◆賴毅鋒

關(guān)于醫(yī)院信息安全管理工作的探討

◆賴毅鋒

（廣州市紅十字會醫(yī)院 廣東 510220）

醫(yī)院信息安全管理工作目的是保證醫(yī)院數(shù)據(jù)安全、保證醫(yī)院正常運營的關(guān)鍵。本文對醫(yī)院信息安全管理工作的問題進行分析探討。在簡單對醫(yī)院信息系統(tǒng)的特點進行分析后，結(jié)合過去工作中所遇到的實際問題，有針對性地提出醫(yī)院信息安全管理工作的改善措施，以供參考。

醫(yī)院管理；信息系統(tǒng)；安全管理；改善措施

隨著我國科學(xué)技術(shù)的發(fā)展，醫(yī)院信息化建設(shè)工作的不斷完善，國內(nèi)大型醫(yī)院的信息化建設(shè)已初具規(guī)模[1]，醫(yī)院的運營也離不開醫(yī)院的各種信息系統(tǒng)。但是近年信息安全態(tài)勢在全世界范圍內(nèi)發(fā)生了本質(zhì)上的變化，國家對信息安全也是高度重視，醫(yī)院信息安全工作面臨著空前的挑戰(zhàn)。日益增長的信息化需要和信息安全工作不平衡不充分的發(fā)展已成為醫(yī)院信息化建設(shè)工作的矛盾之一。醫(yī)院作為國家公共醫(yī)療資源，在當(dāng)前社會和媒體對醫(yī)療服務(wù)的高度關(guān)注下，如何落實醫(yī)院信息系統(tǒng)安全管理顯得尤為重要。

1 醫(yī)院信息系統(tǒng)的特點分析

首先，醫(yī)院信息系統(tǒng)符合信息系統(tǒng)的基本特征，由硬件、軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)、存儲設(shè)備、感知設(shè)備、人員以及把數(shù)據(jù)處理成信息的規(guī)程構(gòu)成，具備開放性、脆弱性、壯健性等特性。其次，醫(yī)院各種信息系統(tǒng)是醫(yī)院業(yè)務(wù)流的信息平臺，承載醫(yī)院醫(yī)療、藥品、耗材、財務(wù)、人力、后勤物資等多個環(huán)節(jié)的數(shù)據(jù)，這些數(shù)據(jù)具有高度真實性和敏感性。這些特有的復(fù)雜性使得醫(yī)院信息系統(tǒng)對實用、先進、開放、互聯(lián)、可靠、穩(wěn)定、安全等方面都有著較高的要求。

2 醫(yī)院信息安全管理工作面臨的問題

通過對工作總結(jié)分析，醫(yī)院信息安全問題主要體現(xiàn)在以下幾個方面：（1）信息系統(tǒng)本身的不安定因素。十全十美的信息系統(tǒng)是不存在的，信息系統(tǒng)均存在一定的安全問題，醫(yī)院的信息系統(tǒng)也不例外。在某種程度上，開放和安全之間，甚至是實用性和安全之間存在的矛盾經(jīng)常出現(xiàn)。在這樣的情況下，系統(tǒng)在對安全問題判定上就會存在紕漏，從而導(dǎo)致安全方面出現(xiàn)問題，甚至?xí)π畔⑾到y(tǒng)造成威脅。（2）對安全設(shè)備的過分依賴，忽視管理。時常發(fā)生設(shè)備有了，但問題依舊的情況。（3）醫(yī)院整體人員對信息安全意識不高。個別信息技術(shù)管理者不重視信息安全方面工作，對信息安全方面的溝通表現(xiàn)出可有可無的態(tài)度，甚至將毫不相干的問題歸咎到安全工作，而隨意叫?；蚋深A(yù)安全工作。

3 改善醫(yī)院信息安全管理工作的探討

個人認為要做好醫(yī)院信息安全管理，必須做好以下幾個方面的工作：

第一，做好信息安全的宣導(dǎo)、培訓(xùn)和教育工作，充分發(fā)揮醫(yī)院信息中心在這方面的職能。培訓(xùn)教育的目的不是要求全民皆專家、每人都是信息技術(shù)高手，而是旨在提高醫(yī)院整體人員在信息安全方面意識。自上而下提高全院的信息安全意識是保障醫(yī)院安全運營的一個先決條件，沒有安全意識一切工作都是徒勞。信息安全不是一個部門的工作，也不是某個人的職責(zé)，信息安全應(yīng)該貫穿于整個醫(yī)院，每個員工都需要承擔(dān)相關(guān)的義務(wù)和責(zé)任[2]，樹立正確的“誰主管、誰負責(zé)，誰使用、誰負責(zé)，誰運營、誰負責(zé)”的信息安全管理原則思想。

第二，三分技術(shù)、七分管理。醫(yī)院信息安全工作并不是一個單純的技術(shù)活動，更不是一堆設(shè)備的過程。在當(dāng)下的大環(huán)境，敵暗我明，漏洞層出不窮，以醫(yī)院自身的資源，拼技術(shù)顯得不切實際。有些文獻提到某些技術(shù)或某些設(shè)備已無現(xiàn)實意義。但本人認為，雖然技術(shù)有高低、設(shè)備有差異，可問題的本身并不在于某項技術(shù)或某款設(shè)備，而是在于是否有與之相配套的管理措施。任何技術(shù)或設(shè)備都有短板，即使再好的設(shè)備如果無人檢查、無人監(jiān)測也等同擺設(shè)。信息安全是動態(tài)的、無邊界的，不可能存在一種或多種技術(shù)組合能成功防御各種威脅。所以關(guān)鍵還是做好自身的管理工作。醫(yī)院要針對自身情況，建立形成相對完善的管理規(guī)范，使其能有效應(yīng)對來自內(nèi)部或外部的威脅。

