楊力，桑祖喜，陳凌敏

（麗江市人民醫(yī)院信息科，云南 麗江 674100）

0 引言

“統(tǒng)方”是醫(yī)院對醫(yī)生用藥、耗材信息量的統(tǒng)計，一般由藥師進行統(tǒng)計并用作對藥品臨床療效以及醫(yī)生合理性用藥的分析，屬于醫(yī)院正常業(yè)務工作內(nèi)容，在藥學臨床研究中，掌握第一手資料，輔助醫(yī)療治療起到非常積極的推動作用。所謂為商業(yè)目的違規(guī)“統(tǒng)方”是指醫(yī)院中個人或部門未經(jīng)批準，擅自為醫(yī)藥經(jīng)銷企業(yè)或醫(yī)藥營銷人員提供醫(yī)生或科室一定時期內(nèi)臨床用藥量、醫(yī)用耗材用量等信息，供其發(fā)放回扣的行為。違規(guī)統(tǒng)方行為，引起醫(yī)院藥品、耗材的供應商發(fā)生商業(yè)賄賂，擾亂醫(yī)院正常工作秩序，將按《中華人民共和國刑法》第三百八十五條及其相應刑法修正的規(guī)定，按照受賄罪論處。目前，醫(yī)院統(tǒng)方工作主要是利用數(shù)據(jù)治理的外在效能，通過借鑒行業(yè)和兄弟醫(yī)院的做法，通過管理和技術手段，建章立制、規(guī)范管理、技術防范、強化監(jiān)管、提升自律，杜絕發(fā)生違規(guī)統(tǒng)方行為，提升醫(yī)德醫(yī)風和行業(yè)作風建設的成效和水平，竭力維護醫(yī)院及廣大醫(yī)務工作者的良好形象，促進臨床診療合理、合規(guī)用藥，降低醫(yī)藥費用，切實減輕患者負擔。

1 數(shù)據(jù)治理在統(tǒng)方數(shù)據(jù)管理上的應用

1.1 形成統(tǒng)方數(shù)據(jù)的周期和閉環(huán)管理

加強對醫(yī)院統(tǒng)方數(shù)據(jù)的源頭治理，梳理、完善符合統(tǒng)方規(guī)則的管控策略，積極運用對稱和非對稱加密算法，對人員、科室、藥品、耗材、費用等明細表的關鍵字段應用加密算法；加強對HIS應用系統(tǒng)功能模塊的改造和優(yōu)化，明晰統(tǒng)方數(shù)據(jù)的采集、傳輸、存儲、共享、應用的入口和出口關，協(xié)同黨群工作部、紀委辦、醫(yī)務部等確定統(tǒng)方數(shù)據(jù)使用人員和部門，對不同部門、不同工作類別的人員按照最小授權原則分配不同的權限，各終端用戶只能查看權限內(nèi)的相關信息，對服務器。操作系統(tǒng)、數(shù)據(jù)庫等均進行分級管理，設置高強度的管理密碼，啟用多重密碼制度。

