廖輝

摘要：進(jìn)入到信息化時(shí)代，如何實(shí)現(xiàn)信息安全管理已經(jīng)成為各行各業(yè)需要重點(diǎn)思考并解決的問(wèn)題。對(duì)于醫(yī)療衛(wèi)生行業(yè)而言，加強(qiáng)信息安全管理能夠有效保證患者信息的安全性與完整性，并為醫(yī)院提高醫(yī)療服務(wù)水平提供有效支持。但是目前我國(guó)醫(yī)院在信息化建設(shè)中，信息安全卻不斷受到挑戰(zhàn)，信息泄露、信息失真、信息丟失等問(wèn)題層出不窮?；诖耍撐膹男畔踩芾淼慕ㄔO(shè)在醫(yī)院信息化建設(shè)中的作用出發(fā)，結(jié)合醫(yī)院信息安全管理問(wèn)題，探究相應(yīng)的發(fā)展對(duì)策。

關(guān)鍵詞：醫(yī)院管理;信息安全管理;作用;建設(shè)策略

中圖分類號(hào)：TP311 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）14-0281-02

1 醫(yī)院加強(qiáng)信息安全管理的背景?

“十二五”期間，原衛(wèi)生部出臺(tái)了《衛(wèi)生信息化建設(shè)指導(dǎo)意見(jiàn)與發(fā)展規(guī)劃（2011-2015）》，為我國(guó)醫(yī)療衛(wèi)生事業(yè)信息化發(fā)展做出了明確的要求與規(guī)劃，規(guī)劃以“35212工程”為核心，逐步建立安全規(guī)范的醫(yī)療衛(wèi)生信息管理系統(tǒng)，這其中加強(qiáng)安全管理是提升信息管理建設(shè)效果的關(guān)鍵因素。在“十三五”期間，“互聯(lián)網(wǎng)+”發(fā)展計(jì)劃地提出，使得醫(yī)療衛(wèi)生事業(yè)的發(fā)展對(duì)于互聯(lián)網(wǎng)的依賴性更強(qiáng)，目前互聯(lián)網(wǎng)已經(jīng)由單向互動(dòng)的web1.0門(mén)戶時(shí)代，發(fā)展到實(shí)時(shí)互聯(lián)、各取所需的3.0大互聯(lián)時(shí)代，這推動(dòng)了醫(yī)療衛(wèi)生機(jī)構(gòu)信息化建設(shè)發(fā)展的同時(shí)，也為信息安全帶來(lái)巨大隱患，醫(yī)院作為醫(yī)療衛(wèi)生信息的集散地，不僅需要實(shí)現(xiàn)對(duì)患者信息的有效管理，還需要利用大數(shù)據(jù)實(shí)現(xiàn)對(duì)自身發(fā)展的規(guī)劃與預(yù)測(cè)，從而提高“互聯(lián)網(wǎng)+”背景下醫(yī)院內(nèi)部控制管理水平。

在醫(yī)院積極推動(dòng)信息化建設(shè)的同時(shí)，信息安全的威脅始終存在，而且呈現(xiàn)愈演愈烈的勢(shì)頭，比如2017年9月《法制日?qǐng)?bào)》報(bào)道了一家醫(yī)院的服務(wù)信息系統(tǒng)遭到黑客入侵，被泄露的公民信息多達(dá)7億多條，8000多萬(wàn)條公民信息被販賣。隨著信息時(shí)代的不斷發(fā)展，大數(shù)據(jù)成為一種具有巨大潛在價(jià)值的市場(chǎng)資源，而醫(yī)療數(shù)據(jù)中包含著患者姓名、年齡、居住地址、電話、病史、銀行賬戶等信息，自然成為一些不法分子爭(zhēng)相搶奪利用的“香餑餑”，因此，如何加強(qiáng)醫(yī)院信息安全管理則成為醫(yī)院提高醫(yī)療衛(wèi)生服務(wù)質(zhì)量和我國(guó)醫(yī)療衛(wèi)生事業(yè)健康發(fā)展過(guò)程中面臨的重要難題。