第三，做好運維保障支撐工作。文獻[3]提到了系統(tǒng)補丁更新滯后的問題。出現(xiàn)這種現(xiàn)象，往往是老舊系統(tǒng)欠缺合理的更新或維護所造成系統(tǒng)無法適應(yīng)或使用新補丁。因此需要確保醫(yī)院的信息系統(tǒng)能得到有效的運維支撐，確保信息系統(tǒng)能在補丁環(huán)境下運行。如果因補丁導(dǎo)致系統(tǒng)無法正常使用，應(yīng)該立即評估系統(tǒng)本身的安全性，并做出相應(yīng)的調(diào)整，而盲目取消安裝補丁是可笑的。另外，巡檢、病毒防護、日志管理、文檔管理也是運維保障工作不可忽視的組成部分。我國的《網(wǎng)絡(luò)安全法》[4]已經(jīng)就日志的留存問題給出了明確的要求。文獻[5]已就安全設(shè)計、實施、管理實現(xiàn)、運行維護等多個方面給出指引，能為信息安全工作提供良好的標(biāo)桿。

第四，做好監(jiān)督與評審工作。近年勒索病毒層出不窮，業(yè)界的信息安全事件屢見不鮮，這不得不讓我們對過去的服務(wù)方式作出反思。這里做好監(jiān)督、評審是必不可少的一環(huán)。盡管醫(yī)院信息化建設(shè)是為廣大的患者、醫(yī)護人員服務(wù)的，但是有求必應(yīng)式的響應(yīng)一定要叫停。作為一個專業(yè)的信息技術(shù)從業(yè)人員，應(yīng)該對每一個信息化建設(shè)項目的分析報告、實施方案進行審核，從合規(guī)性的問題分析乃至應(yīng)用層次、網(wǎng)絡(luò)拓撲、中間件、數(shù)據(jù)庫的選擇都應(yīng)嚴(yán)格把關(guān)，而不是草草“同意”二字了事。

第五，做好數(shù)據(jù)保護工作。一方面，由于醫(yī)院數(shù)據(jù)有高度的真實性，所以歷來受到社會各類人員的青睞。另一方面，醫(yī)院數(shù)據(jù)能為醫(yī)院科研工作提供必要的支持?，F(xiàn)階段醫(yī)院的數(shù)據(jù)保護工作已經(jīng)不僅限于傳統(tǒng)的數(shù)據(jù)備份活動。如何有效保護醫(yī)院數(shù)據(jù)安全是一個不得不思考的問題。這里可以分為對外的防御控制和對內(nèi)使用的兩個層面工作。對外，做好邊界防護工作，并配合監(jiān)督審計，嚴(yán)控數(shù)據(jù)非法外流。對內(nèi)，1.建立數(shù)據(jù)使用的審批規(guī)程，做到數(shù)據(jù)使用要有依據(jù)；2.在滿足科研需求的情況下，應(yīng)遵循最少反饋原則；3.對于敏感信息，應(yīng)該進行加密或降維處理，使其無法直接讀取信息的物理意義，但又不影響分析工作；4.注意合規(guī)性的問題，依法依規(guī)嚴(yán)格控制數(shù)據(jù)流通活動。

第六，控制好信息安全工作的成本。有人認為對信息安全的投入是個無底洞，投入再多也未必有成效。雖然本人并不同意這些觀點，但是醫(yī)院的資源是有限的，任何一個項目都必須平衡成本效益。對于信息化建設(shè)項目，信息安全工作越早介入，項目成本越低。如果信息化建設(shè)項目在后期才關(guān)注安全問題必將導(dǎo)致開發(fā)成本或維護成本上升，而這些成本最終還是轉(zhuǎn)嫁給醫(yī)院自己。所以信息化建設(shè)項目要盡可能在可行性分析階段就引入信息安全的工作，做到“同步規(guī)劃、同步建設(shè)、同步使用”。

4 總結(jié)

在新時期，醫(yī)院信息化建設(shè)工作應(yīng)該在符合國家或上級部門對信息安全要求的前提下，圍繞著服務(wù)廣大的患者和滿足醫(yī)護人員工作需要進行開展。醫(yī)院信息安全管理工作應(yīng)以管理與技術(shù)相結(jié)合，為醫(yī)院信息系統(tǒng)的實用、先進、開放、互聯(lián)、可靠、穩(wěn)定、安全提供另一個維度的保障。

[1]李小華.醫(yī)療衛(wèi)生信息標(biāo)準(zhǔn)化技術(shù)與應(yīng)用[M].人民衛(wèi)生出版社，2016年12月第1版：86-91.

[2]注冊信息安全專業(yè)人員培訓(xùn)教材[Z].中國信息安全測評中心，2018年10月試用版V4.1：99.

[3]黃家旺.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理與維護[J].現(xiàn)代信息科技，2019，3（10）：162-163.

[4]中華人民共和國網(wǎng)絡(luò)安全法[Z].2016年11月7日發(fā)布：第二十一條.

[5] GB/T 22239-2019，信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[S].