醫(yī)院信息系統(tǒng)信息安全等級保護的實施探討

陳思成

岑溪市人民醫(yī)院 廣西岑溪 543200

醫(yī)院信息系統(tǒng)安全體系建設不僅需要從管理員意識、管理員技術(shù)，以及政府管理政策方面進行努力，還需要不斷地從實踐中總結(jié)經(jīng)驗，實現(xiàn)自身的進一步完善。當下醫(yī)療行業(yè)的信息安全保障要求以及醫(yī)療活動中風險處理體系建設都不斷得到落實，大數(shù)據(jù)時代下，技術(shù)不斷滲透到信息化建設中，醫(yī)院應本著與時俱進、與國家各個領(lǐng)域同步建設的原則，在信息系統(tǒng)新建、改建、擴建時同步規(guī)劃和設計安全方案，實現(xiàn)一體化的信息安全保障機制的建設，促進自身安全體系建設及我國醫(yī)療行業(yè)的健康發(fā)展。堅持信息安全等級保護原則，進一步完善信息系統(tǒng)工作和安全保護措施，保障醫(yī)院信息安全是醫(yī)療行業(yè)信息安全保護發(fā)展的主要方向。

1 信息安全等級保護級別劃分

依據(jù)GB17859-1999，“根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，以及信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益，以及公民、法人和其他組織的合法權(quán)益的危害程度等因素”，將信息系統(tǒng)安全等級由低到高分為自主保護、指導保護、監(jiān)督保護、強制保護、?？乇Ｗo五個級別。同時規(guī)定了計算機信息系統(tǒng)安全保護能力的五個級別。第一級：用戶自主保護級；第二級：系統(tǒng)審計保護級；第三級：安全標記保護級；第四級：結(jié)構(gòu)化保護級第五級：訪問驗證保護級。針對每個級別，詳細列出了等級劃分準則，其本質(zhì)是要明確重點、確保重點、標準管理[1]。

2 醫(yī)院信息系統(tǒng)信息安全等級保護的重要性

上文簡單介紹了信息安全等級保護的基本工作，不同領(lǐng)域都有各自的信息保護系統(tǒng)，醫(yī)院也不例外，信息安全等級保護工作對保障醫(yī)院信息安全具有重要意義。首先，醫(yī)院等級保護工作不僅是對醫(yī)院產(chǎn)品進行安全保障，其次，還對醫(yī)院信息及重要工作內(nèi)容進行安全管理。

作為保障醫(yī)院資料信息安全的重要措施和醫(yī)院信息系統(tǒng)正常運行的有效方法，首先，信息安全等級保護可對私人信息進行有效保障。其次，其可以有效監(jiān)督信息傳輸過程中危險因素，發(fā)現(xiàn)信息管理的安全隱患，從而進行更加標準化的建設監(jiān)督，提升信息管理工作的高效性?？梢哉f等級保護是信息安全體系中最基本的管理措施，在信息時代，將信息安全等級保護落實到每個行業(yè)的制度管理中意義非凡，在醫(yī)療行業(yè)其重要性更是不容置疑。

醫(yī)療行業(yè)的信息數(shù)量龐大，信息儲存與傳輸工作量極大，若缺乏合理的信息管理策略，則很容易造成醫(yī)療信息的雜亂無序甚至導致致命性的錯誤，影響醫(yī)療決策的準確性。

因此，在醫(yī)療信息數(shù)據(jù)傳輸過程中，信息安全等級保護借助網(wǎng)絡的便捷性，可有效防止醫(yī)院或者病人的私密信息泄露，減少網(wǎng)絡傳輸?shù)陌踩[患，確保醫(yī)院信息的安全性與隱私性，保障醫(yī)療信息體系的健康運行，促進醫(yī)院信息化建設；同時，信息安全等級保護還可有效減少醫(yī)患糾紛，保障醫(yī)院的經(jīng)濟利益和名譽。所以，醫(yī)院重視信息安全等級保護工作，具有重要的現(xiàn)實意義[2]。