2 信息安全管理的建設(shè)在醫(yī)院信息化建設(shè)中的作用

在大數(shù)據(jù)、“互聯(lián)網(wǎng)+”背景下，構(gòu)建信息化管理系統(tǒng)，實(shí)現(xiàn)信息化管理，已經(jīng)成為醫(yī)院運(yùn)行發(fā)展的必然趨勢(shì)。無(wú)論是從短期發(fā)展利益與長(zhǎng)期發(fā)展戰(zhàn)略來(lái)看，信息安全管理都是醫(yī)院信息化建設(shè)中不可忽視的一個(gè)關(guān)鍵問(wèn)題，具體來(lái)看，加強(qiáng)信息安全管理的建設(shè)在醫(yī)院信息化建設(shè)中的作用主要體現(xiàn)在以下幾個(gè)方面：（1）有利于醫(yī)院戰(zhàn)略目標(biāo)的制定與實(shí)施。在市場(chǎng)競(jìng)爭(zhēng)環(huán)境下，醫(yī)院應(yīng)從長(zhǎng)遠(yuǎn)發(fā)展出發(fā)，制定切實(shí)可行的發(fā)展戰(zhàn)略，戰(zhàn)略目標(biāo)是否科學(xué)在很大程度上取決于醫(yī)院信息質(zhì)量的高低，而加強(qiáng)信息安全管理、保證信息整體質(zhì)量能夠?yàn)獒t(yī)院戰(zhàn)略管理提供必要依據(jù)，從而提高戰(zhàn)略目標(biāo)的可行性，確保戰(zhàn)略實(shí)施效果。（2）有利于提高內(nèi)部信息交流與溝通效率。醫(yī)院內(nèi)部管理與運(yùn)行需要信息的有效溝通，各部門(mén)、各科室之間需要在真實(shí)、可靠的信息基礎(chǔ)上，履行自身職責(zé)，而加強(qiáng)信息安全管理，則能夠打破信息溝通阻礙，促進(jìn)信息管理效果，推動(dòng)醫(yī)院內(nèi)部各環(huán)節(jié)協(xié)調(diào)運(yùn)作，提高醫(yī)療服務(wù)水平。（3）有利于提高醫(yī)院內(nèi)部控制效果。在市場(chǎng)競(jìng)爭(zhēng)環(huán)境下，加強(qiáng)內(nèi)部控制是市場(chǎng)主體獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的前提，在醫(yī)院內(nèi)部控制中，財(cái)務(wù)管理處于核心地位，而在信息化財(cái)務(wù)背景下，提高財(cái)務(wù)信息質(zhì)量，確保財(cái)務(wù)信息安全是提高財(cái)務(wù)管理水平的重要依據(jù)，也是優(yōu)化醫(yī)院內(nèi)部資源配置，提升管理質(zhì)量的基本要求。（4）有利于優(yōu)化醫(yī)院內(nèi)部管理流程。醫(yī)院加強(qiáng)信息安全管理，能夠有效保證信息的可靠性與兼容性，并確保醫(yī)療、財(cái)務(wù)等關(guān)鍵數(shù)據(jù)的靈活傳遞，深化內(nèi)部工作流程改革，提高數(shù)據(jù)分析與審核效率，推動(dòng)醫(yī)院管理工作的有序落實(shí)。（5）有利于推動(dòng)醫(yī)療機(jī)構(gòu)之間的信息共享。構(gòu)建安全、可靠的信息管理體系，能夠拓寬并優(yōu)化醫(yī)院之間信息交流渠道，并形成統(tǒng)一化的信息呈現(xiàn)方式，實(shí)現(xiàn)信息共享，增進(jìn)醫(yī)療衛(wèi)生機(jī)構(gòu)之間合作交流，提高我國(guó)醫(yī)療衛(wèi)生整體水平。

