李潤啟　夏翃

摘要：隨著科學(xué)技術(shù)的發(fā)展，醫(yī)療行業(yè)逐漸走向信息化發(fā)展道路，提高醫(yī)院的信息化水平已經(jīng)成為了不可扭轉(zhuǎn)的趨勢，然而其中所存在的信息系統(tǒng)安全保護問題仍舊難以得到有效解決，對醫(yī)院信息系統(tǒng)安全等級保護工作提出了更為嚴格的要求。該文在剖析醫(yī)院信息系統(tǒng)的信息安全等級保護內(nèi)涵及特征基礎(chǔ)上，針對醫(yī)院信息系統(tǒng)信息安全等級保護中存在的問題進行深入分析，最后針對性提出加強醫(yī)院信息系統(tǒng)的信息安全等級保護策略及路徑，以期能夠通過研究以產(chǎn)生拋磚引玉之效，為實際提供參考借鑒之用。

關(guān)鍵詞：醫(yī)院;信息系統(tǒng);安全等級;保護措施

中圖分類號：G642? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）09-106-02

在互聯(lián)網(wǎng)、5G發(fā)展高速化的今天，網(wǎng)絡(luò)上信息安全問題已經(jīng)成為大眾關(guān)注的重點問題，公民信息隱私問題逐漸引起了人們的關(guān)注，甚至對大眾日常生活帶來了較為嚴重的負面影響。在很大程度上對醫(yī)院信息安全保護工作帶來了一定的挑戰(zhàn)和考驗。如何在大眾就醫(yī)中加強信息安全保護質(zhì)量，也成為擺在各大醫(yī)院面前的重要難題。盡管我國政府針對該領(lǐng)域的問題頒布了許多互聯(lián)網(wǎng)信息安全保護的相關(guān)政策法規(guī)文件，以提升對大眾隱私數(shù)據(jù)的保護質(zhì)量。然而在實踐中發(fā)現(xiàn)存在著多種因素，無法真正發(fā)揮現(xiàn)有政策法規(guī)文件的約束作用，在大眾就醫(yī)中時常會出現(xiàn)隱私泄露問題，成為人們對醫(yī)院的詬病之處。在我國醫(yī)療行業(yè)中，患者隱私數(shù)據(jù)安全質(zhì)量關(guān)系到醫(yī)院的長遠可持續(xù)發(fā)展，必須要加強對患者的信息安全等級保護工作，能夠通過科學(xué)合理設(shè)置信息安全保護等級，切實提升醫(yī)院的信息安全保護力度，對促進醫(yī)院長遠發(fā)展具有極其重要的發(fā)展意義。

1 醫(yī)院信息系統(tǒng)信息安全等級保護內(nèi)涵和特征

1.1 醫(yī)院信息系統(tǒng)信息安全等級保護的內(nèi)涵

在醫(yī)院信息系統(tǒng)信息安全等級保護工作中一般會涉及三方面內(nèi)容，即臨床服務(wù)信息數(shù)據(jù)、醫(yī)療管理信息數(shù)據(jù)、運維管理信息數(shù)據(jù)，這三個維度數(shù)據(jù)信息涵蓋了當前醫(yī)院信息安全等級保護的主要內(nèi)容。在臨床服務(wù)信息數(shù)據(jù)中包括門診掛號、臨床檢查及患者病歷檔案資料的電子化建檔;而醫(yī)療管理信息數(shù)據(jù)中涉及藥材的進貨廠家、醫(yī)務(wù)人員的信息等;在運維管理信息數(shù)據(jù)中包括研究成果、醫(yī)保資料、財產(chǎn)管理、醫(yī)院經(jīng)營情況等基本資料。這些信息數(shù)據(jù)在發(fā)生嚴重泄露事件的情況下，極易影響醫(yī)院未來的發(fā)展狀況，所以落實信息系統(tǒng)信息安全等級的保護工作顯得尤為迫切。