1.2 提高統(tǒng)方數(shù)據(jù)資產(chǎn)的價值和利用率

統(tǒng)方主數(shù)據(jù)是共享數(shù)據(jù)的基礎和統(tǒng)方的基準數(shù)據(jù)，來源單一、準確、權威，也是診療業(yè)務運營的業(yè)務操作和決策分析的數(shù)據(jù)標準，具有較高的業(yè)務價值和開發(fā)價值。統(tǒng)方主數(shù)據(jù)的建設是一個持續(xù)運營、不斷優(yōu)化的一個過程，依靠第三方不能保證主數(shù)據(jù)質量的持續(xù)優(yōu)化，必須加入醫(yī)院的相關人員，制定相應的組織體系、制度文化和技術體系，竭力發(fā)揮統(tǒng)方主數(shù)據(jù)的效能和管理導向。根據(jù)HIS系統(tǒng)的數(shù)據(jù)架構和表結構以及數(shù)據(jù)庫審計暨防統(tǒng)方系統(tǒng)的監(jiān)控記錄，重點對人員、科室、藥品、耗材、費用等明細表和基礎字典，進行統(tǒng)方主索引的建立和應用，成立醫(yī)院統(tǒng)方管理領導小組和辦公室，確定醫(yī)院HIS系統(tǒng)統(tǒng)方主數(shù)據(jù)的標準和內(nèi)容，提高靶向管理統(tǒng)方數(shù)據(jù)的能力和水平；積極引入醫(yī)院集成平臺，打通各個業(yè)務系統(tǒng)、管理系統(tǒng)、輔助系統(tǒng)之間信息交互的壁壘，確定各個系統(tǒng)的角色和職能、職責，強化統(tǒng)方主數(shù)據(jù)的分類應用，HIS系統(tǒng)聚焦和專注統(tǒng)方主業(yè)務數(shù)據(jù)的生產(chǎn)、運營，系統(tǒng)集成平臺聚焦和專注統(tǒng)方主數(shù)據(jù)的管理、科教和科研。

1.3 強化數(shù)據(jù)管理

加強對統(tǒng)方主數(shù)據(jù)邊界的管理，摸底、排查數(shù)據(jù)的風險目錄和HIS系統(tǒng)的數(shù)據(jù)接口清單，修訂、梳理統(tǒng)方數(shù)據(jù)的標準和范圍，明確統(tǒng)方數(shù)據(jù)的采集、傳輸、使用、存儲、共享規(guī)則，確定統(tǒng)方數(shù)據(jù)使用的權限和管控策略，建立健全統(tǒng)方數(shù)據(jù)管理的相關制度和統(tǒng)方數(shù)據(jù)使用的數(shù)據(jù)表單，同重點統(tǒng)方的責任部門、使用部門、管理部門的相關人員，加強對統(tǒng)方數(shù)據(jù)的管理制度、統(tǒng)方數(shù)據(jù)存儲制度等進行制度執(zhí)行情況的監(jiān)督和檢查，填寫風險排查審批表，嚴格按程序申報風險排查領導小組，對統(tǒng)方數(shù)據(jù)的使用、存儲、采集人員簽訂統(tǒng)方數(shù)據(jù)權限審批表、統(tǒng)方數(shù)據(jù)查詢審批表、數(shù)據(jù)使用保密書、防統(tǒng)方承諾書等數(shù)據(jù)表單，逐步形成符合醫(yī)院實際的統(tǒng)方數(shù)據(jù)運行管理機制，開創(chuàng)防統(tǒng)方工作的新局面，構建防統(tǒng)方的思想氛圍。

1.4 統(tǒng)方主數(shù)據(jù)管理，提高數(shù)據(jù)管理的效能和導向

規(guī)范、明確統(tǒng)方數(shù)據(jù)的用途和目的。根據(jù)醫(yī)院的科室、部門的職能職責和實際情況，加強對涉及統(tǒng)方權限的藥學部、醫(yī)務部、醫(yī)保物價科、績效核算辦、運營管理部等部門和信息科工作人員、臨床藥師、HIS開發(fā)和維護人員的分級管理，聯(lián)合業(yè)務部門、主管部門、監(jiān)管部門，結合醫(yī)德醫(yī)風、行業(yè)作風、整治損害群眾利益問題等規(guī)定和精神進行風險摸底和排查，明確統(tǒng)方數(shù)據(jù)的用途和目的[1-3]。規(guī)范統(tǒng)方數(shù)據(jù)的稽核和使用流程，確保統(tǒng)方數(shù)據(jù)在業(yè)務部門、管理部門、監(jiān)管部門都有讀得懂、看得懂、道的清、說的明的自然語言，以便對違規(guī)統(tǒng)方行為進行快速識別、確定、處置、留存等基本響應動作。

