史海波 姚 鋒*

醫(yī)院信息化的快速發(fā)展，提高了各種醫(yī)療行為效率，促進醫(yī)療質(zhì)量的提高，醫(yī)院的各項工作也越來越依賴于信息化系統(tǒng)的存在。醫(yī)院信息化系統(tǒng)涉及合作、遠程協(xié)助等多個醫(yī)院、多個機構(gòu)間的合作，使醫(yī)院信息化系統(tǒng)與外界網(wǎng)絡相連，同時醫(yī)院信息化系統(tǒng)還涉及患者、醫(yī)師、藥房及后勤等多種信息，其安全運行是保障醫(yī)院工作順利開展的前提。醫(yī)院信息化系統(tǒng)具有24 h運行的特點，對安全性管理的標準要求更高[1]。本研究基于安全管理體系在醫(yī)院信息化系統(tǒng)中的實踐進行觀察分析，為醫(yī)院信息化系統(tǒng)的安全保障提供新選擇。

1 醫(yī)院信息化系統(tǒng)信息安全問題與安全管理體系

針對醫(yī)院信息化系統(tǒng)安全制定的安全管理體系主要包括兩方面：安全管理層面和安全技術(shù)層面，其中安全技術(shù)層面又分為醫(yī)院信息化系統(tǒng)物理安全和醫(yī)院信息化系統(tǒng)數(shù)據(jù)安全。

1.1 信息安全管理問題與對策

調(diào)查發(fā)現(xiàn)安全管理層面存在的問題主要有：安全管理資金投入不足、安全管理責任不明確、考核機制不完善以及工作人員對信息安全重視程度不足?；诖?，在安全管理層面的對策主要是：①幫助醫(yī)院選擇相對高效低廉的工作系統(tǒng)及網(wǎng)絡硬件，運用更少的人力物力維護更安全的醫(yī)院信息化系統(tǒng)；②實施分組責任制，明確各組的工作內(nèi)容和維護范圍及責任，定期考核工作人員的信息化系統(tǒng)工作，獎罰分明，對出現(xiàn)的問題加以杜絕；③分批次對醫(yī)院工作人員進行培訓，強調(diào)信息安全對醫(yī)院正常運行的重要性，提高工作人員對醫(yī)院信息安全的重視，做到在工作中不故意泄露相關(guān)信息，并互相監(jiān)督。

1.2 加強醫(yī)院信息化系統(tǒng)物理安全

系統(tǒng)的物理安全主要涉及醫(yī)院信息化系統(tǒng)相關(guān)設備設施的物理保護，主要有：①信息化系統(tǒng)的硬件維護，避免因硬件損壞引起醫(yī)院數(shù)據(jù)、信息丟失和泄露；②信息化系統(tǒng)硬件質(zhì)量的高低決定系統(tǒng)的物理安全，對關(guān)鍵的硬件設備由專人看護，記錄設備運行情況，發(fā)現(xiàn)異常及時處理，進行冗余備份，做到關(guān)鍵設備損壞時可以隨時替換；③機房等外來人員進入應申請和登記，做到防風、防火、防震；④對機房進行分區(qū)域管理，維護機房環(huán)境，保持穩(wěn)定的溫度、濕度、防塵和防靜電等；⑤配備電子門禁系統(tǒng)和滅火系統(tǒng)，制定值班制度，保證機房24 h管理。