1.2 醫(yī)院信息系統(tǒng)信息安全等級保護具有的特征

由于醫(yī)院所涉及到的數(shù)據(jù)多，這就決定了醫(yī)院信息系統(tǒng)安全等級保護工作具有工作難度大、涉及層次豐富等特征，甚至體現(xiàn)出牽一發(fā)而動全身的重要影響，因而在實際工作中需要統(tǒng)籌兼顧整體工作目標，以促進安全等級保護工作質(zhì)量的有效提升。

1）技術(shù)要求高。隨著醫(yī)院信息系統(tǒng)信息安全等級保護工作的升級與發(fā)展，對技術(shù)人員的專業(yè)要求變得越來越高。在以往的醫(yī)院數(shù)據(jù)信息管理工作中，檔案管理人員的工作素質(zhì)普遍不高，實際工作難度相對比較低，無法體現(xiàn)出應(yīng)有的信息化特征。然而隨著現(xiàn)代社會的發(fā)展與信息技術(shù)的進步，醫(yī)院對于信息安全管理的專業(yè)人才提出了更為嚴格的要求，有越來越多醫(yī)院在該工作崗位上開始聘用專業(yè)的計算機操作人才，從而有效提升信息安全指數(shù)。在實際工作中，要能夠針對各類數(shù)據(jù)信息進行整合歸類管理，而這些工作內(nèi)容不僅對管理人員的實踐操作能力具有較為嚴格的要求，更對管理人員所具備的信息素養(yǎng)具有一定的要求。

2）涉及維度廣。在醫(yī)院信息系統(tǒng)信息安全等級保護工作中，由于所涉及的項目豐富、內(nèi)容廣泛，使信息安全管理所涉及的維度往往十分廣泛。需要將各個環(huán)節(jié)、各個內(nèi)容、各個部門的信息數(shù)據(jù)一并納入數(shù)據(jù)信息管理系統(tǒng)中，從而構(gòu)建數(shù)據(jù)信息管理的專業(yè)平臺，以促進管理變得更具專業(yè)性、集中性與綜合性等管理特征。加上醫(yī)院信息數(shù)據(jù)更存在著龐雜多冗的特點，使實際信息管理系統(tǒng)建設(shè)工作相對更具挑戰(zhàn)性。

2 當前醫(yī)院信息系統(tǒng)安全等級保護存在問題的探析

2.1 技術(shù)邏輯、資本邏輯站在了價值觀的對立面

在互聯(lián)網(wǎng)的快速發(fā)展中，互聯(lián)網(wǎng)內(nèi)容管理普遍暴露出了諸多弊端現(xiàn)象。長期化的業(yè)務(wù)導(dǎo)向遵循資本運行邏輯，利用算法獲取病人的個人信息，將不同的患者細化標簽，導(dǎo)致患者信息逐漸被曝光在互聯(lián)網(wǎng)平臺。在不法分子的非法獲取信息數(shù)據(jù)過程中，對患者精準推送各類廣告內(nèi)容，這些現(xiàn)象極大地損害了患者的合法權(quán)益。尤其在醫(yī)院信息系統(tǒng)的建設(shè)過程中，由于深受技術(shù)邏輯和資本邏輯的影響，在很大程度上弱化了信息安全保護價值觀，導(dǎo)致醫(yī)院信息系統(tǒng)的安全等級保護未能夠真正貫徹落實到位。因此必須要重視這些問題的出現(xiàn)，能夠要求醫(yī)院在信息管理工作中，站在價值觀的角度和高度上，強化信息系統(tǒng)安全等級管理質(zhì)量，避免信息技術(shù)邏輯、資本邏輯站在了數(shù)據(jù)信息價值管理的對立面，對患者的個人隱私帶來侵害影響。

