◆孫 超

?

信息安全管理體系下搭建移動醫(yī)療平臺實踐

◆孫 超

（湖北武漢長江日報報業(yè)集團 湖北 430015）

信息安全體系并不只有技術部分，同時還有管理部分。要確保醫(yī)療領域的信息安全，就必須要注重技術以及管理這兩部分的內容。本文對如何在信息安全管理體系下搭建移動醫(yī)療平臺進行了探討，為確保移動醫(yī)療平臺的信息安全提供借鑒。

信息安全；移動醫(yī)療平臺；用戶信息

0 引言

2019年初，筆者作為移動醫(yī)療創(chuàng)業(yè)（從業(yè)）者，參加了信息安全管理體系國家注冊審核員的培訓，了解和認識ISO/IEC 27000是從公司需要通過“信息安全管理體系認證”開始的，業(yè)內關于移動醫(yī)療過程中的各種安全問題的爭論從來就沒有停止過。系統(tǒng)遭受攻擊、用戶信息泄露、掛號接口被“技術黃?！卑哉嫉葠盒允录r有發(fā)生。冷靜分析，一來，同樣的"安全"二字，在醫(yī)療和技術領域，很多人的理解似乎不盡相同，二來，因為大家對安全的重視和知識信息的不足，所以某些被渲染的安全問題，比較容易造成保守型恐懼，導致創(chuàng)新受阻。

鑒于此，筆者結合多年在平臺安全上遇到的各種實踐經歷以及學習信息安全管理體系標準中的一些方法論，用相對容易理解的言語解釋一些安全領域的概念，供大家參考，互相交流。

1 安全的鍋不單單是技術來背

提及安全，醫(yī)療領域同行擔心最多的部分是信息泄露問題。這大概和大眾對IT信息系統(tǒng)了解較少有關，因此造成了對未知的恐懼。事實上，安全是一個完整的體系，包括了管理和技術兩部分。任何一部分的缺失或者漏洞都可能帶來安全隱患。2012年省會城市某大型三甲醫(yī)院的技術部曾發(fā)生病例病案泄露事件，當時技術部的一名員工把一張定期備份的用戶信息光盤賣給了某“大數(shù)據(jù)”公司，美其名曰做大數(shù)據(jù)挖掘，事后技術部解雇了該名員工，并立案量刑。這就是典型的管理安全范疇，醫(yī)療服務機構在前期的病歷信息管理不到位導致泄露造成不良影響。

對于移動醫(yī)療行業(yè)而言，有效的管理更是尤為重要。公司入職員工都應該簽訂相關醫(yī)療信息保密協(xié)議及競業(yè)條款，讓法律威懾倒逼企業(yè)行為標準。其二，醫(yī)療信息安全培訓，筆者曾經在公司做信息安全管理體系認證，需要反復多次管理人員（特別是中高管）和技術相關安全培訓，起到了很好的效果。幫助重要崗位的員工引導和加強安全意識。另外，相關操作規(guī)章制度、流程的建立，也是醫(yī)療信息安全的重要屏障。

事實上，在信息安全的幾個領域，除了技術安全能力、技術安全機制兩個直接相關的技術要求外，管理流程和物理防護兩大管理領域也是醫(yī)療安全方面的重要組成部分，必須加以重視。

2 是用戶信息重要還是內容信息重要

移動醫(yī)療創(chuàng)業(yè)者對信息安全保護的意識形成，是個逐步加強演進的過程，筆者周圍做這個門類的朋友也非常多，大多在創(chuàng)業(yè)之初，更加強調的是打磨產品、功能、獲取用戶信息，信息安全的重點也大多放在保護平臺的健壯性和用戶信息上面。隨著用戶的積累，隨之產生的內容信息將越來越多。類似于病例圖片、醫(yī)囑文字、病情描述內容，醫(yī)患聊天記錄、稿件的收藏、訂單信息等等。由于這些信息數(shù)量龐大，敏感度相對較低，安全保護級別往往被忽視。

但是，醫(yī)療領域這種被忽視的內容信息，其敏感度是遠遠大于用戶信息本身的，甚至更能體現(xiàn)用戶的隱私和健康趨勢。筆者認為，網(wǎng)絡信息的安全性和保證患者隱私對于醫(yī)療行業(yè)是至關重要的。在數(shù)據(jù)流及網(wǎng)絡通信中必須保證數(shù)據(jù)安全，保護患者的隱私。任何在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)都需要加密并且嚴格要求驗證用戶名、密碼等，任何下載行為需要符合醫(yī)療機構的網(wǎng)絡安全策略要求并且要求身份驗證，任何向第三方應用傳播數(shù)據(jù)的過程都需要用戶的親自授權。

與此同時，各醫(yī)療機構應該制定相關的信息安全保障機制和加強內部運作的監(jiān)控，無論是內聘的工作人員還是外招的醫(yī)療合作團隊和第三方合作機構，都應該進行相關的制度培訓。

3 相關的法律法規(guī)國家層面有待完善

移動醫(yī)療領域的信息安全，因為其多維度、高敏感，涉及民生安全，各國政府都在積極進行規(guī)范。即便是在這方面走在前頭的國家-美國，設立的“醫(yī)療保險便攜性和責任法案”（簡稱“HIPAA”）也存在行之無效的窘境。