1.3 加強醫(yī)院信息化系統(tǒng)數(shù)據(jù)安全

數(shù)據(jù)安全主要包括醫(yī)院相關(guān)數(shù)據(jù)的完整性、保密性和安全性。①網(wǎng)絡的完整性，主要是將醫(yī)院的內(nèi)網(wǎng)和外網(wǎng)做出適當?shù)倪B接，保證內(nèi)網(wǎng)和外網(wǎng)連接的安全性，可以采用兩種方式進行醫(yī)院內(nèi)網(wǎng)與外部網(wǎng)絡的連接，即虛擬專用網(wǎng)聯(lián)合防火墻和防火墻聯(lián)合網(wǎng)閘，使用防火墻過濾網(wǎng)絡攻擊和實施訪問控制，使用網(wǎng)閘確保數(shù)據(jù)按照擺渡的方式交換[2]；②做好病毒防護，約80%的醫(yī)院網(wǎng)絡故障是因計算機病毒入侵引起，做好病毒防護是保障醫(yī)院信息化系統(tǒng)完整性的關(guān)鍵，病毒防護措施最初主要有隔離內(nèi)外網(wǎng)、拆除軟盤光驅(qū)等，目前因病毒傳播速度加快、更新頻繁，主要依靠網(wǎng)絡殺毒軟件等，也可在防火墻上添加殺毒軟件，過濾病毒，達到“雙向過濾”的作用[3]；③確保數(shù)據(jù)完整，數(shù)據(jù)安全還包括信息的完整性，要防止數(shù)據(jù)信息丟失、泄露等安全事件發(fā)生，還要有及時的技術(shù)手段將損壞或丟失的數(shù)據(jù)找回，醫(yī)院的信息數(shù)據(jù)關(guān)系到患者的隱私、健康和社會秩序，一旦泄露對患者和醫(yī)院將造成巨大損失，是醫(yī)院必須面對的問題[4]；④做好數(shù)據(jù)儲存，保護數(shù)據(jù)的完整性采用數(shù)據(jù)轉(zhuǎn)存、雙機熱備、服務器集群等措施來實現(xiàn)，醫(yī)院數(shù)據(jù)的多元性、并發(fā)性等特點決定了數(shù)據(jù)信息安全的安全防護方式復雜，醫(yī)院必須加強財力、人力的投入，選擇適合自身情況的防護方法[5]；⑤設置用戶賬號，醫(yī)生、護士對患者進行用藥、手術(shù)等治療時需要登錄相關(guān)用戶賬號，用戶賬號的信息安全從管理和技術(shù)兩個層面入手，管理上嚴格一人一號，嚴禁互相借用、亂用，技術(shù)層面上，辨別登錄操作系統(tǒng)和數(shù)據(jù)系統(tǒng)用戶的賬號密碼，核實其身份信息，設置用戶名、口令的難度，并隨時更換，若一定時間內(nèi)醫(yī)生護士沒有進行操作則自動退出系統(tǒng)，避免數(shù)據(jù)丟失，預防計算機黑客的威脅，保障網(wǎng)絡信息安全[6]；⑥安裝用戶端桌面管理系統(tǒng)，用戶端桌面系統(tǒng)的安全是醫(yī)院信息化系統(tǒng)的重要部分，在安全管理體系中占據(jù)重要位置，每個工作人員的電腦使用習慣不同、工作內(nèi)容不同和工作等級不同，在桌面系統(tǒng)中所儲存、轉(zhuǎn)移的信息也不同，會造成數(shù)據(jù)信息的紊亂和不安全，安裝用戶端桌面管理系統(tǒng)，實時監(jiān)測用戶端使用情況，禁止私人移動設備接入醫(yī)院內(nèi)網(wǎng)，避免私人移動設備將外網(wǎng)病毒感染至醫(yī)院內(nèi)網(wǎng)[7-8]。

1.4 制定醫(yī)院信息化系統(tǒng)安全應急預案

醫(yī)院信息化系統(tǒng)的安全管理體系關(guān)鍵點是要有合理的應急預案[9]。醫(yī)院信息化系統(tǒng)即使實施了多種安全防護措施，仍有可能出現(xiàn)不可預料的緊急情況而致醫(yī)院信息化系統(tǒng)中斷，采用應急預案實施應急模式下的工作流程，能夠?qū)p失降到最低[10]。具體應急預案由醫(yī)院各部門制定自身在緊急情況下的工作流程并上報信息部門，信息部門制定相應的信息化工作流程。在發(fā)生緊急情況導致醫(yī)院信息化系統(tǒng)出現(xiàn)故障時，發(fā)現(xiàn)人立即報告給部門管理人員，部門管理人員通知信息部門后，由信息部門排查故障原因并處理，在系統(tǒng)恢復之前醫(yī)院各部門按照事先制定好的應急措施保證正常工作的進行。

2 安全管理體系的應用評價研究

研究醫(yī)院的信息化系統(tǒng)，對醫(yī)院信息化系統(tǒng)實施安全管理，實施人員為嚴格培訓的專業(yè)人員和醫(yī)院信息化維護人員，評價應用效果。

