李金剛，馬振宇，衡反修（通信作者）

北京大學(xué)腫瘤醫(yī)院·北京市腫瘤防治研究所 （北京 100142）

近年來，網(wǎng)絡(luò)和數(shù)據(jù)安全成為信息化建設(shè)的重要方向。在醫(yī)療行業(yè)，對于醫(yī)療設(shè)備（特指與醫(yī)院信息系統(tǒng)有數(shù)據(jù)接入的醫(yī)療設(shè)備）信息安全的管理，法律法規(guī)雖有提及，但大多較籠統(tǒng)，缺乏具有針對性的指導(dǎo)文件，難以具體落實。醫(yī)療設(shè)備型號眾多、功能各異，信息安全層面的指導(dǎo)標(biāo)準(zhǔn)參差不齊[1]。在醫(yī)院內(nèi)部，信息部門雖作為醫(yī)院網(wǎng)絡(luò)數(shù)據(jù)安全的責(zé)任科室，但既不參與醫(yī)療設(shè)備采購流程，也并非醫(yī)療設(shè)備使用科室。管理體系的不健全導(dǎo)致醫(yī)療設(shè)備信息安全成為醫(yī)院網(wǎng)絡(luò)安全防護體系中的薄弱環(huán)節(jié)，許多在用醫(yī)療設(shè)備與互聯(lián)網(wǎng)連接，暴露出醫(yī)療數(shù)據(jù)可能通過互聯(lián)網(wǎng)泄露的風(fēng)險[2]。本研究從北京大學(xué)腫瘤醫(yī)院實際情況出發(fā)，對醫(yī)療設(shè)備連接互聯(lián)網(wǎng)情況進行統(tǒng)計和分析，探討建立醫(yī)療設(shè)備信息安全全生命周期管理體系，具有較好的推廣借鑒意義。

1 醫(yī)療設(shè)備連網(wǎng)現(xiàn)狀及原因分析

該院的醫(yī)院信息系統(tǒng)為局域網(wǎng)，醫(yī)療設(shè)備普遍連接醫(yī)院信息系統(tǒng)。通過走訪、調(diào)查、數(shù)據(jù)提取核對，發(fā)現(xiàn)醫(yī)療設(shè)備除連接醫(yī)院信息系統(tǒng)外，也存在連接院外網(wǎng)絡(luò)的情況，連接院外網(wǎng)絡(luò)的醫(yī)療設(shè)備共計17 臺（套），見表1。對上述醫(yī)療設(shè)備連接互聯(lián)網(wǎng)方式、連接互聯(lián)網(wǎng)目的、醫(yī)療設(shè)備品牌類型統(tǒng)計顯示（圖1）：醫(yī)療設(shè)備連接互聯(lián)網(wǎng)方式中，4G網(wǎng)卡占比65%，撥號上網(wǎng)占比30%，院內(nèi)互聯(lián)網(wǎng)占比5%；醫(yī)療設(shè)備連接互聯(lián)網(wǎng)目的中，遠程維護占比68%，遠程巡檢占比16%，遠程監(jiān)測占比11%，移動應(yīng)用占比5%；醫(yī)療設(shè)備品牌類型中，國外品牌占比67%，國產(chǎn)品牌占比33%。