美國健康和人類服務部公民權利辦公室衛(wèi)生信息隱私事務主任介紹：HIPAA本是用來保護醫(yī)療信息隱私的，但政府調查發(fā)現(xiàn)很多醫(yī)護人員把HIPAA用得有些過，以致患者的家庭成員、護理人員、公共衛(wèi)生官員和執(zhí)法人員都難以獲得所需要的信息。專家認為許多醫(yī)療機構并未真正理解該法案，也未對員工進行培訓以便嚴格而謹慎地執(zhí)行；有的醫(yī)護人員害怕受到罰款或蹲監(jiān)獄（盡管截止到目前還沒有人受到這些懲罰），因此寧愿對醫(yī)療信息用極端的方式進行保密。最普遍的是，執(zhí)行該法案時若遇到含糊不清的情況，許多既未透徹理解法案也未受過相應培訓的醫(yī)護人員都覺得說“不”比說“是”更穩(wěn)妥。

美國如此，中國如何呢？到目前為止，我國尚沒有一個比較系統(tǒng)性的法律法規(guī)來約束新互聯(lián)網(wǎng)環(huán)境下的醫(yī)療信息安全，只能從公司信息安全這個更高點或者說是更加廣域的范圍來討論這個事情。這也是為什么國內有安全意識的公司先會通過ISO信息安全管理認證及等級保護，然后再做HIPAA參照標準的原因。

2011年，國家衛(wèi)生部發(fā)布了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》，2013年國家開始了《移動終端安全保護技術要求》的制訂，該標準為包括移動醫(yī)療在內的移動應用設計的設計、開發(fā)、測試和評估提供了安全要求和評估準則。

2015年7月，國務院印發(fā)了《關于積極推進"互聯(lián)網(wǎng)+"行動的指導意見》，內容第一次以國家級文件明確支持第三方平臺構建醫(yī)學影像、健康檔案、檢驗報告、電子病歷等醫(yī)療信息共享服務平臺。

2018年4月，國務院辦公廳發(fā)布了《關于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》第一次明確了健康醫(yī)療大數(shù)據(jù)確權、開放、流通、交易和產權保護的法規(guī)。明確個人隱私信息保護制度，嚴格管理患者信息、用戶資料、基因數(shù)據(jù)等，對非法買賣、泄露信息行為依法依規(guī)予以懲處。只明確了責任單位分別有國家衛(wèi)生健康委員會、國家網(wǎng)信辦、工業(yè)和信息化部、公安部，但沒有明確執(zhí)行者和執(zhí)行標準。

相信后續(xù)會有更細致、更深入的法律新規(guī)產生，給行業(yè)從業(yè)企業(yè)更好的指引。

4 醫(yī)療信息安全人人有責

隨著移動互聯(lián)網(wǎng)技術的進步，民眾對移動設備的依賴，支付體系的完備、4G網(wǎng)絡的普及，越來越多的人群都逐步接受在移動終端上打理自己的醫(yī)療行為。阿里、騰訊、平安等巨頭都在大力布局大健康產業(yè)。往日就醫(yī)的十一個步驟，現(xiàn)在大多數(shù)已經可以轉移到線上，類似于診前輕問、預約掛號、在線支付繳費、建檔、取化驗單、取門診（住院）清單、配送藥品都已經實現(xiàn)移動在線操作。

“互聯(lián)網(wǎng)+醫(yī)療”的普及和倡導，涌現(xiàn)出一大批未來醫(yī)院、空中醫(yī)院和互聯(lián)網(wǎng)醫(yī)院。筆者斷言，未來每一家醫(yī)院都是互聯(lián)網(wǎng)醫(yī)院，每一家醫(yī)療機構都會插上“互聯(lián)網(wǎng)+”的翅膀，而這些非常個性化的虛擬場所，用戶的行為、意識都將決定個人隱私的安全與否。賬戶密碼的反暴力破解設置、敏感信息的脫敏、藥（商）品和科室名稱的隱私處理，數(shù)據(jù)集合的加密傳輸，都需要政府、平臺和用戶多方面的協(xié)力維護，才能確?！跋鄬Α卑踩?/p>

當然，安全永遠是個相對的話題，沒有絕對的安全，因為安全技術永遠都是滯后于黑客技術，就像反病毒軟件永遠之后病毒一樣，起初都是發(fā)現(xiàn)了被人攻擊，或者先發(fā)現(xiàn)了漏洞，才有何種針對的安全技術的誕生。行業(yè)、企業(yè)以及用戶都都需要提高自己的安全意識，優(yōu)化自己的知識架構，努力踐行保護信息安全的職責。

[1]朱鐵兵.構建安全可靠的信息系統(tǒng)[J].中國數(shù)字醫(yī)學, 2012(11).

[2]何萍, 楊佳泓, 湯兵勇, 等.醫(yī)聯(lián)預約服務平臺防控“技術號販”研究與應用[J].計算機應用與軟件, 2014(11).

[3]徐俊, 姚華彥, 何萍.移動醫(yī)療在醫(yī)聯(lián)應用中的信息安全管理[J].中國數(shù)字醫(yī)學, 2015(8):8-10.

[4]蝶帆弋湖. HIT專家網(wǎng)從醫(yī)療信息安全和隱私保護角度解讀HIPAA.

[5]楊巍, 范鋒, 鞠偉卿, 等.基于醫(yī)聯(lián)大數(shù)據(jù)的移動醫(yī)療APP實現(xiàn)與應用[J].中國數(shù)字醫(yī)學, 2015(8):5-7.

[6]孫琦.構建安全可靠的醫(yī)院信息化系統(tǒng)[J].中國信息界-e醫(yī)療, 2010(6).

[7]孫明東.淺談如何構建醫(yī)院計算機信息系統(tǒng)安全防范體系[J].科技創(chuàng)新與應用, 2016(23):90-90.