徐王權，姚樂融，李 銳，柴 靜

（安徽醫(yī)科大學衛(wèi)生管理學院，安徽 合肥 230032）

2009 年，國家已經(jīng)正式推出新的醫(yī)療衛(wèi)生體制改革，將衛(wèi)生信息化工作列為支撐國家醫(yī)改的“四梁八柱”的“八柱”之一，是新醫(yī)改過程中著重推進的基礎性工作。十三五期間，衛(wèi)生信息化被納入國家重點發(fā)展領域。隨著《國家信息化發(fā)展綱要》《健康中國2030 規(guī)劃綱要》《國務院促進大數(shù)據(jù)發(fā)展行動綱要》等文件的陸續(xù)出臺，有力地推動了我國衛(wèi)生信息化的發(fā)展進程。與此同時，醫(yī)療信息安全問題也日漸突出。斯洛登事件以后，我國政府將信息與網(wǎng)絡空間安全上升到了國家戰(zhàn)略層面，明確沒有網(wǎng)絡空間的安全，就沒有國家的安全。在衛(wèi)生領域，醫(yī)療信息安全事關患者的個人隱私和生命健康，備受政府及衛(wèi)生部門的重視，并制定了醫(yī)療機構信息系統(tǒng)安全等級保護條例，用以指導其信息安全建設工作。2019 年國家更是將醫(yī)療信息安全保護要求寫入《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》中，用法律的形式規(guī)范醫(yī)療信息安全保護的責任與義務[1]。然而，大量信息安全研究文獻和實踐工作證實人是實現(xiàn)信息安全的關鍵因素[2]。而作為醫(yī)療信息的生產(chǎn)者和使用者，一線醫(yī)護人員在醫(yī)療機構信息安全工作中扮演中極為重要的角色。他們的醫(yī)療信息安全素養(yǎng)的高低，直接影響著醫(yī)療信息的安全程度，及可能給社會帶來的影響，對其進行信息安全素養(yǎng)的評價顯得尤為重要，目前還沒有統(tǒng)一的評價指標體系。因此，制定一套適合醫(yī)護人員的醫(yī)療信息安全素養(yǎng)評價指標顯得尤為重要。本文結合醫(yī)護人員在執(zhí)業(yè)過程中面臨的信息安全風險，構建了醫(yī)護人員信息安全素養(yǎng)評價指標體系，旨在輔助培養(yǎng)醫(yī)護人員的信息安全能力。

1 信息安全素養(yǎng)的研究現(xiàn)狀

針對不同行業(yè)的特征，學者探討了行業(yè)從業(yè)人員的信息安全素養(yǎng)的內(nèi)涵及評價指標體系。劉楓[3]分析了大學生信息安全素養(yǎng)存在的問題，并提出了形成大學生信息安全素養(yǎng)的相應的措施和注意事項。羅力[4]闡述了國民信息安全素養(yǎng)的含義，并制定了國民信息安全素養(yǎng)指標體系，指出國民信息安全素養(yǎng)是在信息化、網(wǎng)絡化環(huán)境下，國民對信息安全的認識，以及對信息安全所表現(xiàn)出的各種綜合能力，包括信息安全意識、信息安全知識、信息倫理道德和信息安全能力等具體內(nèi)容。隨后馬明田等[5]對軍隊人員的信息安全素養(yǎng)進行研究，并研制了軍隊人員的信息安全素養(yǎng)的評價指標體系。還有部分學者將信息安全素養(yǎng)的研究對象拓展到了企業(yè)員工，對企業(yè)員工的信息安全素養(yǎng)的含義和要求進行界定[6]。而對醫(yī)護人員的醫(yī)療信息安全素養(yǎng)評價指標體系的研究目前尚未見報道。

