史海波 姚 鋒*

醫(yī)院信息化的快速發(fā)展，提高了各種醫(yī)療行為效率，促進(jìn)醫(yī)療質(zhì)量的提高，醫(yī)院的各項(xiàng)工作也越來(lái)越依賴于信息化系統(tǒng)的存在。醫(yī)院信息化系統(tǒng)涉及合作、遠(yuǎn)程協(xié)助等多個(gè)醫(yī)院、多個(gè)機(jī)構(gòu)間的合作，使醫(yī)院信息化系統(tǒng)與外界網(wǎng)絡(luò)相連，同時(shí)醫(yī)院信息化系統(tǒng)還涉及患者、醫(yī)師、藥房及后勤等多種信息，其安全運(yùn)行是保障醫(yī)院工作順利開(kāi)展的前提。醫(yī)院信息化系統(tǒng)具有24 h運(yùn)行的特點(diǎn)，對(duì)安全性管理的標(biāo)準(zhǔn)要求更高[1]。本研究基于安全管理體系在醫(yī)院信息化系統(tǒng)中的實(shí)踐進(jìn)行觀察分析，為醫(yī)院信息化系統(tǒng)的安全保障提供新選擇。

1 醫(yī)院信息化系統(tǒng)信息安全問(wèn)題與安全管理體系

針對(duì)醫(yī)院信息化系統(tǒng)安全制定的安全管理體系主要包括兩方面：安全管理層面和安全技術(shù)層面，其中安全技術(shù)層面又分為醫(yī)院信息化系統(tǒng)物理安全和醫(yī)院信息化系統(tǒng)數(shù)據(jù)安全。

1.1 信息安全管理問(wèn)題與對(duì)策

調(diào)查發(fā)現(xiàn)安全管理層面存在的問(wèn)題主要有：安全管理資金投入不足、安全管理責(zé)任不明確、考核機(jī)制不完善以及工作人員對(duì)信息安全重視程度不足。基于此，在安全管理層面的對(duì)策主要是：①幫助醫(yī)院選擇相對(duì)高效低廉的工作系統(tǒng)及網(wǎng)絡(luò)硬件，運(yùn)用更少的人力物力維護(hù)更安全的醫(yī)院信息化系統(tǒng)；②實(shí)施分組責(zé)任制，明確各組的工作內(nèi)容和維護(hù)范圍及責(zé)任，定期考核工作人員的信息化系統(tǒng)工作，獎(jiǎng)罰分明，對(duì)出現(xiàn)的問(wèn)題加以杜絕；③分批次對(duì)醫(yī)院工作人員進(jìn)行培訓(xùn)，強(qiáng)調(diào)信息安全對(duì)醫(yī)院正常運(yùn)行的重要性，提高工作人員對(duì)醫(yī)院信息安全的重視，做到在工作中不故意泄露相關(guān)信息，并互相監(jiān)督。

1.2 加強(qiáng)醫(yī)院信息化系統(tǒng)物理安全

系統(tǒng)的物理安全主要涉及醫(yī)院信息化系統(tǒng)相關(guān)設(shè)備設(shè)施的物理保護(hù)，主要有：①信息化系統(tǒng)的硬件維護(hù)，避免因硬件損壞引起醫(yī)院數(shù)據(jù)、信息丟失和泄露；②信息化系統(tǒng)硬件質(zhì)量的高低決定系統(tǒng)的物理安全，對(duì)關(guān)鍵的硬件設(shè)備由專人看護(hù)，記錄設(shè)備運(yùn)行情況，發(fā)現(xiàn)異常及時(shí)處理，進(jìn)行冗余備份，做到關(guān)鍵設(shè)備損壞時(shí)可以隨時(shí)替換；③機(jī)房等外來(lái)人員進(jìn)入應(yīng)申請(qǐng)和登記，做到防風(fēng)、防火、防震；④對(duì)機(jī)房進(jìn)行分區(qū)域管理，維護(hù)機(jī)房環(huán)境，保持穩(wěn)定的溫度、濕度、防塵和防靜電等；⑤配備電子門禁系統(tǒng)和滅火系統(tǒng)，制定值班制度，保證機(jī)房24 h管理。