2.2 缺少專業(yè)化的信息安全管理人才

盡管信息化技術(shù)發(fā)展具有數(shù)幾十年的歷史，但是在醫(yī)療領(lǐng)域中的發(fā)展起步相對比較晚，在醫(yī)院信息安全領(lǐng)域中的建設(shè)工作始終存在著缺乏全面性和系統(tǒng)性的現(xiàn)象。尤其在個別醫(yī)院的信息安全管理工作中，管理人員一般由醫(yī)務(wù)人員所擔任，但是這些人員普遍缺乏應(yīng)有的信息安全管理專業(yè)能力，導(dǎo)致醫(yī)院信息管理水平難以得到有效提升。盡管現(xiàn)如今越來越多醫(yī)院開始重視信息安全等級保護工作，并大量引進信息技術(shù)管理人才，然而整體上普遍缺乏專業(yè)化的信息技術(shù)安全等級保護的管理人才。因此在醫(yī)院信息系統(tǒng)安全等級保護工作過程中，要能夠重視專業(yè)化信息安全管理人員的重要性，能夠規(guī)范招聘專業(yè)人才，為實際管理工作發(fā)揮應(yīng)有的人才支持保障作用。

3 關(guān)于醫(yī)院信息系統(tǒng)信息安全等級保護策略與路徑的探析

3.1 合理設(shè)計信息保護計劃方案、落實醫(yī)院信息系統(tǒng)安全等級保護工作

醫(yī)院信息系統(tǒng)信息安全等級保護工作具有較強的系統(tǒng)性特征，這就要求在具體實踐落實中，首先應(yīng)當加強對信息保護設(shè)計方案的科學(xué)、合理制定。能夠結(jié)合醫(yī)院實際發(fā)展狀況，構(gòu)建嚴格的信息安全等級指標，從而確定各方面的信息保護內(nèi)容，在不斷優(yōu)化工作方向的同時，積極完善信息安全等級保護策略及方案。在此之間既要能夠考慮信息等級保護工作的全面性與系統(tǒng)性，還要體現(xiàn)出分域而治原則，在整體管理中加強動態(tài)監(jiān)管質(zhì)量，促進實際管理工作變得更具可靠性，同時還要能夠深度結(jié)合醫(yī)院實際情況，加強推進信息安全等級保護工作，為后期的實踐工作打下良好的基礎(chǔ)和堅實的保障條件。

3.2 結(jié)合信息安全保護管理流程規(guī)范制定信息安全保護方案

為了避免醫(yī)院信息安全等級保護策略缺乏應(yīng)有的可操作性價值，就必須要嚴格結(jié)合信息安全保護管理流程，合理制定完善的信息安全保護方案。在規(guī)范化的信息等級安全保護管理流程中，需要遵循如下幾個方面的內(nèi)容，方可確保實際信息安全等級保護策略與方案變得更具實效性和規(guī)范性。首先要能夠合理確定信息安全等級保護內(nèi)容，能夠明確基本的等級對象，在找準關(guān)鍵定位的同時，促進保護工作變得更具精準性和針對性;其次要能夠明確信息安全等級管理中存在的風(fēng)險，加強信息安全保護工作。在這其中，要能夠整合分類所收集的信息數(shù)據(jù)，并構(gòu)建相應(yīng)的等級保護指標，形成系統(tǒng)化的信息安全等級保護結(jié)構(gòu);最后要能夠針對初步的信息等級保護方案進行深入探討與研究，組織專業(yè)的研究者和資深的信息技術(shù)管理者商榷方案的可行性，能夠針對性提出有價值的建議與指導(dǎo)策略，促進所制定的方案變得更具科學(xué)性與可行性，從而為后期工作開展打下堅實的基礎(chǔ)。

3.3 醫(yī)院信息系統(tǒng)安全等級工作的落實

在信息安全保護方案制定完畢后，接下來需要部署落實信息等級安全保護工作，相關(guān)人員要積極展開地信息安全管理保護工作，充分發(fā)揮保護方案的管理價值，從而提升醫(yī)院信息安全等級管理水平。從整體上來看，在落實醫(yī)院信息系統(tǒng)安全等級工作中，可以從如下三個方面內(nèi)容以加強信息系統(tǒng)安全等級保護管理工作質(zhì)量：

1）信息邊界安全防護。在醫(yī)院信息安全等級保護工作的落實中，要根據(jù)不同的信息安全內(nèi)容和指標構(gòu)建等級安全保護的邊界，采取不同安全防護策略進行有效保護。這就要求信息技術(shù)管理人員重視對邊界的構(gòu)建過程，規(guī)范設(shè)計邊界保護屏障，避免不法分子入侵信息安全系統(tǒng)。信息技術(shù)管理人員在這其中還要事后總結(jié)防范工作，以確保信息安全邊界得以真正建立。