1.5 提高統(tǒng)方數(shù)據(jù)的安全

協(xié)同業(yè)務部門、管理部門、監(jiān)管部門，加強數(shù)據(jù)治理在統(tǒng)方管理上的應用與管理，重點對統(tǒng)方元數(shù)據(jù)、數(shù)據(jù)處理、數(shù)據(jù)質量、數(shù)據(jù)標準、數(shù)據(jù)應用、數(shù)據(jù)安全、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)生命周期管理，持續(xù)不斷優(yōu)化統(tǒng)方主數(shù)據(jù)的質量和標準。積極推進HIS系統(tǒng)三級等保防護標準和能力建設，提高醫(yī)院網(wǎng)絡與信息安全能力與水平，構建安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心，管控統(tǒng)方數(shù)據(jù)的采集、傳輸、存儲、共享、應用為一體的安全治理體系和運行機制。明確規(guī)定統(tǒng)方權限的人員要“三定兩有”，定地點、定人員、定終端計算機，有審批、有視頻監(jiān)控，對重點部門和崗位進行監(jiān)管，在信息科、機房、藥學部、績效核算辦等重點部門安裝視頻監(jiān)控設備。定期或不定期對涉及統(tǒng)方人員、全院干部職工進行醫(yī)院統(tǒng)方制度的教育，讓他們知敬畏、存戒懼、守底線，簽訂反統(tǒng)方承諾書，筑牢防統(tǒng)方的思想防線，明確醫(yī)院干部職工不能觸碰的“高壓線”。

2 數(shù)據(jù)治理在統(tǒng)方技術防范上的應用

2.1 強化統(tǒng)方技術的防范措施

加強對統(tǒng)方主數(shù)據(jù)的管理，提高數(shù)據(jù)的安全，在醫(yī)保專網(wǎng)、內(nèi)外網(wǎng)邊界、外網(wǎng)區(qū)域的統(tǒng)方技術的防范措施。部署下一代防火墻、入侵檢測系統(tǒng)、上網(wǎng)行為管理、安全交換系統(tǒng)，設置安全、有效的不同分區(qū)隔離的網(wǎng)絡區(qū)域，包括醫(yī)保專網(wǎng)、物聯(lián)網(wǎng)專網(wǎng)、互聯(lián)網(wǎng)等，建立安全、可審計的DMZ區(qū)域、加密VPN通道等方式，打通醫(yī)保結算、智慧門診、預約掛號、檢驗結果查詢、綁定電子就診卡等智慧服務，提高患者的就診體驗度和舒適度，同時，醫(yī)院結合網(wǎng)絡與信息安全的實際情況和HIS系統(tǒng)三級等級保護實際情況，防止黑客入侵，外部邊界啟用適合醫(yī)院實際策略控制和風險防控的下一代防火墻，內(nèi)部啟用入侵檢測系統(tǒng)，跟蹤入侵和防止內(nèi)部攻擊，定義統(tǒng)方文件傳輸?shù)囊?guī)則和方法，在安全交換系統(tǒng)過濾統(tǒng)方主數(shù)據(jù)的共享、應用等，加強日志審計和日志的留存管理，竭力保障網(wǎng)絡與信息的安全。內(nèi)網(wǎng)部署終端準入控制系統(tǒng)、網(wǎng)絡運維管理系統(tǒng)、終端殺毒等終端管理系統(tǒng)，限制接入醫(yī)院內(nèi)部網(wǎng)絡的終端和其它設備，使得每臺信息終端均需要通過認證才可接入安全的醫(yī)院內(nèi)部網(wǎng)絡，同時根據(jù)終端準入控制系統(tǒng)、網(wǎng)絡運維管理系統(tǒng)的功能，完成IP地址、MAC地址的綁定，管控好內(nèi)網(wǎng)終端用戶，有效防止非法用戶篡改網(wǎng)絡配置與破壞通信鏈路，通過終端認證時記錄的數(shù)據(jù)庫信息，可以發(fā)現(xiàn)異常統(tǒng)方數(shù)據(jù)傳輸問題發(fā)生時，及時確定地理位置，及時采取現(xiàn)場取證等工作。內(nèi)網(wǎng)終端部署統(tǒng)一管控的終端殺毒平臺，協(xié)同統(tǒng)方主數(shù)據(jù)，完成終端基線設定、檢查等基礎工作，聯(lián)動日志審計和下一代防火墻，提高終端信息安全的防護能力和水平，及時對終端電腦出現(xiàn)的非法行為和非法接入、傳輸?shù)?，采取違隔離等技術操作，生成日志分析報表。