1.3 加強(qiáng)醫(yī)院信息化系統(tǒng)數(shù)據(jù)安全

數(shù)據(jù)安全主要包括醫(yī)院相關(guān)數(shù)據(jù)的完整性、保密性和安全性。①網(wǎng)絡(luò)的完整性，主要是將醫(yī)院的內(nèi)網(wǎng)和外網(wǎng)做出適當(dāng)?shù)倪B接，保證內(nèi)網(wǎng)和外網(wǎng)連接的安全性，可以采用兩種方式進(jìn)行醫(yī)院內(nèi)網(wǎng)與外部網(wǎng)絡(luò)的連接，即虛擬專用網(wǎng)聯(lián)合防火墻和防火墻聯(lián)合網(wǎng)閘，使用防火墻過(guò)濾網(wǎng)絡(luò)攻擊和實(shí)施訪問(wèn)控制，使用網(wǎng)閘確保數(shù)據(jù)按照擺渡的方式交換[2]；②做好病毒防護(hù)，約80%的醫(yī)院網(wǎng)絡(luò)故障是因計(jì)算機(jī)病毒入侵引起，做好病毒防護(hù)是保障醫(yī)院信息化系統(tǒng)完整性的關(guān)鍵，病毒防護(hù)措施最初主要有隔離內(nèi)外網(wǎng)、拆除軟盤光驅(qū)等，目前因病毒傳播速度加快、更新頻繁，主要依靠網(wǎng)絡(luò)殺毒軟件等，也可在防火墻上添加殺毒軟件，過(guò)濾病毒，達(dá)到“雙向過(guò)濾”的作用[3]；③確保數(shù)據(jù)完整，數(shù)據(jù)安全還包括信息的完整性，要防止數(shù)據(jù)信息丟失、泄露等安全事件發(fā)生，還要有及時(shí)的技術(shù)手段將損壞或丟失的數(shù)據(jù)找回，醫(yī)院的信息數(shù)據(jù)關(guān)系到患者的隱私、健康和社會(huì)秩序，一旦泄露對(duì)患者和醫(yī)院將造成巨大損失，是醫(yī)院必須面對(duì)的問(wèn)題[4]；④做好數(shù)據(jù)儲(chǔ)存，保護(hù)數(shù)據(jù)的完整性采用數(shù)據(jù)轉(zhuǎn)存、雙機(jī)熱備、服務(wù)器集群等措施來(lái)實(shí)現(xiàn)，醫(yī)院數(shù)據(jù)的多元性、并發(fā)性等特點(diǎn)決定了數(shù)據(jù)信息安全的安全防護(hù)方式復(fù)雜，醫(yī)院必須加強(qiáng)財(cái)力、人力的投入，選擇適合自身情況的防護(hù)方法[5]；⑤設(shè)置用戶賬號(hào)，醫(yī)生、護(hù)士對(duì)患者進(jìn)行用藥、手術(shù)等治療時(shí)需要登錄相關(guān)用戶賬號(hào)，用戶賬號(hào)的信息安全從管理和技術(shù)兩個(gè)層面入手，管理上嚴(yán)格一人一號(hào)，嚴(yán)禁互相借用、亂用，技術(shù)層面上，辨別登錄操作系統(tǒng)和數(shù)據(jù)系統(tǒng)用戶的賬號(hào)密碼，核實(shí)其身份信息，設(shè)置用戶名、口令的難度，并隨時(shí)更換，若一定時(shí)間內(nèi)醫(yī)生護(hù)士沒(méi)有進(jìn)行操作則自動(dòng)退出系統(tǒng)，避免數(shù)據(jù)丟失，預(yù)防計(jì)算機(jī)黑客的威脅，保障網(wǎng)絡(luò)信息安全[6]；⑥安裝用戶端桌面管理系統(tǒng)，用戶端桌面系統(tǒng)的安全是醫(yī)院信息化系統(tǒng)的重要部分，在安全管理體系中占據(jù)重要位置，每個(gè)工作人員的電腦使用習(xí)慣不同、工作內(nèi)容不同和工作等級(jí)不同，在桌面系統(tǒng)中所儲(chǔ)存、轉(zhuǎn)移的信息也不同，會(huì)造成數(shù)據(jù)信息的紊亂和不安全，安裝用戶端桌面管理系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)用戶端使用情況，禁止私人移動(dòng)設(shè)備接入醫(yī)院內(nèi)網(wǎng)，避免私人移動(dòng)設(shè)備將外網(wǎng)病毒感染至醫(yī)院內(nèi)網(wǎng)[7-8]。

