醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理控制分析

于金濤

【關(guān)鍵詞】醫(yī)院;計(jì)算機(jī);信息安全;風(fēng)險(xiǎn)管理控制

當(dāng)前信息技術(shù)發(fā)展迅速，計(jì)算機(jī)作為信息技術(shù)的分支已經(jīng)成為人們?nèi)粘９ぷ骱蜕畹闹匾M成部分，促進(jìn)著社會(huì)各行各業(yè)的發(fā)展。目前在現(xiàn)代化醫(yī)院中應(yīng)用計(jì)算機(jī)技術(shù)可以改變傳統(tǒng)醫(yī)院中需要大量耗費(fèi)人力的工作模式，從而在節(jié)約人力成本的同時(shí)，還大幅度提高醫(yī)院的工作效率。與此同時(shí)，在利用計(jì)算機(jī)辦公時(shí)也存在著一定的信息泄露風(fēng)險(xiǎn)，因此醫(yī)院方面需加強(qiáng)計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理的控制，努力保障醫(yī)療信息安全，謹(jǐn)遵以患者為中心的宗旨[1]，保護(hù)患者的資料、信息。本文將從當(dāng)前醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理存在的缺陷入手，提出相關(guān)的風(fēng)險(xiǎn)管理控制策略。

（一）醫(yī)院整體忽視計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性

現(xiàn)階段，我國大部分醫(yī)院在建設(shè)過程中通常將建設(shè)重點(diǎn)放在醫(yī)療設(shè)備的優(yōu)化以及醫(yī)護(hù)人員的素質(zhì)方面，而忽視了計(jì)算機(jī)網(wǎng)絡(luò)安全在醫(yī)院安全風(fēng)險(xiǎn)管理中的地位。因此，醫(yī)院內(nèi)部存在患者資料泄露、醫(yī)療信息被非法盜取等安全問題，在嚴(yán)重侵犯患者權(quán)益的同時(shí)，也對醫(yī)院造成了巨大的損失。近年來，隨著信息泄露問題頻發(fā)，以及人們思想觀念的提升，社會(huì)各行各業(yè)越來越關(guān)注計(jì)算機(jī)信息安全。醫(yī)院存儲(chǔ)著大量患者隱私信息和醫(yī)療信息，更應(yīng)提高醫(yī)院整體對計(jì)算機(jī)信息安全的重視。

（二）信息安全管理缺乏明確落實(shí)

目前，大多數(shù)醫(yī)院在信息安全管理方面并沒有做出明確的指示，包括無明確的信息安全管理部門和信息安全管理人員。其中，在一些醫(yī)院中，醫(yī)護(hù)人員缺乏責(zé)任感，認(rèn)為信息安全管理應(yīng)當(dāng)所屬信息管理部門，與醫(yī)護(hù)人員無直接聯(lián)系，缺乏對信息安全管理的重視[2]。但實(shí)際上，醫(yī)護(hù)人員與信息安全二者之間的關(guān)系是相輔相成，緊密相關(guān)的。信息安全對醫(yī)護(hù)人員而言是有益的，同時(shí)醫(yī)護(hù)人員也要努力承擔(dān)起信息安全保護(hù)的義務(wù)，做好信息安全保護(hù)的守護(hù)者。然而現(xiàn)如今大多數(shù)醫(yī)院仍然會(huì)忽視對醫(yī)護(hù)人員的信息安全教育，從而進(jìn)一步導(dǎo)致醫(yī)護(hù)人員對信息安全知識(shí)的掌握不充分，信息安全管理并未落實(shí)到位。

（三）缺乏信息安全技術(shù)保障

通常計(jì)算機(jī)存在的信息安全問題大多都是以黑客入侵以及人為泄露信息為主，同時(shí)還伴隨存在一些意外信息安全事故，如信息泄露。最常見的信息泄露主要出現(xiàn)在一些醫(yī)院將用過的電池或者信息平臺(tái)混合使用，造成信息安全的泄漏引發(fā)進(jìn)一步的信息安全隱患。目前，隨著信息技術(shù)的應(yīng)用越來越廣泛，醫(yī)院的信息系統(tǒng)呈現(xiàn)多種集成網(wǎng)格結(jié)構(gòu)，患者在手機(jī)終端就可以進(jìn)行掛號、繳費(fèi)等就診步驟，而這些信息化的步驟就導(dǎo)致醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)環(huán)節(jié)增加，可以被攻擊的渠道也會(huì)隨之增加。而一些黑客想要成功進(jìn)入醫(yī)院網(wǎng)絡(luò)系統(tǒng)內(nèi)部就可以從多個(gè)環(huán)節(jié)入手，打入醫(yī)院信息內(nèi)部。并且，隨著信息技術(shù)的普及，黑客所掌握的系統(tǒng)攻擊也不斷發(fā)展，病毒感染能力越來越強(qiáng)，而一些醫(yī)院由于缺乏信息安全技術(shù)作為保障，一旦感染就會(huì)導(dǎo)致醫(yī)院信息系統(tǒng)的全面癱瘓，破壞正常的工作流程，對醫(yī)院造成嚴(yán)重的損失[3]。