圖1 醫(yī)療設(shè)備連接互聯(lián)網(wǎng)多維度統(tǒng)計

表1 醫(yī)療設(shè)備連接多網(wǎng)絡(luò)情況

結(jié)合該院實際情況，將上述醫(yī)療設(shè)備標(biāo)記為風(fēng)險設(shè)備，以GB/T 20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》[2]為參考，建立設(shè)備風(fēng)險評估模型。該風(fēng)險評估模型中主要包括資產(chǎn)價值、脆弱性、資產(chǎn)威脅3 個評估維度[3]。對比院內(nèi)模型數(shù)據(jù)發(fā)現(xiàn)，風(fēng)險設(shè)備在資產(chǎn)價值、脆弱性等方面相似性較高，而高運維量的設(shè)備資產(chǎn)威脅更高，運維量與資產(chǎn)威脅和風(fēng)險等級成近似正比例關(guān)系。對比風(fēng)險設(shè)備數(shù)據(jù)發(fā)現(xiàn)，13 臺設(shè)備運維量低，提示風(fēng)險等級相對較低；4 臺設(shè)備運維量高，提示風(fēng)險等級相對較高。分析風(fēng)險設(shè)備互聯(lián)網(wǎng)接入形式發(fā)現(xiàn)，大多數(shù)設(shè)備采用外接上網(wǎng)模塊（4G 網(wǎng)卡、撥號上網(wǎng)）的形式，且均未配置安全防護措施；分析風(fēng)險設(shè)備品牌發(fā)現(xiàn)，67%為國外品牌，設(shè)備數(shù)量占比大、數(shù)據(jù)違規(guī)出境風(fēng)險較高。

經(jīng)過溯源探究，造成以上情況的原因如下。（1）診療需求：醫(yī)療設(shè)備是醫(yī)院的核心物質(zhì)基礎(chǔ)，診療過程中發(fā)生醫(yī)療設(shè)備宕機時，若不能及時排除故障，則會延誤患者診療，引發(fā)患者投訴，增加醫(yī)患矛盾。（2）高技術(shù)壁壘：近些年雖然越來越多的醫(yī)院使用國產(chǎn)品牌醫(yī)療設(shè)備，政策層面也傾向于推薦國產(chǎn)品牌，但現(xiàn)階段特別是大型醫(yī)院的醫(yī)療設(shè)備仍以進口品牌為主，且對運維人員的技術(shù)需求極高。（3）監(jiān)測安全風(fēng)險：部分大型醫(yī)療設(shè)備涉及放射性危害或具有潛在輻射泄露等安全風(fēng)險[4]，需實時進行狀態(tài)監(jiān)控，及時報警。

2 醫(yī)療設(shè)備信息安全全生命周期管理體系建設(shè)

通過分析問題發(fā)現(xiàn)，醫(yī)療設(shè)備在使用過程中確實存在連接互聯(lián)網(wǎng)造成數(shù)據(jù)泄露的風(fēng)險，但多為必要的業(yè)務(wù)需求。管理體系建設(shè)需按照實際情況，尋求安全與需求的平衡點，在安全的條件下最大限度保障業(yè)務(wù)需求。通過評估數(shù)據(jù)安全和業(yè)務(wù)需求的矛盾論證得到結(jié)論，應(yīng)首要考慮數(shù)據(jù)安全，業(yè)務(wù)需求須以數(shù)據(jù)安全建設(shè)為前提。

醫(yī)院原有采購流程和信息安全建設(shè)是兩個獨立的控制線。信息安全管理部門多在設(shè)備正式運行過程階段才介入，風(fēng)險評估、安全要求、運維整改等信息安全工作滯后于設(shè)備上線流程。建立醫(yī)療設(shè)備信息安全全生命周期管理體系，應(yīng)保證以醫(yī)療設(shè)備為中心，將信息安全納入醫(yī)療設(shè)備采購流程、人員管理、運行維護、報廢流程4 個維度（圖2），建立醫(yī)療設(shè)備入院前、在院中、出院前的信息安全管理模式，具體如下。（1）采購流程注重信息安全前置審核，設(shè)備申請、產(chǎn)品介紹會、產(chǎn)品對比、評審論證、安裝調(diào)試、設(shè)備驗收階段均須實施信息安全風(fēng)險審核，前置排查信息安全隱患，及時預(yù)警，風(fēng)險評估不合規(guī)的設(shè)備拒絕接入醫(yī)院信息系統(tǒng)。（2）從使用人員、管理人員、維保人員3 個管理角度進行信息安全宣教和約束，要求各方人員簽署信息安全承諾書，承諾不進行違規(guī)操作，同時明確各方人員責(zé)任和違規(guī)處置措施。（3）運行維護階段持續(xù)時間最長，期間運維公司及人員均有可能發(fā)生變動，也是最易存在信息安全隱患的階段。運維公司及人員在設(shè)備運維過程中，應(yīng)注意避免外接設(shè)備、核心數(shù)據(jù)傳輸出院，系統(tǒng)數(shù)據(jù)備份、運行維護、系統(tǒng)升級需保留操作記錄，運維人員涉及數(shù)據(jù)安全的操作應(yīng)在網(wǎng)絡(luò)安全員監(jiān)督下進行。（4）設(shè)備報廢階段需注意數(shù)據(jù)和網(wǎng)絡(luò)訪問信息處理，信息部門須第一時間斷開報廢設(shè)備網(wǎng)絡(luò)連接，清除網(wǎng)絡(luò)訪問記錄，并登記信息安全臺賬，附帶存儲設(shè)備需進行數(shù)據(jù)擦除。