1.4 制定醫(yī)院信息化系統(tǒng)安全應(yīng)急預(yù)案

醫(yī)院信息化系統(tǒng)的安全管理體系關(guān)鍵點(diǎn)是要有合理的應(yīng)急預(yù)案[9]。醫(yī)院信息化系統(tǒng)即使實(shí)施了多種安全防護(hù)措施，仍有可能出現(xiàn)不可預(yù)料的緊急情況而致醫(yī)院信息化系統(tǒng)中斷，采用應(yīng)急預(yù)案實(shí)施應(yīng)急模式下的工作流程，能夠?qū)p失降到最低[10]。具體應(yīng)急預(yù)案由醫(yī)院各部門制定自身在緊急情況下的工作流程并上報(bào)信息部門，信息部門制定相應(yīng)的信息化工作流程。在發(fā)生緊急情況導(dǎo)致醫(yī)院信息化系統(tǒng)出現(xiàn)故障時(shí)，發(fā)現(xiàn)人立即報(bào)告給部門管理人員，部門管理人員通知信息部門后，由信息部門排查故障原因并處理，在系統(tǒng)恢復(fù)之前醫(yī)院各部門按照事先制定好的應(yīng)急措施保證正常工作的進(jìn)行。

2 安全管理體系的應(yīng)用評(píng)價(jià)研究

研究醫(yī)院的信息化系統(tǒng)，對(duì)醫(yī)院信息化系統(tǒng)實(shí)施安全管理，實(shí)施人員為嚴(yán)格培訓(xùn)的專業(yè)人員和醫(yī)院信息化維護(hù)人員，評(píng)價(jià)應(yīng)用效果。

2.1 安全問(wèn)題分析

全面觀察分析醫(yī)院安全管理流程、管理制度是否完善；對(duì)醫(yī)院領(lǐng)導(dǎo)層面、臨床科室和輔助科室等工作人員進(jìn)行問(wèn)卷調(diào)查，主要調(diào)查各科室工作人員對(duì)醫(yī)院信息化系統(tǒng)安全的重視程度，調(diào)查醫(yī)院信息化系統(tǒng)技術(shù)情況，包括數(shù)據(jù)、網(wǎng)絡(luò)、硬件、軟件以及機(jī)房等存在的安全管理缺陷。對(duì)調(diào)查發(fā)現(xiàn)的安全管理問(wèn)題進(jìn)行歸納分析總結(jié)，制定針對(duì)性的安全管理體系。

2.2 觀察與評(píng)價(jià)指標(biāo)

(1)醫(yī)院信息化系統(tǒng)安全保護(hù)能力。醫(yī)院信息部門對(duì)實(shí)施安全管理體系前后，信息化系統(tǒng)安全保護(hù)能力評(píng)價(jià)，分為高、中、低3個(gè)等級(jí)。

(2)信息安全事件發(fā)生率。實(shí)施安全管理體系前后12個(gè)月內(nèi)，醫(yī)院發(fā)生的所有安全事件中由信息安全問(wèn)題引起的事件發(fā)生率。

2.3 統(tǒng)計(jì)學(xué)方法

采用SPSS 22.0軟件進(jìn)行數(shù)據(jù)統(tǒng)計(jì)分析，計(jì)數(shù)資料用率表示，組間比較采用卡方檢驗(yàn)，以P＜0.05為差異具有統(tǒng)計(jì)學(xué)意義。