3 醫(yī)院信息安全管理的建設(shè)中存在的問(wèn)題及其原因

根據(jù)調(diào)查統(tǒng)計(jì)，目前醫(yī)療衛(wèi)生行業(yè)已經(jīng)成為信息安全管理的“重災(zāi)區(qū)”，信息泄露、信息失真、信息丟失、未授權(quán)登錄等問(wèn)題，對(duì)醫(yī)院醫(yī)療數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、管理數(shù)據(jù)等重要信息的傳輸與應(yīng)用造成了嚴(yán)重的威脅。造成醫(yī)院信息安全管理問(wèn)題的原因是多方面：（1）近年來(lái)，在醫(yī)院信息化管理的驅(qū)動(dòng)下，病歷電子化、醫(yī)院遠(yuǎn)程問(wèn)診等業(yè)務(wù)不斷拓展，患者的病例逐漸由紙質(zhì)信息轉(zhuǎn)化為數(shù)字信息，越來(lái)越多的醫(yī)療數(shù)據(jù)連接入網(wǎng)，而在網(wǎng)絡(luò)這個(gè)復(fù)雜而開(kāi)放的環(huán)境中，信息安全風(fēng)險(xiǎn)自然也隨之增加。（2）醫(yī)院相關(guān)人員缺乏信息安全管理意識(shí)，例如護(hù)理人員登錄醫(yī)療系統(tǒng)后，對(duì)用戶名和密碼記錄缺乏保護(hù)意識(shí)，離開(kāi)電腦，系統(tǒng)依然處于登錄狀態(tài)，為信息泄露造成了可乘之機(jī);多名醫(yī)護(hù)人員共用賬號(hào)，這不僅增加了信息安全風(fēng)險(xiǎn)，也增加了信息安全管理追責(zé)的難度;財(cái)務(wù)人員對(duì)財(cái)務(wù)會(huì)計(jì)信息管理缺乏重視，在信息傳遞過(guò)程中沒(méi)有進(jìn)行必要的保護(hù)。（3）醫(yī)院信息安全管理制度不健全，一些醫(yī)院在信息化建設(shè)方面對(duì)信息安全管理缺乏系統(tǒng)規(guī)范，或者即使制定了相關(guān)規(guī)范，但是在實(shí)際執(zhí)行過(guò)程中也缺乏嚴(yán)格監(jiān)督，導(dǎo)致信息安全管理制度形同虛設(shè)。（4）醫(yī)院信息系統(tǒng)安全等級(jí)低，例如醫(yī)療系統(tǒng)、財(cái)務(wù)系統(tǒng)對(duì)常見(jiàn)的信息風(fēng)險(xiǎn)抵御能力不足，難以實(shí)現(xiàn)智能化識(shí)別、地域與升級(jí)，一旦遭遇黑客的暴力破解、撞庫(kù)、釣魚(yú)郵件、木馬病毒、SQL注入等攻擊，就會(huì)產(chǎn)生嚴(yán)重的信息泄漏事故?；诖耍t(yī)院應(yīng)重新確認(rèn)信息安全管理對(duì)自身信息化建設(shè)以及提高醫(yī)療衛(wèi)生服務(wù)質(zhì)量的作用，并從多角度出發(fā)，落實(shí)信息安全管理責(zé)任，完善信息安全管理體系。