圖2 醫(yī)療設(shè)備信息安全全生命周期管理體系

醫(yī)療設(shè)備信息安全全生命周期管理體系建設(shè)具體從制度建設(shè)、強化人員管理、安全運行維護、調(diào)整采購和報廢流程4 個方面入手。（1）制度建設(shè)：院內(nèi)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組召開醫(yī)療設(shè)備信息安全工作組專項會議，明確網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組下設(shè)醫(yī)療設(shè)備信息安全工作組，負責(zé)具體落實醫(yī)療設(shè)備信息安全管理工作，全院信息化須由信息部門統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一管理，擬定《醫(yī)療設(shè)備互聯(lián)網(wǎng)接入申請表》《醫(yī)療設(shè)備連接互聯(lián)網(wǎng)入網(wǎng)規(guī)定》《醫(yī)療設(shè)備信息安全承諾書-院內(nèi)科室》《醫(yī)療設(shè)備信息安全承諾書- 公司》《信息安全評估表》《醫(yī)療設(shè)備信息安全驗收報告》，建立健全相關(guān)信息安全機制[5]。（2）強化人員管理：醫(yī)療設(shè)備使用科室及人員、醫(yī)療設(shè)備廠商、運維人員均需熟知并簽署醫(yī)療設(shè)備信息安全承諾書，承諾設(shè)備使用過程中自覺保護數(shù)據(jù)安全；明確責(zé)任劃分方法，即誰使用誰負責(zé)、誰審批誰負責(zé)，一旦出現(xiàn)信息安全事故，及時追責(zé)[6]。（3）安全運行維護：醫(yī)療設(shè)備接入互聯(lián)網(wǎng)必然會帶來數(shù)據(jù)泄露風(fēng)險[7]，可通過調(diào)整互聯(lián)網(wǎng)接入監(jiān)管及審批流程，合理降低互聯(lián)網(wǎng)接入頻次，增加現(xiàn)場運維頻次以取代遠程巡檢和遠程維護，也可通過2G 短信發(fā)送監(jiān)測信息以取代互聯(lián)網(wǎng)實時監(jiān)控。《中華人民共和國數(shù)據(jù)安全法》第二十七條規(guī)定：利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行數(shù)據(jù)安全保護義務(wù)。依此要求，對必須實時接入互聯(lián)網(wǎng)的設(shè)備，醫(yī)療設(shè)備廠商在要求接入互聯(lián)網(wǎng)時，應(yīng)要求廠商主動提供數(shù)據(jù)接收系統(tǒng)的信息系統(tǒng)安全等級保護備案證明，且該備案證明等級不應(yīng)低于醫(yī)療設(shè)備所連接醫(yī)院信息系統(tǒng)備案證明等級；而醫(yī)院作為使用單位，也應(yīng)主動告知醫(yī)療設(shè)備連接互聯(lián)網(wǎng)存在的數(shù)據(jù)安全風(fēng)險，廠商須定期向醫(yī)院匯報數(shù)據(jù)傳輸日志，全程接受醫(yī)院監(jiān)管[8]。運行維護期間，廠商須每年提供信息安全等級保護系統(tǒng)測評報告，醫(yī)院備案存檔。（4）調(diào)整采購和報廢流程：向科室申請、產(chǎn)品介紹、評審、采購、安裝、驗收、運行維護、報廢等流程加入信息安全評估環(huán)節(jié)[9]，見圖3?？剖疑暾垥r使用《信息安全評估表》進行事前評估。在產(chǎn)品介紹中加入信息安全項，例如廠商是否提交《醫(yī)療設(shè)備信息安全承諾書》。信息部門根據(jù)設(shè)備類型在評審環(huán)節(jié)派專人參會，與廠商或服務(wù)商進行直接溝通，詳細了解相關(guān)情況。設(shè)備驗收時，醫(yī)學(xué)工程處須填寫《醫(yī)療設(shè)備信息安全驗收報告》，信息部門根據(jù)實際信息安全情況打分，評分對應(yīng)4 類風(fēng)險級別（無風(fēng)險、低風(fēng)險、中風(fēng)險、高風(fēng)險），評分情況體現(xiàn)在紙質(zhì)驗收文檔中，可輔助醫(yī)療設(shè)備采購科室、使用科室最終決策。設(shè)備使用維護過程中，使用科室需接受設(shè)備信息安全培訓(xùn)，并簽署《醫(yī)療設(shè)備信息安全承諾書》，信息部門擔(dān)任安全顧問?？剖姨岢鲈O(shè)備報廢申請時，信息部門在第一時間進行擦除數(shù)據(jù)、清除網(wǎng)絡(luò)訪問信息、記錄信息安全臺賬工作。