2）做好信息規(guī)劃管理工作。在醫(yī)院信息等級安全保護工作的落實和推進過程中，要能夠做好基本的身份鑒定工作，規(guī)范采集相關(guān)工作人員的電子認證基本信息，嚴格按照標準要求及流程驗證各個數(shù)據(jù)信息，以便于強化對電子認證基本信息的驗證、加密以及保護工作。同時，信息技術(shù)管理人員在這其中還要合理設(shè)置信息訪問權(quán)限，避免不法分子潛入醫(yī)院信息管理系統(tǒng)竊取醫(yī)院數(shù)據(jù)信息，造成數(shù)據(jù)信息外泄的嚴重性后果，對保障醫(yī)院信息安全平臺的穩(wěn)定運作具有極其重要的作用。

3）做好數(shù)據(jù)的備份和恢復(fù)工作。在信息安全工作的推進中，要能夠及時備份各類信息，同時落實信息系統(tǒng)恢復(fù)功能，確保信息數(shù)據(jù)在丟失的情況下能夠完整恢復(fù)。這就要求醫(yī)院招聘專業(yè)的計算機人才，加強信息數(shù)據(jù)庫建設(shè)工作，在合理設(shè)計數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)的功能系統(tǒng)和操作命令中，加強核心交換設(shè)備和運行器上的冗余設(shè)計工作，以確保醫(yī)院信息數(shù)據(jù)的安全性與可靠性得到進一步提升。

4）保證信息系統(tǒng)的安全運維管理質(zhì)量與水平。醫(yī)院信息運維管理同樣具有十分重要的作用，因而在醫(yī)院信息安全等級保護工作推進中，信息技術(shù)管理人員需要結(jié)合PDCA的連續(xù)性原則展開運維管理工作，強化對信息系統(tǒng)安全等級保護的動態(tài)化監(jiān)管工作，能夠在這其中建立實時化安全預(yù)警機制、各類安全防護和應(yīng)急系統(tǒng)的設(shè)置，確保能夠在出現(xiàn)信息數(shù)據(jù)安全問題時，第一時間進行自動化干預(yù)工作，發(fā)揮應(yīng)有的協(xié)調(diào)保護和整體聯(lián)動優(yōu)勢，助力醫(yī)院信息等級安全保護工作的可持續(xù)性發(fā)展。

4 結(jié)束語

醫(yī)院信息系統(tǒng)信息安全等級保護工作的落實和推進，對醫(yī)院的良性發(fā)展、提高對患者個人隱私權(quán)益保護具有十分重要的作用，所以需要高度重視信息系統(tǒng)的信息安全等級保護工作。能夠在這其中深入分析現(xiàn)階段的醫(yī)院信息安全等級保護工作所存在的主要問題，并針對性采取解決措施以強化保護質(zhì)量，以促進醫(yī)院真正迎來長遠、可持續(xù)發(fā)展愿景。

參考文獻：

[1] 黃捷，潘愈嘉，莫禹鈞.基于安全感知平臺的醫(yī)院信息安全等級保護整改方案設(shè)計[J].醫(yī)學(xué)信息學(xué)雜志，2020，41（2）：68-71.

[2] 王崇民.醫(yī)院信息安全要外防黑客，內(nèi)防病毒——訪安徽省立醫(yī)院信息中心副主任宗寧[J].中國數(shù)字醫(yī)學(xué)，2020，15（11）：143-144.

[3] 郭樂.基于網(wǎng)絡(luò)安全等級保護2.0版本的法院信息安全存在的隱患及要求[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（4）：150-151.

[4] 余俊杰.筑牢網(wǎng)絡(luò)安全之基 保護人民群眾信息安全——新時代我國網(wǎng)絡(luò)安全發(fā)展成就綜述[J].公民與法（綜合版），2020（9）：10-11.

【通聯(lián)編輯：李雅琪】