3 醫(yī)院信息系統(tǒng)信息安全等級保護的改善措施

3.1 信息安全規(guī)劃

通過對信息系統(tǒng)安全狀況和風險評估結(jié)果進行詳細分析，明確與國家信息安全等保要求的差距，確定安全需求，完成了《信息安全等保差距分析報告》，然后依據(jù)測評報告的問題處置建議，制定出合理的總體安全規(guī)劃和整改方案，遵循這個方案，列出了可能的信息安全問題和風險應對措施。在信息安全整改過程中，要遵循“非法用戶進不來、無權(quán)用戶看不到、重要內(nèi)容改不了、數(shù)據(jù)操作賴不掉”等原則開展，以保證該工作能在可接受的安全偏差范圍內(nèi)完成。

3.2 增強數(shù)據(jù)采集、檢測、分析技術(shù)

通過對以上監(jiān)管技術(shù)的現(xiàn)狀分析，可以看出目前沒有對信息系統(tǒng)數(shù)據(jù)高級分析技術(shù)進行強制性要求，不能對數(shù)據(jù)進行有效的挖掘分析和監(jiān)管。

建議明確增加部署安全管理平臺（SOC）等技術(shù)，通過日志收集、日志分析系統(tǒng)，分析信息系統(tǒng)相關(guān)信息，針對風險點給出專業(yè)建議，用于支撐安全監(jiān)測的數(shù)據(jù)采集、挖掘與分析技術(shù)；通過安全管理分析平臺，建立與等保專家專業(yè)知識庫對應的分析方法，自動搜集系統(tǒng)漏洞、網(wǎng)站漏洞、數(shù)據(jù)庫漏洞、操作系統(tǒng)漏洞，用于支撐安全監(jiān)管的敏感數(shù)據(jù)保護、安全態(tài)勢評估、安全事件關(guān)聯(lián)分析、安全績效評估等技術(shù)。

3.3 提高信息安全等級保護技術(shù)

我國信息安全等級保護技術(shù)還存在許多不足，再加上信息安全保護工作較為繁瑣，信息安全保障覆蓋面廣，其廣泛覆蓋醫(yī)院網(wǎng)絡安全、信息系統(tǒng)安全、軟件應用安全、管理工作安全等方面，因此，我國醫(yī)院信息安全等級保護工作還不夠完善，醫(yī)院若想全面保障醫(yī)院系統(tǒng)信息安全，則需要根據(jù)醫(yī)院信息安全保障工作的實際需要不斷采取有效措施。首先，醫(yī)院信息安全管理人員要不斷提升自己的信息安全等級保護技術(shù)，熟練地構(gòu)建安全保護框架，提高信息安全保護工作的及時性與高效性，對醫(yī)院信息安全系統(tǒng)進行嚴格的監(jiān)督，及時發(fā)現(xiàn)醫(yī)院信息安全管理各個方面可能存在的隱患，對風險進行及時妥善的處理，以滿足醫(yī)院信息系統(tǒng)最基本安全需求。其次，應重視網(wǎng)絡信息人才的培養(yǎng)，招聘時應適當關(guān)注應聘人員的計算機知識能力狀況，對醫(yī)院工作人員，可以進行計算機培訓。做到重要崗位的工作人員具備相應的工作能力。

4 結(jié)論

信息安全是醫(yī)療行業(yè)信息系統(tǒng)穩(wěn)定運行的重要保障，一旦發(fā)生網(wǎng)絡故障、數(shù)據(jù)丟失、數(shù)據(jù)泄漏等信息系統(tǒng)信息安全事件，將給衛(wèi)生行業(yè)帶來難以彌補的損失。信息安全等級保護，應當不斷完善其技術(shù)標準，以適應滿足“云”“大”“物”“移”技術(shù)在衛(wèi)生行業(yè)信息安全的需求。