朱松陽

隨著社會信息管理的處理，信息收集，分析和應(yīng)用成為決定個人和研究機構(gòu)競爭力的重要資產(chǎn)。在加強人力資源培訓(xùn)和研發(fā)的基礎(chǔ)上，公共投資有很多，以控制社會信息管理的副作用。由于醫(yī)院直接收集，使用和存儲與個人隱私相關(guān)的個人信息和健康信息，因此信息泄露，偽造和偽造的風(fēng)險比任何其他機構(gòu)更嚴重。保護個人健康信息的行為對醫(yī)院和患者都非常重要。確保醫(yī)療信息的機密性是醫(yī)療行為持續(xù)性的基本條件。因此，醫(yī)院應(yīng)該根據(jù)規(guī)則，法規(guī)和醫(yī)療法規(guī)向醫(yī)院收集，使用，披露和存儲個人健康信息的患者展示可靠性。國內(nèi)醫(yī)院通過“醫(yī)療服務(wù)法”，“公共機構(gòu)維護個人信息保護法”和“信息通信網(wǎng)絡(luò)利用和信息保護促進法”等保護個人健康信息。但是，僅適用于部分醫(yī)療服務(wù)人員，并不涵蓋醫(yī)院所有使用醫(yī)療信息系統(tǒng)的人員。此外，還不足以滿足公眾對信息保護的要求。

為了滿足信息安全的要求，醫(yī)院應(yīng)建立并實施信息安全管理系統(tǒng)（ISMS）。它確保了醫(yī)院信息資產(chǎn)的穩(wěn)定性和可靠性，并保證醫(yī)療信息的機密性，完整性和可用性。然而，由于缺乏反映醫(yī)療服務(wù)特點的標準化ISMS，因此很難將現(xiàn)有的ISMS應(yīng)用于醫(yī)療信息系統(tǒng)。信息安全和醫(yī)療中心和患者都可能面臨嚴重的風(fēng)險。因此，需要立即在醫(yī)院建立安全性，因此需要國家一級與個人健康信息保護和安全相關(guān)的標準。

一、醫(yī)院網(wǎng)絡(luò)安全問題簡介

為了控制和維護信息資產(chǎn)的保護，需要作為識別信息資產(chǎn)和評估風(fēng)險的基礎(chǔ)的信息資產(chǎn)分類。資產(chǎn)管理，資產(chǎn)責(zé)任控制和信息分類的平均比例分別為32.7%，31.6%和34.3%。資產(chǎn)管理被分析為ISMS中最脆弱的條款。幾乎沒有分類指導(dǎo)原則，這是建立醫(yī)院信息安全管理對策的基礎(chǔ)。在制定和管理醫(yī)院的資產(chǎn)清單方面不足。在資產(chǎn)管理子控制中資產(chǎn)所有權(quán)最不充分。涉及員工，承包商和第三方用戶等醫(yī)院的人員應(yīng)了解信息保護的責(zé)任，醫(yī)院應(yīng)建立終止或變更工作程序，以及培訓(xùn)全體員工的教育和評估時間表。人力資源安全分數(shù)的平均百分比為61.8%，其中“就業(yè)前”得分最低（52.8%）。在就業(yè)前審查考慮，甄別政策適度實施（77.1%），但角色和責(zé)任的分控制，就業(yè)條款和條件并不是很高。在終止或變更工作的情況下，醫(yī)院完成了資產(chǎn)歸還和取消準人權(quán)的分控制，但是沒有標準的終止或變更工作程序。醫(yī)院建立了信息安全教育培訓(xùn)計劃，但沒有詳細的目標和內(nèi)容。一些醫(yī)院實施信息安全教育和培訓(xùn)，這不是基于具體的計劃。

二、醫(yī)院計算機維護問題及對策

為了避免不適當(dāng)?shù)娜松硗ǖ?，?yīng)確定并規(guī)定安全區(qū)域，并規(guī)定處置和重新使用設(shè)備，清除財產(chǎn)和設(shè)備外部安全。物理和環(huán)境安全分數(shù)，安全區(qū)域控制和設(shè)備安全分數(shù)的平均百分比分別為69.1%，52.8%和82.2%。物理安全邊界和物理入境控制分別需要得到控制。沒有辦公室的入口日志，即使在信息資產(chǎn)集中的數(shù)據(jù)處理部門也是如此。公共訪問和交付被證明是次要控制中最容易受到影響的。只有當(dāng)醫(yī)院的設(shè)備安全水平相對較高，布線安全管理水平較高時才能應(yīng)對上述問題。但是可能包含個人健康信息的設(shè)備已被不當(dāng)使用并重新使用。