2.2 提升統(tǒng)方主數(shù)據(jù)審計的應用和監(jiān)控能力

加強對統(tǒng)方主數(shù)據(jù)的管理，提高數(shù)據(jù)的安全，提升統(tǒng)方主數(shù)據(jù)審計的應用和監(jiān)控能力。通過sql server 2012的sql server profiler 的審計跟蹤功能記錄終端連接數(shù)據(jù)庫的用戶對數(shù)據(jù)庫的所有操作，包括數(shù)據(jù)庫的連接、sql語句的執(zhí)行、數(shù)據(jù)庫對象的訪問等等，實時了解那個終端用戶何時何地對數(shù)據(jù)庫進行了那種操作。改造、優(yōu)化HIS系統(tǒng)統(tǒng)方功能和模塊，完善HIS系統(tǒng)日志查詢功能，結合統(tǒng)方主數(shù)據(jù)的權限和應用管理，妥善完成對終端崗位、部門人員的日志留存管理，完成日志數(shù)據(jù)的完整性臺賬。加強對系統(tǒng)集成平臺的應用與監(jiān)控，確定統(tǒng)方數(shù)據(jù)的脫敏規(guī)則，完成對統(tǒng)方數(shù)據(jù)的脫敏、轉換等基本操作，特別是統(tǒng)方數(shù)據(jù)用于管理、科教和科研的人員包括重點監(jiān)控的崗位和部門人員，務必完成權責一致的管理和監(jiān)控機制，保障患者隱私和防止統(tǒng)方數(shù)據(jù)的泄露。

2.3 部署防統(tǒng)方管理系統(tǒng)

加強對統(tǒng)方主數(shù)據(jù)的管理，提高數(shù)據(jù)的安全，部署防統(tǒng)方管理系統(tǒng)。目前，我院部署防統(tǒng)方系統(tǒng)是集軟硬件一體化的信息終端，不依賴HIS系統(tǒng)，通過旁路鏡像技術，將訪問HIS數(shù)據(jù)庫的所有報文，通過核心交換機鏡像一份到防統(tǒng)方設備，防統(tǒng)方設備通過獨有的技術，解析數(shù)據(jù)包，匹配統(tǒng)方主數(shù)據(jù)的規(guī)則和策略，自動提示或發(fā)出報警，還原統(tǒng)方用戶的操作行為，提供豐富的檢索和關聯(lián)分析，輸出完整的事件報告和風險報告，出具等級保護報表，供醫(yī)院紀委監(jiān)控和分析。防統(tǒng)方系統(tǒng)是監(jiān)控非法統(tǒng)發(fā)行為的利器，對杜絕統(tǒng)方行為，維護行業(yè)紀律，促進醫(yī)德醫(yī)風建設，對減少醫(yī)藥購銷領域商業(yè)賄賂行為起到至關重要的作用[4-5]。

3 結論

綜上所述，加強數(shù)據(jù)治理，抓住統(tǒng)方管理的主數(shù)據(jù)，使得患者隱私、醫(yī)生用藥、耗材等重要數(shù)據(jù)的保護，顯得更有章法和措施，同時也將在統(tǒng)方主數(shù)據(jù)的運營和優(yōu)化過程中，持續(xù)改進防統(tǒng)方的策略和規(guī)則，完善統(tǒng)方管理制度和技術防范措施，竭力維護醫(yī)院及廣大醫(yī)務工作者的良好形象，促進臨床診療合理、合規(guī)用藥，降低醫(yī)藥費用，切實減輕患者負擔，扎實推進醫(yī)院網(wǎng)絡與信息安全的建設工作，提高醫(yī)德醫(yī)風、行業(yè)作風建設的成效和水平。