圖3 醫(yī)療設(shè)備全生命周期信息安全防護流程

3 應(yīng)用效果

醫(yī)療設(shè)備全生命周期管理體系自2021 年10 月上線以來，受到各科室鼓勵和好評，解決了醫(yī)技科室、臨床科室面臨的高科技化醫(yī)療設(shè)備信息安全難把控的問題。根據(jù)2021 年10 月至2022 年6 月統(tǒng)計數(shù)據(jù)，全院共計268 臺（類）設(shè)備完成信息安全評估和使用指導(dǎo)；醫(yī)院各科室簽署《醫(yī)療設(shè)備信息安全承諾書》21 份、廠商簽署《醫(yī)療設(shè)備信息安全承諾書》34 份；解決醫(yī)療設(shè)備違規(guī)外接互聯(lián)網(wǎng)問題13 起，規(guī)范化處理醫(yī)療設(shè)備用網(wǎng)安全問題3 起；參與產(chǎn)品介紹會信息安全審查7 次、評審論證會8 次、醫(yī)療設(shè)備全流程信息安全評估11 次；擬定醫(yī)療設(shè)備信息安全驗收報告12 份。其中，約20 次協(xié)助臨床科室參與設(shè)備信息安全評估選型，將安全風(fēng)險降到可控范圍內(nèi)。與該管理體系上線前相比，有效解決醫(yī)療設(shè)備信息安全問題16 起，有效規(guī)避信息安全風(fēng)險46 起。

4 討論

北京大學(xué)腫瘤醫(yī)院自實施醫(yī)療設(shè)備信息安全全生命周期管理體系以來，填補了醫(yī)院多年來關(guān)于醫(yī)療設(shè)備信息安全管理的空白。通過設(shè)置醫(yī)療設(shè)備信息安全工作組，醫(yī)療設(shè)備信息安全管理有了主管監(jiān)管部門，醫(yī)療設(shè)備聯(lián)網(wǎng)在制度、管理、使用層面均設(shè)置細則條款，將醫(yī)療設(shè)備與信息系統(tǒng)終端納入同質(zhì)化數(shù)據(jù)安全管理。

對醫(yī)療設(shè)備而言，網(wǎng)絡(luò)安全和便捷維護始終互為矛盾。從網(wǎng)絡(luò)安全法律法規(guī)角度出發(fā)，任何醫(yī)療設(shè)備都不應(yīng)以犧牲安全為代價開展業(yè)務(wù)，這是不可逾越的紅線；從實際業(yè)務(wù)需求方面來看，也不能過度追求網(wǎng)絡(luò)安全而放棄醫(yī)療設(shè)備為醫(yī)院帶來的治療效益，需要時刻把握其中的平衡，以數(shù)據(jù)安全為前提最大限度保障醫(yī)療設(shè)備治療業(yè)務(wù)正常開展。通過制訂個性化聯(lián)網(wǎng)策略，在滿足醫(yī)療設(shè)備用網(wǎng)需求的同時，保證不跨越數(shù)據(jù)安全紅線。

