楊靜

摘要：隨著醫(yī)療行業(yè)的信息化發(fā)展水平的逐步發(fā)展，信息系統(tǒng)的安全風(fēng)險越明顯，本文就天津市醫(yī)院核心業(yè)務(wù)信息系統(tǒng)等級保護(hù)建設(shè)工作的管理體系建設(shè)提供一些基本的思路、方法和步驟。

關(guān)鍵詞：醫(yī)院 安全等級 管理體系建設(shè)

一、引言

根據(jù)上級部門三級甲等要求，為了促進(jìn)和規(guī)范天津市醫(yī)院信息化建設(shè)我院于2014年啟動了圍繞醫(yī)院核心業(yè)務(wù)系統(tǒng)：門診信息系統(tǒng)、住院信息系統(tǒng)、HIS信息系統(tǒng)，深入開展信息安全等級和統(tǒng)計管理系統(tǒng)，為后續(xù)各兄弟醫(yī)院等級保護(hù)建設(shè)工作提供一些基本建設(shè)和方法。

二、醫(yī)院信息化建設(shè)存在的安全現(xiàn)狀分析

大型綜合性醫(yī)院信息系統(tǒng)的安全保障體系建設(shè)是一個極為復(fù)雜的工程，醫(yī)院的信息系統(tǒng)應(yīng)用眾多，結(jié)構(gòu)復(fù)雜，覆蓋廣泛，涉及的部門和人員眾多，醫(yī)院信息系統(tǒng)的角色越來越重要。信息系統(tǒng)任何風(fēng)險都有可能帶來巨大的損失。醫(yī)院信息系統(tǒng)故障，會造成門診大量排隊，業(yè)務(wù)科室投訴，臨床業(yè)務(wù)停頓，每次引發(fā)的問題都給醫(yī)院管理人員造成巨大壓力，社會輿論和聲音受到嚴(yán)重影響，不同程度也給醫(yī)院造成了較大經(jīng)濟損失。醫(yī)院信息系統(tǒng)面臨極大的安全風(fēng)險。具體有以下幾點：

（一）物理環(huán)境安全風(fēng)險

醫(yī)院的物理安全具備環(huán)境安全、設(shè)備安全及介質(zhì)安全等物理支撐環(huán)境，保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)和信息免受大自然，環(huán)境事故以及誤操作導(dǎo)致的破壞和丟失。

（二）網(wǎng)絡(luò)安全風(fēng)險

醫(yī)院的臨床、財務(wù)系統(tǒng)和物流已經(jīng)全部納入IT系統(tǒng)，業(yè)務(wù)網(wǎng)中各業(yè)務(wù)應(yīng)用是其信息系統(tǒng)的核心，同時也需要與外部發(fā)生業(yè)務(wù)聯(lián)系。因此業(yè)務(wù)應(yīng)用面臨的任何風(fēng)險，都會產(chǎn)生嚴(yán)重后果。

（三）管理層安全風(fēng)險

對醫(yī)院信息系統(tǒng)的管理尤為重要，責(zé)任不明，管理混亂，安全管理制度不健全等都有可能引起管理安全風(fēng)險。

三、信息安全管理體系建立的作用

信息安全管理體系必須滿足等級保護(hù)標(biāo)準(zhǔn)，同時也要滿足政策的要求，還要貫徹執(zhí)行，不斷進(jìn)步。一個健全的、正常運行的醫(yī)療信息安全管理體系的主要作用體現(xiàn)在以下方面；

（1）能夠有效增強行政和技術(shù)上的安全管理，將解決網(wǎng)絡(luò)設(shè)計缺陷，威脅網(wǎng)絡(luò)安全的問題，制定出信息系統(tǒng)規(guī)范和安全標(biāo)準(zhǔn)。

（2）信息安全管理體系的建設(shè)，更加重視和執(zhí)行對安全知識、法規(guī)、標(biāo)準(zhǔn)的宣傳和培訓(xùn)，考核實現(xiàn)了信息安全的動態(tài)管理過程。

（3）全方位的保護(hù)醫(yī)院的核心業(yè)務(wù)系統(tǒng)，在核心數(shù)據(jù)和信息受到襲擊時，要確保各項工作正常開展，并盡量把損失降到最低。