2.1 安全問題分析

全面觀察分析醫(yī)院安全管理流程、管理制度是否完善；對醫(yī)院領導層面、臨床科室和輔助科室等工作人員進行問卷調(diào)查，主要調(diào)查各科室工作人員對醫(yī)院信息化系統(tǒng)安全的重視程度，調(diào)查醫(yī)院信息化系統(tǒng)技術(shù)情況，包括數(shù)據(jù)、網(wǎng)絡、硬件、軟件以及機房等存在的安全管理缺陷。對調(diào)查發(fā)現(xiàn)的安全管理問題進行歸納分析總結(jié)，制定針對性的安全管理體系。

2.2 觀察與評價指標

(1)醫(yī)院信息化系統(tǒng)安全保護能力。醫(yī)院信息部門對實施安全管理體系前后，信息化系統(tǒng)安全保護能力評價，分為高、中、低3個等級。

(2)信息安全事件發(fā)生率。實施安全管理體系前后12個月內(nèi)，醫(yī)院發(fā)生的所有安全事件中由信息安全問題引起的事件發(fā)生率。

2.3 統(tǒng)計學方法

采用SPSS 22.0軟件進行數(shù)據(jù)統(tǒng)計分析，計數(shù)資料用率表示，組間比較采用卡方檢驗，以P＜0.05為差異具有統(tǒng)計學意義。

3 安全管理體系應用結(jié)果

3.1 安全保護能力

實施安全管理體系前，65%的信息部門人員認為醫(yī)院信息安全保護能力低，實施安全管理體系后，僅20%的信息部門人員認為醫(yī)院信息安全保護能力低，實施安全管理體系實施前后，對醫(yī)院信息安全保護能力評價比較差異有統(tǒng)計學意義(x2=4.173，P＜0.05)。

表1 安全管理體系實施前后醫(yī)院信息化系統(tǒng)安全保護能力評價比較(人次)

3.2 信息安全事件發(fā)生率

實施安全管理體系前，信息安全事件發(fā)生率為29.37%，實施安全管理體系后，信息安全事件發(fā)生率為14.17%，前后比較差異有統(tǒng)計學意義(x2=7.590，P＜0.05)。

表2 醫(yī)院信息化系統(tǒng)信息安全事件發(fā)生率(次)

4 安全管理體系應用效果

醫(yī)院內(nèi)設門診、病房、收費、藥房、消毒供應室及后勤等多個部門，信息化系統(tǒng)涵蓋醫(yī)囑信息、護理信息、床位及病案信息、藥品出庫以及無菌物品發(fā)放信息等，數(shù)據(jù)龐大相對保密，具有實時性且共享，這對醫(yī)院信息化系統(tǒng)的穩(wěn)定運行和安全保障提出了更高的要求[11]。醫(yī)院信息系統(tǒng)主要是利用計算機和網(wǎng)絡來收集處理、傳輸各類臨床信息，對醫(yī)院工作流程的優(yōu)化、工作效率的提高具有重要的促進作用[12]。目前，約有80%的醫(yī)院實現(xiàn)了信息化管理，充分說明醫(yī)院信息化的重要性，但隨著醫(yī)院信息化的迅速發(fā)展，醫(yī)院信息化系統(tǒng)的安全現(xiàn)狀不容樂觀，常有因系統(tǒng)故障而引起的醫(yī)療安全事件發(fā)生[13-15]。制定一個安全可靠、科學合理的安全管理體系以規(guī)避醫(yī)院信息安全風險迫在眉睫。

醫(yī)院信息化系統(tǒng)的安全管理體系主要包括管理層面的安全防護和技術(shù)層面的物理安全、網(wǎng)絡安全、主機安全及數(shù)據(jù)安全等[16]。制定信息化系統(tǒng)的安全防護措施從管理層面的安全管理制度制定、物理層加強硬件安全設計、網(wǎng)絡層設計應用防火墻、系統(tǒng)層設計病毒防護、應用層設計用戶賬號管理等方面制定針對性的安全管理體系并實施后取得了滿意的效果，醫(yī)院工作人員的安全防護意識明顯提高，避免了人為因素造成的信息數(shù)據(jù)損失，醫(yī)院信息化工作人員責任明確，降低了信息安全事件發(fā)生率，極大地提高了醫(yī)院信息化系統(tǒng)的安全性，在醫(yī)院信息化系統(tǒng)中的應用前景廣泛。

5 結(jié)語

在醫(yī)院信息化建設中實施安全管理體系能夠顯著提高醫(yī)院信息化系統(tǒng)的保護能力，減少信息安全事件的發(fā)生，促進醫(yī)院信息化發(fā)展，有利于醫(yī)院管理水平的全面提升。