為確保醫(yī)療信息系統(tǒng)的安全運行，應(yīng)根據(jù)移動代碼等信息技術(shù)趨勢建立對策和操作程序。通信和運營管理得分的平均百分比為62.1%。最脆弱的控制是第三方服務(wù)交付。信息備份處于中等水平，但監(jiān)控媒體處理防范惡意和移動代碼的能力不足。在操作程序和責(zé)任方面，包含非常重要信息的醫(yī)療信息系統(tǒng)的網(wǎng)絡(luò)安全管理不受控制。對移動代碼（如Active-X和媒體處理）的安全漏洞缺乏認識。特別是可移動媒體的管理不妥善管理。對于監(jiān)控，時鐘同步管理得很好，但管理員和操作員日志的級別以及日志信息的保護程度都很低。

為了避免控制未經(jīng)授權(quán)的訪問和控制對信息的訪問權(quán)限，應(yīng)該配備訪問控制。訪問控制，移動計算，遠程工作和用戶責(zé)任控制得分的平均百分比分別為68.6%，47.0%和52.0%，與其他控制類別相比，其平均比例不足。訪問控制應(yīng)該建立在識別商業(yè)計劃的信息和風(fēng)險以及分析安全需求的基礎(chǔ)上。然而，醫(yī)院并沒有為這些事情準備條例和指導(dǎo)方針。醫(yī)療信息系統(tǒng)包括重要的個人健康信息應(yīng)與互聯(lián)網(wǎng)分開，但有些醫(yī)院并沒有將個人醫(yī)療記錄與身體或邏輯網(wǎng)絡(luò)分開。在移動計算和遠程工作方面，遠程醫(yī)療有很多需求，但由于安全問題，現(xiàn)在它也不被允許。

三、網(wǎng)絡(luò)安全管理系統(tǒng)的問題及對策

安全是信息系統(tǒng)不可或缺的組成部分，因此安全要求應(yīng)該通過信息系統(tǒng)的獲取，開發(fā)和維護等各個環(huán)節(jié)來驗證。信息系統(tǒng)獲取，開發(fā)和維護，密碼控制控制和信息系統(tǒng)安全需求的平均百分比分別為65.8%，49.5%和533%。技術(shù)漏洞管理比例為55.0%。在信息系統(tǒng)獲取和開發(fā)的情況下，網(wǎng)絡(luò)加密不適用。包含患者個人健康信息的測試數(shù)據(jù)被用于信息系統(tǒng)的獲取，開發(fā)和更改，并且沒有適當(dāng)?shù)剡M行審查。

對于合法性，醫(yī)院應(yīng)審查現(xiàn)行的信息安全法律法規(guī)。遵守法規(guī)要求，符合法律要求，但知識產(chǎn)權(quán)（IPR）尤其是軟件知識產(chǎn)權(quán)管理不足。應(yīng)定期審查是否遵守安全政策和標準，但不存在用于檢查技術(shù)合規(guī)性的法規(guī)或準則。信息系統(tǒng)審計結(jié)果和后續(xù)行動已經(jīng)實施，但信息系統(tǒng)審計計劃處于較低水平。

在管理方面，醫(yī)院應(yīng)根據(jù)內(nèi)部和外部變化審查現(xiàn)有政策并配備詳細的政策文件，包括聲明，法規(guī)，指導(dǎo)等。此外，還需要組織一支信息安全團隊，其信息安全角色和職責(zé)明確。新員工的聘用合同文件應(yīng)包含信息保護的責(zé)任，醫(yī)院應(yīng)建立終止或變更雇傭的程序。以及確保教育和評估時間表來培訓(xùn)所有員工。隨著醫(yī)院業(yè)務(wù)效率和成本效益的外包增加，第三方協(xié)議應(yīng)提出安全要求。為了遵守規(guī)定，嚴格加強對知識產(chǎn)權(quán)的限制。

隨著技術(shù)的不斷增加，技術(shù)漏洞的范圍和水平需要定期確定和審查。盡管醫(yī)院的災(zāi)難恢復(fù)系統(tǒng)沒有針對安全事件行為和業(yè)務(wù)連續(xù)性的強制性規(guī)定，但需要安全事件處理系統(tǒng)。此外，跟蹤安全事件以及防止它們也很重要。災(zāi)難恢復(fù)系統(tǒng)的成本非常高，因此需要對其規(guī)模進行適當(dāng)?shù)臏y量。對于改進信息安全條款不足以驗證的成本和人力來說，這可能是一個很大的負擔(dān)。然而，有必要在醫(yī)院建立ISMS，以確?；颊叩男湃?，確保他們的隱私，并為各種目的安全使用醫(yī)療記錄。最重要的是實施ISMS的意愿，并嘗試以長期和全面的視角來滿足信息安全的國際標準，并定期對其進行審核。醫(yī)院可以從可行的安全要求（如制定政策和法規(guī)或補充安全缺陷）來處理信息安全。這是是非常必要的。