療衛(wèi)生行業(yè)，加快了醫(yī)院信息化的發(fā)展。隨著醫(yī)院業(yè)務(wù)的發(fā)展，醫(yī)院信息系統(tǒng)的應(yīng)用也更加廣泛，醫(yī)院對(duì)其依賴性會(huì)越來越強(qiáng)，風(fēng)險(xiǎn)也隨之會(huì)提高[1]。但醫(yī)療服務(wù)的特殊性決定了醫(yī)院信息系統(tǒng)需要 24 小時(shí)不間斷運(yùn)行， 這就對(duì)醫(yī)院的信息安全管理提出了更高要求[2]。信息安全管理是指導(dǎo)和控制組織關(guān)于信息安全風(fēng)險(xiǎn)相互協(xié)調(diào)的活動(dòng)，它是了解體系安全狀態(tài)、實(shí)現(xiàn)信息安全目標(biāo)的重要關(guān)口，主要包括信息安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理和技術(shù)措施的控制[3]。如何更好地進(jìn)行信息安全管理成為一個(gè)不可忽視的問題，因此，在醫(yī)院信息化建設(shè)的同時(shí)加強(qiáng)信息安全管理建設(shè)是解決醫(yī)院信息安全問題的必然選擇。

2 我國(guó)衛(wèi)生行業(yè)信息安全管理政策

2010年原衛(wèi)生部制定的《衛(wèi)生信息化建設(shè)指導(dǎo)意見與發(fā)展規(guī)劃（2011-2015）》（“十二五”規(guī)劃）明確提出了我國(guó)醫(yī)療信息化發(fā)展的藍(lán)圖和發(fā)展方向“35212工程”，建設(shè)信息安全體系即是最后一個(gè)“2”中的一項(xiàng)[4]。

按照《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》（衛(wèi)辦綜函〔2011〕1126號(hào)）的要求，三級(jí)甲等醫(yī)院應(yīng)于2015年12月30日前全部完成信息安全等級(jí)保護(hù)建設(shè)整改工作，并通過等級(jí)測(cè)評(píng)。這標(biāo)志著我國(guó)衛(wèi)生行業(yè)開始通過信息安全等級(jí)保護(hù)加強(qiáng)對(duì)醫(yī)院信息安全的管理[5]。

原衛(wèi)生部、國(guó)家中醫(yī)藥管理局在2012年6月15日發(fā)布的《關(guān)于加強(qiáng)衛(wèi)生信息化建設(shè)的指導(dǎo)意見》指出，要加強(qiáng)衛(wèi)生信息安全保障體系建設(shè)，落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度。

國(guó)家衛(wèi)生計(jì)生委規(guī)劃信息司在2014 中國(guó)健康大會(huì)上也指出，醫(yī)療衛(wèi)生信息化是國(guó)家信息化發(fā)展的重點(diǎn)，已納入“十三五”國(guó)家網(wǎng)絡(luò)安全和信息化建設(shè)重點(diǎn)[6]。

3 醫(yī)院信息安全管理需求

據(jù)《南方都市報(bào)》報(bào)道，2008年5月以來，香港連續(xù)爆出泄密事件：先是醫(yī)管局下屬醫(yī)院陸續(xù)發(fā)現(xiàn)患者資料遺失，共涉及1.6萬名患者，此事立刻轟動(dòng)了全港。 2010年5月23日，一張神秘的清單在網(wǎng)上曝光，其中列出了寧波市某醫(yī)院45名醫(yī)生的工號(hào)、名字和所屬科室，后面還注明了他們使用藥品氨曲南的數(shù)量和總價(jià)，雖然腐敗得到懲戒，大快人心，但所暴露的醫(yī)院的潛在威脅值得警惕[4]。2013年7月，寧波兩家醫(yī)院掛號(hào)系統(tǒng)癱瘓事件，同樣也引起了社會(huì)各界對(duì)醫(yī)院信息系統(tǒng)安全的高度關(guān)注[7]。2015年10月份的澳門山頂醫(yī)院最大泄密事件，患者資料隨街散落，也折射出醫(yī)療衛(wèi)生行業(yè)信息安全問題的嚴(yán)峻性[8]。信息化在給醫(yī)院帶來便利的同時(shí)，也帶來了醫(yī)院信息安全的隱患，上述嚴(yán)重的信息安全事件給醫(yī)院的信息安全管理敲響了警鐘。醫(yī)院信息系統(tǒng)承擔(dān)著整個(gè)醫(yī)院的內(nèi)外各項(xiàng)業(yè)務(wù)，其安全狀況直接關(guān)乎患者隱私和健康、社會(huì)秩序及穩(wěn)定等。加強(qiáng)信息安全、消除信息安全隱患，已經(jīng)成為醫(yī)院當(dāng)前必須要面對(duì)的問題。