通過要求各廠商簽署《醫(yī)療設(shè)備信息安全承諾書》、各科室簽署《醫(yī)療設(shè)備信息安全承諾書》，將醫(yī)院做好醫(yī)療設(shè)備信息安全管理的理念傳達到了每個部門。同時，對醫(yī)院而言，管理制度的落實也依靠各部門發(fā)揮自身作用，否則即使有制度，也無實際效用可言。

科室申請、產(chǎn)品介紹、評審、采購等環(huán)節(jié)加入信息安全評估后，也大大減小了使用科室、采購部門的壓力，對于信息安全的把控，有專業(yè)人員現(xiàn)場指導(dǎo)。同時醫(yī)療設(shè)備聯(lián)網(wǎng)使用需求的交流也更加專業(yè)、明確。驗收上線、報廢下線環(huán)節(jié)在專業(yè)網(wǎng)絡(luò)安全人員的指導(dǎo)下進行，每臺設(shè)備做好信息安全臺賬登記，責(zé)任到人，有效減少數(shù)據(jù)被人為泄露的可能性。

在醫(yī)院內(nèi)部，網(wǎng)絡(luò)安全、數(shù)據(jù)安全工作不分科室、不分人員，以醫(yī)院網(wǎng)絡(luò)安全防護體系整體建設(shè)為共識，以醫(yī)院整體為單位，自上而下落實制度、各科室互相協(xié)作，才能建立真正的信息安全屏障；而新制度、新體系在建立初期總會遇到障礙，無論是對科室還是廠商，運維便捷性的降低必然會引起“不適”，解決這些問題，需堅持原則，曉之以情、動之以理。

新體系的建立，也對信息部門提出了更高的要求，作為醫(yī)院網(wǎng)絡(luò)安全的責(zé)任部門，需要主動承擔(dān)責(zé)任，加強監(jiān)督管理；也要完善宣教工作，促進整體網(wǎng)絡(luò)安全意識的提升；同時注重自身專業(yè)素質(zhì)的提升，由于醫(yī)療設(shè)備種類、品牌、型號眾多，專業(yè)性強，功能各異，必須不斷學(xué)習(xí)和了解醫(yī)療設(shè)備的相關(guān)知識，切實開展管理工作，真正發(fā)揮管理作用。

5 結(jié)論

醫(yī)療設(shè)備信息安全全生命周期管理體系的建立，較好地解決了醫(yī)療設(shè)備信息安全問題，一方面實現(xiàn)了設(shè)備入院前、在院中、出院前的信息安全全流程保障，使醫(yī)療設(shè)備信息安全管理步入正軌；另一方面，管理體系的建立過程，也全方面促進了醫(yī)院各科室信息安全防護意識的提升，通過摸排、指導(dǎo)等交流工作，大范圍普及了醫(yī)院網(wǎng)絡(luò)和數(shù)據(jù)安全的規(guī)章要求，同時使各部門、職工充分意識到數(shù)據(jù)安全人人有責(zé)。

2022 年3 月，國家藥品監(jiān)督管理局醫(yī)療器械技術(shù)審評中心發(fā)布《醫(yī)療器械網(wǎng)絡(luò)安全注冊審查指導(dǎo)原則（2022 年修訂版）》[4]，強調(diào)了醫(yī)療設(shè)備更應(yīng)加強信息安全管理。強有力的約束指導(dǎo)文件，對各品牌、種類設(shè)備進行信息和數(shù)據(jù)安全標(biāo)準(zhǔn)統(tǒng)一約束，將引導(dǎo)醫(yī)療設(shè)備信息安全管理更加規(guī)范有序。

醫(yī)療設(shè)備信息安全全生命周期管理體系的建立，明確加強各方人員管理約束，切實解決了醫(yī)療設(shè)備信息安全管理不規(guī)范問題，彌補了醫(yī)院信息安全、數(shù)據(jù)安全建設(shè)的漏洞，對醫(yī)院網(wǎng)絡(luò)安全防護體系建設(shè)具有重大意義。