2 醫(yī)護人員信息安全素養(yǎng)的內(nèi)涵

信息安全素養(yǎng)源自信息素養(yǎng)的概念和內(nèi)容，指的是在信息化條件下，人們對信息安全的認識，以及對信息安全所表現(xiàn)出來的各種綜合能力，包括信息安全意識、信息安全知識、信息安全能力、信息倫理道德等具體內(nèi)容[7]。具體到醫(yī)藥衛(wèi)生領域，醫(yī)護人員的信息安全素養(yǎng)除了應該具備共性的特征外，還應具備衛(wèi)生行業(yè)特有的要求。在醫(yī)療衛(wèi)生體系中，醫(yī)護人員既是醫(yī)療信息的生產(chǎn)者又是使用者，其核心目標是保障診療信息的安全和保護患者的隱私。傳統(tǒng)環(huán)境下，醫(yī)護人員職業(yè)場所為醫(yī)院診室，環(huán)境相對單一，實現(xiàn)上述核心目標較為容易。隨著互聯(lián)網(wǎng)在醫(yī)藥衛(wèi)生領域的深入應用，衛(wèi)生行業(yè)出現(xiàn)了多種新業(yè)態(tài)，如互聯(lián)網(wǎng)醫(yī)院、遠程醫(yī)療、線上問診、區(qū)域衛(wèi)生信息平臺、手機醫(yī)療APP 等，導致醫(yī)護人員的執(zhí)業(yè)環(huán)境變得多樣且復雜。從線下手工作業(yè)到醫(yī)生工作站信息系統(tǒng)，從醫(yī)院的局域網(wǎng)絡到開放的互聯(lián)網(wǎng)絡，從固定職業(yè)場所到移動手機客戶端，醫(yī)護人員面臨的醫(yī)療信息安全風險正在急劇增加。如何在多樣復雜的環(huán)境下保護醫(yī)療信息安全和患者的隱私，這就對醫(yī)護人員的信息安全素養(yǎng)提出了更高針對性的要求，同時也進一步豐富了醫(yī)護人員信息安全素養(yǎng)的內(nèi)涵。

3 醫(yī)護人員信息安全素養(yǎng)體系設計

3.1 行為分階段轉變理論模型 行為分階段轉變理論模型（TTM）是行為改變的一種策略和方法，又稱為“行為分階段轉變交叉理論模型”，是由美國心理學教授普羅察斯卡（prochaska）在1983 年首次提出。TTM 模型的理論基礎是社會心理學，著眼于行為變化的過程及對象的需求。TTM 模型認為：人的行為改變不是一次性的事件，而是一個復雜的、漸進的、連續(xù)的過程。此過程可分為五個階段：打算轉變前階段、打算轉變階段、準備行動階段、行動階段、鞏固階段[8]。實踐證明行為分階段轉變模型具有良好的效果，在國際學術界得到普遍認可，因而成為國際上應用十分廣泛的行為改變理論模型之一。

3.2 基于行為分階段轉變理論的醫(yī)護人員信息安全素養(yǎng)指標體系 醫(yī)護人員信息安全素養(yǎng)指標的制定主要有四個步驟：第一步，行為分階段轉變理論模型指導下，依據(jù)模型中打算轉變前階段、打算轉變階段、準備行動階段、行動階段、鞏固階段等五個階段，將醫(yī)護人員信息安全素養(yǎng)劃分為信息安全意識、信息安全需求、信息安全知識、信息安全處置和信息安全行為維持等五個維度，圖1；第二步，梳理在健康信息化背景下醫(yī)護人員可能的執(zhí)業(yè)場景，主要包含八類：線下醫(yī)院、互聯(lián)網(wǎng)醫(yī)院、遠程醫(yī)療、衛(wèi)生直報平臺、區(qū)域信息平臺、醫(yī)療APP、醫(yī)療網(wǎng)站及科研工作室；第三步，針對每類場景，詳細分析醫(yī)護人員可能面臨的醫(yī)療信息安全威脅，如弱口令、釣魚網(wǎng)站、病毒、數(shù)據(jù)未脫敏和紙質(zhì)病歷作廢資料處理不當?shù)鹊龋坏谒牟?，為應對這些威脅，分析醫(yī)護人員應該具備的知識與技能，進而推導出信息安全素養(yǎng)的條目，見表1。

圖1 行為分階段轉變理論與信息安全素養(yǎng)維度

表1 醫(yī)護人員信息安全素養(yǎng)評價指標體系

表1 （續(xù)）

4 總結

醫(yī)療信息的安全事關我國衛(wèi)生事業(yè)信息化的發(fā)展，受到政府和衛(wèi)生部門的高度重視。除了醫(yī)療機構建設的信息安全保障體系外，醫(yī)護人員的行為對醫(yī)療信息安全有著極為重要的影響。建立醫(yī)護人員信息安全素養(yǎng)評價指標體系，評估其信息安全素養(yǎng)水平，找出弱項與短板，有針對的進行宣傳與培養(yǎng)，對維護醫(yī)療信息安全有著極為重要的意義。