4 醫(yī)院信息安全管理制度的發(fā)展對(duì)策

在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和醫(yī)院評(píng)審的相關(guān)標(biāo)準(zhǔn)中都提到了信息管理部分，都強(qiáng)調(diào)了信息安全管理，并且都是對(duì)醫(yī)院進(jìn)行此兩方面評(píng)審時(shí)的重要的評(píng)審部分。結(jié)合這兩方面的評(píng)審要求，可以分別從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)行安全管理五個(gè)方面，對(duì)醫(yī)院信息安全進(jìn)行管理。

4.1 建立完善的總體安全管理制度

醫(yī)院應(yīng)根據(jù)自身的實(shí)際情況制訂總信息安全管理制度，總信息安全管理制度是一個(gè)醫(yī)院的根本管理制度，規(guī)定醫(yī)院信息安全管理的根本任務(wù)和根本制度，是醫(yī)院信息安全工作的總體方針、總體目標(biāo)、總體原則，是其他信息安全管理制度制訂的依據(jù)和基本要求?？傂畔踩芾碇贫戎袘?yīng)嚴(yán)格明確制度制定與發(fā)布的流程、方式、范圍等，應(yīng)定期組織相關(guān)部門對(duì)安全管理制度進(jìn)行評(píng)審與修訂，以滿足醫(yī)院信息化不斷發(fā)展的需要。

4.2 應(yīng)建立穩(wěn)固的安全管理機(jī)構(gòu)

醫(yī)院應(yīng)根據(jù)總體安全管理制度的基本要求設(shè)置安全管理機(jī)構(gòu)和安全管理崗位，并制定《崗位設(shè)置與職責(zé)管理制度》，應(yīng)明確“三員”（系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員）崗位與職責(zé)。例如某醫(yī)院信息安全管理機(jī)構(gòu)如下。

圖1 某醫(yī)院信息安全管理機(jī)構(gòu)

醫(yī)院信息安全管理不是某一個(gè)部門的職責(zé)，而是全醫(yī)院相關(guān)部門都要參與，從自身做起，從上述某醫(yī)院的信息安全管理機(jī)構(gòu)圖來看，信息安全領(lǐng)導(dǎo)小組對(duì)醫(yī)院信息安全管理進(jìn)行定期評(píng)審，再由醫(yī)院最高領(lǐng)導(dǎo)的支持，然后直到一線的人員，每個(gè)崗位都有明解的崗位職責(zé)，達(dá)到穩(wěn)固的管理，責(zé)任到人，能滿足醫(yī)院信息化不斷發(fā)展的需要。

4.3 配備專業(yè)的信息化人員，制定完善的員工信息安全管理制度

醫(yī)院人事主管部門，應(yīng)針對(duì)醫(yī)院的實(shí)際情況例如可制定《人員錄用制度》、《人員離崗制度》、《人員考核制度》、《安全教育和培訓(xùn)制度》、《外部人員參觀訪問制度》等人員工信息安全管理制度。在人員錄用方面應(yīng)按照制度流程對(duì)被錄用人員進(jìn)行資格審查，對(duì)于在醫(yī)院從事關(guān)鍵崗位的人員應(yīng)當(dāng)簽署保密協(xié)議等，在離職時(shí)應(yīng)按照制度流程辦理離職手續(xù)，例如應(yīng)回收醫(yī)院發(fā)放的各種身份證件、鑰匙、秘鑰并注銷一切其所擁有的信息系統(tǒng)賬號(hào)等；在人員考核方面應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行信息安全技術(shù)及信息安全認(rèn)知的考核，確保在崗人員都有維護(hù)醫(yī)院信息安全的義務(wù)；在人員的安全教育和培訓(xùn)方面，應(yīng)對(duì)各類人員定期進(jìn)行信息安全教育和培訓(xùn)，提高其安全意識(shí)，明確責(zé)任和獎(jiǎng)懲措施；在外部人員來醫(yī)院參觀訪問方面，應(yīng)用按照制度進(jìn)行授權(quán)和審批，確保醫(yī)院運(yùn)行安全。