3 安全管理體系應(yīng)用結(jié)果

3.1 安全保護(hù)能力

實(shí)施安全管理體系前，65%的信息部門人員認(rèn)為醫(yī)院信息安全保護(hù)能力低，實(shí)施安全管理體系后，僅20%的信息部門人員認(rèn)為醫(yī)院信息安全保護(hù)能力低，實(shí)施安全管理體系實(shí)施前后，對(duì)醫(yī)院信息安全保護(hù)能力評(píng)價(jià)比較差異有統(tǒng)計(jì)學(xué)意義(x2=4.173，P＜0.05)。

表1 安全管理體系實(shí)施前后醫(yī)院信息化系統(tǒng)安全保護(hù)能力評(píng)價(jià)比較(人次)

3.2 信息安全事件發(fā)生率

實(shí)施安全管理體系前，信息安全事件發(fā)生率為29.37%，實(shí)施安全管理體系后，信息安全事件發(fā)生率為14.17%，前后比較差異有統(tǒng)計(jì)學(xué)意義(x2=7.590，P＜0.05)。

表2 醫(yī)院信息化系統(tǒng)信息安全事件發(fā)生率(次)

4 安全管理體系應(yīng)用效果

醫(yī)院內(nèi)設(shè)門診、病房、收費(fèi)、藥房、消毒供應(yīng)室及后勤等多個(gè)部門，信息化系統(tǒng)涵蓋醫(yī)囑信息、護(hù)理信息、床位及病案信息、藥品出庫(kù)以及無(wú)菌物品發(fā)放信息等，數(shù)據(jù)龐大相對(duì)保密，具有實(shí)時(shí)性且共享，這對(duì)醫(yī)院信息化系統(tǒng)的穩(wěn)定運(yùn)行和安全保障提出了更高的要求[11]。醫(yī)院信息系統(tǒng)主要是利用計(jì)算機(jī)和網(wǎng)絡(luò)來(lái)收集處理、傳輸各類臨床信息，對(duì)醫(yī)院工作流程的優(yōu)化、工作效率的提高具有重要的促進(jìn)作用[12]。目前，約有80%的醫(yī)院實(shí)現(xiàn)了信息化管理，充分說(shuō)明醫(yī)院信息化的重要性，但隨著醫(yī)院信息化的迅速發(fā)展，醫(yī)院信息化系統(tǒng)的安全現(xiàn)狀不容樂(lè)觀，常有因系統(tǒng)故障而引起的醫(yī)療安全事件發(fā)生[13-15]。制定一個(gè)安全可靠、科學(xué)合理的安全管理體系以規(guī)避醫(yī)院信息安全風(fēng)險(xiǎn)迫在眉睫。

醫(yī)院信息化系統(tǒng)的安全管理體系主要包括管理層面的安全防護(hù)和技術(shù)層面的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全及數(shù)據(jù)安全等[16]。制定信息化系統(tǒng)的安全防護(hù)措施從管理層面的安全管理制度制定、物理層加強(qiáng)硬件安全設(shè)計(jì)、網(wǎng)絡(luò)層設(shè)計(jì)應(yīng)用防火墻、系統(tǒng)層設(shè)計(jì)病毒防護(hù)、應(yīng)用層設(shè)計(jì)用戶賬號(hào)管理等方面制定針對(duì)性的安全管理體系并實(shí)施后取得了滿意的效果，醫(yī)院工作人員的安全防護(hù)意識(shí)明顯提高，避免了人為因素造成的信息數(shù)據(jù)損失，醫(yī)院信息化工作人員責(zé)任明確，降低了信息安全事件發(fā)生率，極大地提高了醫(yī)院信息化系統(tǒng)的安全性，在醫(yī)院信息化系統(tǒng)中的應(yīng)用前景廣泛。

5 結(jié)語(yǔ)

在醫(yī)院信息化建設(shè)中實(shí)施安全管理體系能夠顯著提高醫(yī)院信息化系統(tǒng)的保護(hù)能力，減少信息安全事件的發(fā)生，促進(jìn)醫(yī)院信息化發(fā)展，有利于醫(yī)院管理水平的全面提升。