4 醫(yī)院信息安全管理建設(shè)的相關(guān)策略

4.1 立足整體發(fā)展，建設(shè)醫(yī)院信息安全管理制度

醫(yī)院信息安全管理建設(shè)需要系統(tǒng)完善的制度保障，醫(yī)院應(yīng)根據(jù)國(guó)家相關(guān)規(guī)定，以及自身的發(fā)展需要，制定其實(shí)可行的信息安全管理制度。從宏觀角度來(lái)看，醫(yī)院應(yīng)明確信息安全管理的基本思想，并制定綜合管理目標(biāo)，確定制度實(shí)施的基本依據(jù)與總體方針;針對(duì)各流程、各科室的信息化管理要求確定信息安全管理方式;同時(shí)定期對(duì)信息安全管理制度的實(shí)施情況進(jìn)行審核與評(píng)估，不斷調(diào)整完善信息化管理內(nèi)容，提高安全管理效果。從微觀角度來(lái)看，醫(yī)院應(yīng)深入信息安全管理細(xì)節(jié)，對(duì)藥品、醫(yī)療器械地采購(gòu)，對(duì)信息軟件的開(kāi)發(fā)與利用，對(duì)電子交付系統(tǒng)的管理等，以保證信息安全管理滲透到醫(yī)院內(nèi)部運(yùn)行的方方面面。

4.2 加強(qiáng)組織建設(shè)，落實(shí)醫(yī)院信息安全管理職責(zé)

醫(yī)院在信息安全管理過(guò)程中，應(yīng)建立專門(mén)的信息管理機(jī)構(gòu)，設(shè)置安全管理崗位，明確安全管理職責(zé)，以不斷優(yōu)化醫(yī)院信息系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境。醫(yī)院在信息安全管理組織架構(gòu)中，應(yīng)著重強(qiáng)調(diào)安全管理員的崗位職責(zé)，如每月對(duì)醫(yī)院的信息系統(tǒng)進(jìn)行一次安全掃描，每半年對(duì)醫(yī)院信息系統(tǒng)進(jìn)行一次風(fēng)險(xiǎn)評(píng)估;對(duì)醫(yī)療系統(tǒng)、財(cái)務(wù)系統(tǒng)中登錄的用戶進(jìn)行嚴(yán)格審核，對(duì)可疑用戶將信息傳遞給系統(tǒng)管理員，并相應(yīng)處理;對(duì)信息安全系統(tǒng)進(jìn)行檢測(cè)，模擬口令破解，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞，并與系統(tǒng)管理員及時(shí)溝通，彌補(bǔ)系統(tǒng)漏洞，對(duì)安全系數(shù)較高的系統(tǒng)口令進(jìn)行修改，并通知系統(tǒng)管理員，提高系統(tǒng)安全管理效果。

4.3 引入信息系統(tǒng)，優(yōu)化醫(yī)院信息安全管理細(xì)節(jié)

信息系統(tǒng)的引入與運(yùn)行是醫(yī)院信息化管理的必要前提，也是維護(hù)信息安全的重要依據(jù)。醫(yī)院應(yīng)根據(jù)自身發(fā)展需要科學(xué)選擇專業(yè)軟件，并根據(jù)安全管理制度深入管理細(xì)節(jié)，提高醫(yī)院信息安全運(yùn)行效率。例如醫(yī)院可以引入多元化的身份識(shí)別系統(tǒng)，利用圖片密碼、指紋識(shí)別、人臉識(shí)別、OTP動(dòng)態(tài)口令等進(jìn)行身份認(rèn)證，確定用戶身份，提高系統(tǒng)安全系數(shù);完善醫(yī)院內(nèi)網(wǎng)，建立安全隔離，利用IT管理員對(duì)內(nèi)網(wǎng)系統(tǒng)進(jìn)行構(gòu)建，并將服務(wù)器、云主機(jī)、VPN、Wi-Fi、路由器、IT系統(tǒng)管理員等整合成系統(tǒng)，以實(shí)現(xiàn)對(duì)醫(yī)療隱私數(shù)據(jù)的保護(hù)，提高醫(yī)院管理秩序。

