姚愷愷

【摘 要】：醫(yī)院的業(yè)務(wù)流程與信息安全密不可分，信息化的發(fā)展為信息安全管理帶來挑戰(zhàn)，本文著眼醫(yī)院業(yè)務(wù)實際，探討當(dāng)今信息安全環(huán)境以及如何進行信息安全管理。

【關(guān)鍵詞】：信息安全管理、挑戰(zhàn)、信息安全環(huán)境

Abstract：The hospital business process is inseparable from information security. The development of informatization brings challenges to information security management .Focusing on the practice of the hospital business ，the paper probes into information security environment today and how to conduct information security management.

Keyword： information security management、 challenges、 information security environment

在信息化高速發(fā)展的今天，醫(yī)院業(yè)務(wù)與信息化密不可分，為了提高患者的就診效率，當(dāng)下多數(shù)醫(yī)院已建成HIS、LIS、PACS等系統(tǒng)，其范圍覆蓋全院的醫(yī)療業(yè)務(wù)。同時隨著互聯(lián)網(wǎng)行業(yè)和醫(yī)療行業(yè)的結(jié)合，越來越多的業(yè)務(wù)功能出現(xiàn)，例如：微信以及app上的掛號、繳費、取報告、預(yù)約檢查、處方查詢、費用查詢、遠程醫(yī)療等醫(yī)療活動[2]，線上線下就醫(yī)實現(xiàn)了高效結(jié)合。這些業(yè)務(wù)的開展意味著醫(yī)院信息系統(tǒng)與銀行平臺、互聯(lián)網(wǎng)平臺等開通了接口，以實現(xiàn)數(shù)據(jù)的交互。而醫(yī)院信息系統(tǒng)存儲著患者就醫(yī)的門診住院信息以及患者的個人信息。這些極具研究價值的信息，誘惑著外部人員通過入侵系統(tǒng)盜取資料獲得勒索贖金，同時內(nèi)部人員也可通過販賣信息而獲益。醫(yī)院信息系統(tǒng)與外部網(wǎng)絡(luò)的聯(lián)通給醫(yī)院的信息安全管理帶來了很多的挑戰(zhàn)，勒索病毒、信息安全保密、甚至是網(wǎng)絡(luò)的不穩(wěn)定性都會引發(fā)數(shù)據(jù)丟失、癱瘓等后果。因此，捍衛(wèi)醫(yī)院的信息安全不僅僅需要更加現(xiàn)代化的技術(shù)，更為緊迫的是制定嚴密的信息安全管理制度。

1 醫(yī)院信息安全存在的問題

1.1 醫(yī)院對信息安全重視程度低

當(dāng)代快節(jié)奏的生活方式對于醫(yī)療服務(wù)的要求越來越高，醫(yī)院面對這一現(xiàn)狀，不斷優(yōu)化醫(yī)院的業(yè)務(wù)系統(tǒng)。為提高醫(yī)院的服務(wù)質(zhì)量，醫(yī)院系統(tǒng)開通微信支付寶支付，網(wǎng)上預(yù)約等方便患者的措施，但是忽視了業(yè)務(wù)系統(tǒng)與外部網(wǎng)絡(luò)交互所帶來的風(fēng)險。相對于醫(yī)院急迫地想提升醫(yī)院的服務(wù)水平，信息安全明顯不受重視。

1.2信息安全考核制度不明確

在醫(yī)院的長期發(fā)展中，信息安全一直沒有受到應(yīng)有的關(guān)注，一些信息安全考核制度只是紙上談兵，落實到日常工作業(yè)務(wù)中力度就大打折扣。例如醫(yī)院工作人員沒有被強制要求遵守醫(yī)院的信息安全考核制度，失去了嚴厲的懲罰制度，信息安全考核制度的效力自然不足。此外，針對日常對于信息查詢有權(quán)限的工作人員的監(jiān)控和監(jiān)督仍存在較大的漏洞，這無疑又是增添了信息泄露的風(fēng)險。

1.3醫(yī)院信息安全保障技術(shù)不到位

由于醫(yī)院信息人員專業(yè)水平有限，針對專業(yè)的數(shù)據(jù)庫安全維護、服務(wù)器安全維護缺少強有力的技術(shù)支撐。面對突如其然的機房事故，如果無法及時有效的處理，就會造成數(shù)據(jù)的流失，造成信息安全事故。

那么針對以上問題，當(dāng)代醫(yī)院如何進行信息安全管理呢？筆者將從以下幾個方面進行分析討論：

2 人員管理及權(quán)限設(shè)置

2.1 加強信息科工作人員的工作能力和管理

醫(yī)院信息科工作人員需不斷學(xué)習(xí)新技術(shù)，加強對新近病毒和信息安全實況的了解，善于運用新技術(shù)為管理機房、數(shù)據(jù)庫、信息系統(tǒng)做好堅實的鋪墊。