4.4 完善醫(yī)院各類信息系統(tǒng)的建設(shè)，制定切實(shí)可行的信息系統(tǒng)安全管理制度

信息化數(shù)字化醫(yī)院建設(shè)只有起點(diǎn)沒有終點(diǎn)[9]，醫(yī)院在各類信息系統(tǒng)建設(shè)方面應(yīng)根據(jù)自身的實(shí)際情況，制定完善可行的信息系統(tǒng)建設(shè)規(guī)章，可保障醫(yī)院相關(guān)部門在信息系統(tǒng)建設(shè)過程有據(jù)可依、有規(guī)可循。例如醫(yī)院可制定如下關(guān)于醫(yī)院信息系統(tǒng)建設(shè)的管理制度：《醫(yī)院信息系統(tǒng)定級(jí)管理制度》、《醫(yī)院信息系統(tǒng)安全方案設(shè)計(jì)管理制度》、《醫(yī)院信息系統(tǒng)產(chǎn)品采購(gòu)和使用制度》、《醫(yī)院信息系統(tǒng)自行軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)外包軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)工程實(shí)施管理制度》、《醫(yī)院信息系統(tǒng)測(cè)試驗(yàn)收管理制度》、《醫(yī)院信息系統(tǒng)交付管理制度》等。

4.5 制定切實(shí)可行的醫(yī)院各類信息系統(tǒng)運(yùn)行管理制度，滿足醫(yī)院各類業(yè)務(wù)的適時(shí)訪問需求

醫(yī)院各類信息系統(tǒng)建設(shè)的目的是為了更好地滿足各類業(yè)務(wù)的需求，保障建設(shè)好的各類信息系統(tǒng)更好的運(yùn)行。醫(yī)院信息系統(tǒng)管理者應(yīng)從管理方面制定切實(shí)可行的管理制度，同時(shí)針對(duì)不同的醫(yī)院使用人員，制定不同的使用操作手冊(cè)，讓醫(yī)院的使用者達(dá)到規(guī)范操作，這樣可以大大減少人為誤操作導(dǎo)致的系統(tǒng)故障，方便運(yùn)維人員對(duì)系統(tǒng)的維護(hù)。例如醫(yī)院可根據(jù)信息系統(tǒng)的實(shí)際情況制定如下運(yùn)行管理制度：《醫(yī)院信息系統(tǒng)環(huán)境管理制度》、《醫(yī)院信息系統(tǒng)資產(chǎn)管理制度》、《醫(yī)院信息化介質(zhì)管理制度》、《設(shè)備管理制度》、《醫(yī)院網(wǎng)絡(luò)安全管理制度》、《醫(yī)院信息系統(tǒng)安全管理制度》、《醫(yī)院惡意代碼防范管理制度》、《醫(yī)院信息系統(tǒng)密碼管理制度》、《醫(yī)院信息系統(tǒng)備份與恢復(fù)管理制度》、《醫(yī)院信息系統(tǒng)安全事件處置制度》、《醫(yī)院信息系統(tǒng)應(yīng)急預(yù)案管理制度》等。

5 總結(jié)

信息化、數(shù)字化醫(yī)院建設(shè)只有起點(diǎn)沒有終點(diǎn)，醫(yī)院信息系統(tǒng)安全伴隨著信息化數(shù)字化醫(yī)院建設(shè)同樣沒有終點(diǎn)[9]。醫(yī)院需要高度重視信息安全管理，制定一套切實(shí)可行的信息安全管理制度和措施，才能更好地保證醫(yī)院信息系統(tǒng)安全、高效、穩(wěn)定的運(yùn)行。

參考文獻(xiàn)：

[1] 蔡文濤.淺談醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全[J].中國(guó)現(xiàn)代醫(yī)生，2009 （32）： 116-117.

[2] 李剛.醫(yī)院信息系統(tǒng)安全管理問題淺析[J].中國(guó)管理信息化，2013 （1）： 39.

[3] 楊棟，劉立輝，任志剛.醫(yī)院信息安全管理與措施[J].中國(guó)醫(yī)療設(shè)備，2011， 26（6）： 70-72.

[4] 相海泉.等級(jí)保護(hù)促進(jìn)信息安全[J].中國(guó)信息界：e醫(yī)療，2013（10）：81-82.

[5] 王麗娜，張東軍.醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)的現(xiàn)狀與對(duì)策[J].醫(yī)療衛(wèi)生裝備，2013， 34（6）：87-88.

[6] 孫楊.衛(wèi)計(jì)委：醫(yī)療衛(wèi)生信息化將成為“十三五”最強(qiáng)音[J].吉林醫(yī)學(xué)信息， 2014 （11）： 94.

[7] 吳寧.由“攜程泄密”事件反觀醫(yī)院信息系統(tǒng)安全[EB/OL]. http：//www.cn-healthcare.com/article/20140324/content-437762-all.html， 2014-03-24.

[8] 南方都市報(bào).澳門山頂醫(yī)院最大泄密事件病人資料隨街散落[EB/OL]. http：//gd.sina.com.cn/zh/social/2015-10-16/075237815.html， 2015-10-16 .

[9] 王晨旭，李剛榮，吳昊.淺談醫(yī)院信息安全管理[J].中國(guó)衛(wèi)生信息管理雜志，2011 （5）： 33-35.