蔣提　趙彥軍

【摘 要】隨著計算機和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息系統(tǒng)已越來越多的應(yīng)用到醫(yī)療系統(tǒng)中，結(jié)合醫(yī)院信息系統(tǒng)的分類和特點，為更好的做好醫(yī)院信息安全等級保護工作，本文對信息系統(tǒng)安全等級保護建設(shè)和測評進行了簡單的探討，并對醫(yī)院信息系統(tǒng)等級過程中遇到了問題提出了一些建議，確保信息系統(tǒng)更好的安全運行。

【關(guān)鍵詞】醫(yī)院信息系統(tǒng)；信息安全；等級保護

0 引言

隨著我國信息化改革的不斷深入，信息系統(tǒng)也逐漸成為醫(yī)療行業(yè)中不可或缺的一部分，但隨著信息系統(tǒng)的日益發(fā)達，病毒破壞、黑客攻擊、管理缺失等不良因素引發(fā)的信息系統(tǒng)安全問題也越來越多。我國信息安全領(lǐng)域有關(guān)部門和專家學(xué)者通過多年研究，在借鑒國外先進經(jīng)驗和結(jié)合我國現(xiàn)階段情況的基礎(chǔ)上，提出分級保護的策略來解決我國信息安全問題。信息安全等級保護制度不僅是我國信息安全保障工作的一項基本制度，更是一項事關(guān)國家安全及穩(wěn)定的政治任務(wù)。醫(yī)院數(shù)據(jù)信息的安全性[1]也同樣至關(guān)重要，通過安全等級保護的建設(shè)與測評，有效的改進了醫(yī)院信息安全方面的一些不足，優(yōu)化了信息安全資源。

1 信息安全等級保護概述

信息安全等級保護[2]是維護我國信息安全的重要保障，通過對信息安全等級保護工作的開展，可以有效解決信息系統(tǒng)所面臨的諸多不安全問題，有利于改善國家信息安全的現(xiàn)狀。

信息安全等級保護是指對國家、法人和其他組織及公民的專有信息及公開信息以及存儲、傳輸、處理這些信息的信息系統(tǒng)實行分等級的安全保護工作，對信息系統(tǒng)中使用到的信息安全產(chǎn)品進行登記管理，對信息安全系統(tǒng)中的安全事件實行與其對應(yīng)的處理?！缎畔踩燃壉Ｗo信息安全等級保護管理辦法》規(guī)定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。根據(jù)信息系統(tǒng)的保密性以及完整性要求及信息系統(tǒng)所要達到的相應(yīng)保護等級要求，將信息系統(tǒng)安全保護等級劃分為五級[3]。第一級為自主保護級，第二級為指導(dǎo)保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為?？乇Ｗo級。不同級別的安全保護工作有著不同的監(jiān)督管理政策。信息系統(tǒng)安全等級保護是根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)的重要程度及實際安全需求，實行分級、分類的保護，達到保障信息安全的目的。將信息安全等級保護的工作劃為：等級保護定級與備案；系統(tǒng)安全建設(shè)與整改；等級測評。

2 醫(yī)院信息系統(tǒng)安全等級保護建設(shè)與測評

信息系統(tǒng)安全等級保護的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督[4]。對于醫(yī)院信息系統(tǒng)的定級，衛(wèi)生部《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》（衛(wèi)辦發(fā)[2011]85號）中指出“三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)”的“安全保護等級原則上不低于第三級”。結(jié)合醫(yī)院業(yè)務(wù)及信息系統(tǒng)實際情況，確定醫(yī)院核心業(yè)務(wù)系統(tǒng)：醫(yī)院平均日門診量；醫(yī)院住院床位數(shù)；業(yè)務(wù)系統(tǒng)承載病患個人隱私信息，一旦泄露對社會秩序構(gòu)成重大影響的；業(yè)務(wù)中斷使醫(yī)院正常運營蒙受重大經(jīng)濟損失；其他會對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成重大影響的系統(tǒng)。例如醫(yī)院的門急診系統(tǒng)，一旦業(yè)務(wù)系統(tǒng)中斷，一方面會使醫(yī)院蒙受經(jīng)濟損失，另一方面會造成大量患者滯留，延誤治療時機，給患者帶來重大安全隱患。又如電子病歷系統(tǒng)，系統(tǒng)中存儲著大量病人的個人隱私，一旦泄露會對患者和社會秩序帶來重大影響，因此這種安全保護等級應(yīng)不低于三級。醫(yī)院信息系統(tǒng)在建設(shè)階段，應(yīng)該按照《計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則》以及《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標(biāo)準(zhǔn)進行搭建、建設(shè)符合申請級別的信息安全措施，并制定符合該級別要求的安全管理制度。總體安全設(shè)計是提取共性形成模型，針對模型中的共性要素并結(jié)合相應(yīng)等級要求提出安全策略和安全措施要求。

等級測評是測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，受有關(guān)單位委托，從安全技術(shù)與安全管理兩大項，對信息系統(tǒng)安全等級保護狀況進行全面測試與綜合評估的活動。測評活動主要以溝通、洽談和技術(shù)手段為主，并貫穿了整個測評過程。測評準(zhǔn)備活動主要分為項目啟動、信息收集與分析、工具和表單準(zhǔn)備。方案編制工作主要分為測評對象和測評指標(biāo)確定、測評內(nèi)容確定、工具測試方法確定、測評指導(dǎo)書開發(fā)?，F(xiàn)場測評工作主要分為測評實施準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。報告編制工作主要分為單元測評結(jié)果判定、整體測評、風(fēng)險分析、等級測評結(jié)論和測評報告編制。

3 信息系統(tǒng)安全等級保護的問題

通過信息安全等級保護測評，會發(fā)現(xiàn)關(guān)于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等方面的漏洞[5]，并且由于醫(yī)院信息安全管理中缺少部分安全管理制度，缺少制度的落實實施，也是出現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等漏洞的原因之一。發(fā)現(xiàn)這些問題之后，醫(yī)院組織相關(guān)部門管理人員一起制定了一系列的安全管理制度，來保障對信息安全的有效管理。信息安全是一個動態(tài)的系統(tǒng)工程，安全管理制度也有一個不斷完善的過程。經(jīng)過安全事件的處理和等級保護測評，對信息安全管理策略進行修改，對信息安全管理范圍進行調(diào)整，減少對醫(yī)院信息系統(tǒng)安全的影響。

4 結(jié)束語

在信息快速發(fā)展的今天，通過信息安全等級保護評估，優(yōu)化了信息安全資源，并為醫(yī)院信息化建設(shè)提供了系統(tǒng)的、可行性的指導(dǎo)和意見，保障了信息在傳輸、管理、控制中的安全，減少了因信息泄露、信息破壞等對國家、經(jīng)濟、社會等方面造成的影響，促使醫(yī)院管理向規(guī)范化、科學(xué)化方向發(fā)展，從而為醫(yī)院、社會、國家創(chuàng)造更高的經(jīng)濟效益。

【參考文獻】

[1]王暉.醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南[M].北京：國防工業(yè)出版社，2010.

[2]GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求[S].

[3]GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分標(biāo)準(zhǔn)[S].

[4]范紅，胡志昂，金麗娜，等.信息系統(tǒng)等級保護安全設(shè)計技術(shù)實現(xiàn)與使用[M].北京：清華大學(xué)出版社，2010.

[5]張洋，張常青.關(guān)于醫(yī)院信息系統(tǒng)數(shù)據(jù)安全問題及應(yīng)對措施[J].信息安全與技術(shù)，2012（05）：105-106.

[責(zé)任編輯：楊玉潔]