4.4 加強(qiáng)數(shù)據(jù)挖掘，確保醫(yī)院信息數(shù)據(jù)安全運(yùn)行

在大數(shù)據(jù)背景下，醫(yī)院數(shù)據(jù)的整合、分析與利用成為醫(yī)院實(shí)現(xiàn)轉(zhuǎn)型與發(fā)展，提高醫(yī)療衛(wèi)生服務(wù)質(zhì)量的重要思路。大數(shù)據(jù)利用的前提是信息安全、可靠，因此，醫(yī)院應(yīng)加強(qiáng)信息化建設(shè)，推動(dòng)大數(shù)據(jù)平臺(tái)構(gòu)建，為數(shù)據(jù)分析提供條件。例如，美國(guó)目前就利用Dignity Health健康系統(tǒng)，對(duì)海量的醫(yī)療數(shù)據(jù)進(jìn)行挖掘，將臨床數(shù)據(jù)庫(kù)與社交、行為模式建立聯(lián)系，并推動(dòng)數(shù)據(jù)信息共享，為個(gè)人及群體制定科學(xué)合理的醫(yī)療規(guī)劃。我國(guó)可以從中汲取經(jīng)驗(yàn)，利用醫(yī)療信息化發(fā)展趨勢(shì)，構(gòu)建專業(yè)數(shù)據(jù)平臺(tái)，將患者信息納入平臺(tái)中來(lái)，利用智能系統(tǒng)建立分析模型，進(jìn)而主動(dòng)提供醫(yī)療服務(wù)，提高信息利用價(jià)值，提升醫(yī)療衛(wèi)生服務(wù)水平。

4.5 加強(qiáng)人員培養(yǎng)，提高醫(yī)院信息安全管理效果

信息安全管理主體是人，在醫(yī)院信息化建設(shè)中，應(yīng)注重對(duì)內(nèi)部人員培養(yǎng)，從信息安全意識(shí)到安全管理技能，進(jìn)行系統(tǒng)培訓(xùn)與構(gòu)建，提高其適應(yīng)信息化管理環(huán)境的能力，強(qiáng)化信息安全管理責(zé)任。如對(duì)于醫(yī)護(hù)人員應(yīng)定期進(jìn)行信息安全管理培訓(xùn)，豐富其信息安全管理知識(shí)，指出日常工作中可能造成信息泄露、信息丟失等行為，提高其規(guī)范自身行為，保證信息安全的主動(dòng)性;加強(qiáng)職業(yè)道德引導(dǎo)，將信息安全管理能力作為評(píng)估醫(yī)護(hù)人員職業(yè)能力的重要指標(biāo)，并建立嚴(yán)格的信息安全管理追責(zé)系統(tǒng)，以提高其參與信息安全管理的主動(dòng)性。

5 結(jié)束語(yǔ)

總之，信息安全管理是信息化時(shí)代醫(yī)院運(yùn)行發(fā)展過(guò)程中需要面臨的重要問(wèn)題。信息化建設(shè)固然能夠提高醫(yī)院的醫(yī)療服務(wù)水平，但是其中存在的信息安全隱患與不容小覷。針對(duì)此，醫(yī)院應(yīng)加強(qiáng)信息安全管理，全面分析影響信息安全的多方面因素，并多管齊下，彌補(bǔ)信息安全漏洞，完善信息管理體系，不斷提升醫(yī)院信息化建設(shè)水平。

參考文獻(xiàn)：

[1] 許耀文.信息安全管理的建設(shè)在醫(yī)院信息化建設(shè)中的作用探討[J].現(xiàn)代經(jīng)濟(jì)信息，2018（08）：160.

[2] 褚建明.淺析信息安全管理在醫(yī)院信息化建設(shè)中的作用[J].計(jì)算機(jī)產(chǎn)品與流通，2017（12）：160.

[3] 王麗娜，趙利敏，張東軍.信息安全管理的建設(shè)在醫(yī)院信息化建設(shè)中的作用[J].電腦知識(shí)與技術(shù)，2017，13（02）：41-43.

【通聯(lián)編輯：代影】