（4）滿足醫(yī)療行業(yè)和監(jiān)督機構(gòu)要求，保護(hù)國家或區(qū)域醫(yī)療信息安全，維護(hù)社會醫(yī)療秩序穩(wěn)定。

四、安全保管體系建設(shè)的主要思路

我院從安全管理機構(gòu)、安全管理制度、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理及人員安全管理等五個方面著手開展安全等級保護(hù)建設(shè)。

（一）安全管理機構(gòu)的設(shè)立

組建安全管理領(lǐng)導(dǎo)團隊，由院領(lǐng)導(dǎo)和各科室骨干出任第一責(zé)任人，把具體的辦公地點設(shè)定在信息所。

（二）安全管理制度

根據(jù)《公安信息安全等級保護(hù)基本要求》，制定《網(wǎng)絡(luò)安全息安全管理制度》，等9個信息安全管理制度，定期進(jìn)行內(nèi)部檢查和管理評定，不斷優(yōu)化和持續(xù)改進(jìn)。

我院在實施安全等管理體系建設(shè)工作中，采取分級、分類、分階段的策略，根據(jù)我院各系統(tǒng)的不同特點，采取不同的安全等級。

（三）系統(tǒng)運維管理

根據(jù)最高等級的保護(hù)要求，制定多種信息安全方法：一是機房定時巡查，二是增加視頻監(jiān)控，減少視頻盲區(qū)，三是建立智能監(jiān)控系統(tǒng)，對全院網(wǎng)絡(luò)運維情況監(jiān)控，減低網(wǎng)絡(luò)故障。

（四）人員安全管理

我院堅持在風(fēng)險評估的基礎(chǔ)上，采取適當(dāng)和管用、足夠的措施來加強信息安全，大大降低系統(tǒng)故障。

五、安全等保的實施過程

實現(xiàn)等級保護(hù)，應(yīng)該采取分級，分類，分階段的策略堅持分級實施保護(hù)，加強安全，突出關(guān)注重點，要害部位，根據(jù)信息化發(fā)展階段的不平衡，須根據(jù)信息資產(chǎn)的規(guī)模大小，依賴程度的深淺，按階段分步驟逐步實現(xiàn)等級保護(hù)的各項要求。

（1）信息安全管理體系第一階段主要是做好建立信息安全管理系統(tǒng)的前期工作及安全管理人力資源配置。

（2）信息安全工作團隊結(jié)合等級保護(hù)的基本要求，對HIS，LIS，RACS等核心業(yè)務(wù)信息系統(tǒng)進(jìn)行處理，對在傳輸和存儲的過程中，信息的機密性，完整性等重要特性進(jìn)行調(diào)研和評價，結(jié)合等級保護(hù)基本要求差距項匯總，分析差距項目涉及的安全事件一旦發(fā)生對醫(yī)院信息系統(tǒng)造成的影響。

（3）制定安全管理策略、安全管理制度和信息安全管理體系等各方位保護(hù)措施，計劃和建成符合三級等保系統(tǒng)基本要求的信息安全管理框架。

（4）落實安全管理制度，根據(jù)安全管理體系的具體要求，進(jìn)行全面的信息安全牢固與整改工作，充分發(fā)揮安全體系的各項功能。

（5）自查和調(diào)整。深入分析問題，找出問題根源，查出不完善的過程記錄文件并進(jìn)行完善，調(diào)整不合理管理流程，進(jìn)一步完善信息安全管理體系。

六、結(jié)束語

至2014年初，在我院領(lǐng)導(dǎo)的直接關(guān)心和指導(dǎo)下，通過各部門通力合作使信息安全通過了等級保護(hù)測評的三甲醫(yī)院，為地區(qū)三甲醫(yī)院信息安全等級保護(hù)建設(shè)工作開啟良好的開端，展現(xiàn)了我院信息化建設(shè)的先進(jìn)成果。

參考文獻(xiàn)：

[1]王升寶.信息安全等級保護(hù)體系研究及應(yīng)用[J].通信技術(shù)，2009

[2]朱建平，李明.信息安全等級保護(hù)標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2005（5）：21-24

[3]胡勇.網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險評估方法研究網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007