（一）加強(qiáng)醫(yī)院內(nèi)部人員對信息安全的重視

醫(yī)院要真正落實(shí)信息安全責(zé)任，首先要改變內(nèi)部人員的思想，即信息安全并不是由信息管理部門單獨(dú)負(fù)責(zé)的，而是醫(yī)護(hù)工作者共同的責(zé)任和義務(wù)。為提高醫(yī)護(hù)工作者對信息安全管理的重視，醫(yī)院可以定期舉辦信息安全講座，讓專家學(xué)者為醫(yī)護(hù)人員講述信息安全的重要性，從而建立醫(yī)院內(nèi)部工作者的信息安全意識(shí)，將信息安全意識(shí)深深根植于醫(yī)院內(nèi)部工作者的內(nèi)心。同時(shí)，為保證醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理順利開展，還需要健全計(jì)算機(jī)信息安全管理制度作為保障。醫(yī)院在管理過程中可以將醫(yī)護(hù)人員進(jìn)行分組并選取信息安全負(fù)責(zé)組組長，以此對全院醫(yī)護(hù)人員進(jìn)行管理，負(fù)責(zé)人需要做好領(lǐng)頭羊的工作，自覺承擔(dān)起信息安全管理責(zé)任，并定期對該階段內(nèi)出現(xiàn)的信息安全問題進(jìn)行總結(jié)分析，做好后續(xù)的部署管理工作[4]。因此，醫(yī)院內(nèi)部要保證每一位醫(yī)護(hù)人員都重視計(jì)算機(jī)信息安全管理，讓每一位醫(yī)護(hù)人員都提高對信息安全風(fēng)險(xiǎn)管理的重視，避免信息泄露問題的出現(xiàn)。

（二）強(qiáng)化信息安全技術(shù)保障

在計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理中，強(qiáng)化信息安全技術(shù)保障是信息安全風(fēng)險(xiǎn)管理的必要手段。為此，醫(yī)院內(nèi)部可以通過建立雙核心網(wǎng)絡(luò)結(jié)構(gòu)強(qiáng)化信息安全保障。構(gòu)建雙核心網(wǎng)絡(luò)架構(gòu)之所以能夠保證網(wǎng)絡(luò)傳輸?shù)男?，是因?yàn)殡p核心網(wǎng)絡(luò)構(gòu)架是由兩臺(tái)核心交換機(jī)進(jìn)行工作，其優(yōu)點(diǎn)在于當(dāng)其中一臺(tái)核心交換機(jī)出現(xiàn)故障時(shí)，另一臺(tái)依然能夠運(yùn)轉(zhuǎn)且不受影響，維持正常工作運(yùn)行。因此，建立雙核心網(wǎng)絡(luò)架構(gòu)能夠在不影響醫(yī)院信息系統(tǒng)正常運(yùn)行的同時(shí)，為技術(shù)人員爭取系統(tǒng)維修的時(shí)間，有效提升醫(yī)院網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性。同時(shí)加強(qiáng)計(jì)算機(jī)軟件維護(hù)，能夠提高計(jì)算機(jī)系統(tǒng)的防御能力。因?yàn)殡S著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒的形式呈現(xiàn)多樣化的發(fā)展趨勢，只有加強(qiáng)信息安全技術(shù)保障來抵御病毒入侵才是最好的維護(hù)信息系統(tǒng)的辦法。為此，醫(yī)院內(nèi)部應(yīng)當(dāng)建立數(shù)據(jù)檔案，即在對數(shù)據(jù)進(jìn)行日常分析的同時(shí)及時(shí)抵御所出現(xiàn)的病毒，從而有效防止病毒的入侵。

（三）建立健全信息安全管理制度

醫(yī)院內(nèi)部若想明確落實(shí)信息安全責(zé)任，應(yīng)當(dāng)建立信息安全管理制度。具體而言，建立信息安全管理制度前提在于建立專門的信息安全監(jiān)察組，其中監(jiān)察組內(nèi)的成員是由醫(yī)院各科室的相關(guān)負(fù)責(zé)人構(gòu)成，他們的主要職責(zé)是監(jiān)督信息系統(tǒng)操作是否規(guī)范，并定期與信息安全監(jiān)督工作人員進(jìn)行交流，對發(fā)現(xiàn)的問題及時(shí)進(jìn)行處理和總結(jié)，從而提高信息系統(tǒng)的安全性[5]。信息安全管理制度在制定過程中還包括對操作規(guī)范的管理，有些醫(yī)院出現(xiàn)信息安全泄露以及病毒入侵等問題多半是由于不按規(guī)范操作所致，因此需要加強(qiáng)對操作規(guī)范的管理。在健全信息安全管理制度時(shí)要對不同的數(shù)據(jù)進(jìn)行分級管理，數(shù)據(jù)資料要嚴(yán)格按照操作規(guī)范進(jìn)行整理，且專門安排專業(yè)的檢查小組定期對服務(wù)器進(jìn)行維護(hù)，判斷服務(wù)器的運(yùn)行狀況，并對服務(wù)器中出現(xiàn)的問題進(jìn)行記錄。

綜上所述，醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理控制工作并不是一個(gè)獨(dú)立部門的工作，需要醫(yī)院內(nèi)部所有醫(yī)務(wù)工作者共同合作，從根本上提高醫(yī)院內(nèi)部人員對信息安全管理的重視、同時(shí)建立健全一整套的信息安全管理制度，只有這樣才能保護(hù)好患者的信息安全，進(jìn)一步提高醫(yī)院的工作效率，避免信息泄露風(fēng)險(xiǎn)的出現(xiàn)。