2.2 加強醫(yī)務(wù)工作者的信息安全教育及權(quán)限設(shè)置

信息安全并不只是信息科工作人員的義務(wù)，應(yīng)是每位醫(yī)院工作人員的責(zé)任。每位醫(yī)務(wù)工作者都可接觸到患者的個人信息，由此更需要加強醫(yī)務(wù)工作者的職業(yè)道德建設(shè)，為信息安全筑牢第一道防線。例如醫(yī)院每年組織相關(guān)講座，以此提高醫(yī)務(wù)工作者的信息安全意識。此外，基于醫(yī)生、護士、醫(yī)技科室人員進行醫(yī)院業(yè)務(wù)操作離不開醫(yī)院信息系統(tǒng)的現(xiàn)實訴求，在使用過程中，以實際操作需要分為醫(yī)生站、護士站、醫(yī)技工作站等，再據(jù)崗位需要，合理分配用戶權(quán)限。例如主任和護士長的權(quán)限相對加大，可對多個病區(qū)進行操作。

3 機房管理，制定安全制度

建立機房巡查制度，對于每次巡檢進行記錄。嚴格按照機房標準，每次巡查都對機房的溫度、濕度、電磁、噪音、防塵、靜電和震動[3]都進行檢查記錄。中心機房應(yīng)配有雙路供電，配有大型ups，保證機房在斷電情況下還能繼續(xù)供電。

對于機房的服務(wù)器醫(yī)院可以聘請專業(yè)的技術(shù)公司，請他們有專業(yè)的技術(shù)人員，定期查看運行情況，備份服務(wù)器數(shù)據(jù)、及時安裝系統(tǒng)補丁，發(fā)現(xiàn)問題及時處理[1]。對于備用服務(wù)器與主服務(wù)器，要及時升級系統(tǒng)，面對突發(fā)情況可及時切換服務(wù)器，保證醫(yī)院業(yè)務(wù)的順利進行。

對于機房的管理需要制定相關(guān)的安全制度來保證信息安全，實行制度上墻，每位信息科工作人員和相關(guān)技術(shù)人員應(yīng)以該機房制度嚴格要求自己，完成機房的日常維護。

保證機房安全穩(wěn)定的運行，在一定程度上也保護了醫(yī)院的信息安全。

4 完善網(wǎng)絡(luò)安全建設(shè)

網(wǎng)絡(luò)是信息傳輸?shù)耐ǖ溃颗_電腦通過網(wǎng)絡(luò)進行數(shù)據(jù)調(diào)用和日常業(yè)務(wù)開展。因此，保證高速安全的網(wǎng)絡(luò)體系是建設(shè)信息安全的重要一步。我院現(xiàn)實行內(nèi)外網(wǎng)隔離，內(nèi)網(wǎng)對于U盤等移動存儲設(shè)備禁止使用，通過物理上網(wǎng)絡(luò)的隔離來護航信息傳輸。對于與外部網(wǎng)絡(luò)的交互則通過信息中心更為強大的網(wǎng)絡(luò)安全設(shè)備進行，由更加專業(yè)的網(wǎng)絡(luò)工程師進行管理，這樣形式區(qū)域信息網(wǎng)絡(luò)的建成為小醫(yī)院的網(wǎng)絡(luò)壓力減輕不少。

5 完善信息安全管理制度

信息安全設(shè)計軟硬件、網(wǎng)絡(luò)、設(shè)備各個方面，涉及到每位科室成員，因此需要結(jié)合自身的情況，制定一套完善的信息安全管理制度，并監(jiān)督落實。信息科需要制定機房管理制度，網(wǎng)絡(luò)安全制度等，使得日常的工作有制度可依。制定應(yīng)急預(yù)案，遇到信息安全問題時，每個科室采取什么行動都需了解并掌握。

結(jié)束語：

新的時代對于醫(yī)院的信息化要求不斷上升，這是場機遇，也是一個極大的挑戰(zhàn)。面對日益復(fù)雜的網(wǎng)絡(luò)世界，只有完善信息安全管理，著眼醫(yī)院實際，才能為患者提供一個安全、便捷的就醫(yī)環(huán)境。

參考文獻

趙潔.“新形勢下醫(yī)院信息安全管理”[J].電子技術(shù)與軟件工程，2019，24，168-169.

馮雅嫻，楊順心.““互聯(lián)網(wǎng)+醫(yī)療”背景下的醫(yī)院信息安全管理探析”[J].中國衛(wèi)生產(chǎn)業(yè)，2019，06，167.

王晨旭，李剛榮，吳昊.“淺談醫(yī)院信息安全管理”[J]。中國衛(wèi)生信息管理雜志，2011，05，33-35.