于金濤
【關(guān)鍵詞】醫(yī)院;計(jì)算機(jī);信息安全;風(fēng)險(xiǎn)管理控制
當(dāng)前信息技術(shù)發(fā)展迅速,計(jì)算機(jī)作為信息技術(shù)的分支已經(jīng)成為人們?nèi)粘9ぷ骱蜕畹闹匾M成部分,促進(jìn)著社會(huì)各行各業(yè)的發(fā)展。目前在現(xiàn)代化醫(yī)院中應(yīng)用計(jì)算機(jī)技術(shù)可以改變傳統(tǒng)醫(yī)院中需要大量耗費(fèi)人力的工作模式,從而在節(jié)約人力成本的同時(shí),還大幅度提高醫(yī)院的工作效率。與此同時(shí),在利用計(jì)算機(jī)辦公時(shí)也存在著一定的信息泄露風(fēng)險(xiǎn),因此醫(yī)院方面需加強(qiáng)計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理的控制,努力保障醫(yī)療信息安全,謹(jǐn)遵以患者為中心的宗旨[1],保護(hù)患者的資料、信息。本文將從當(dāng)前醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理存在的缺陷入手,提出相關(guān)的風(fēng)險(xiǎn)管理控制策略。
(一)醫(yī)院整體忽視計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性
現(xiàn)階段,我國大部分醫(yī)院在建設(shè)過程中通常將建設(shè)重點(diǎn)放在醫(yī)療設(shè)備的優(yōu)化以及醫(yī)護(hù)人員的素質(zhì)方面,而忽視了計(jì)算機(jī)網(wǎng)絡(luò)安全在醫(yī)院安全風(fēng)險(xiǎn)管理中的地位。因此,醫(yī)院內(nèi)部存在患者資料泄露、醫(yī)療信息被非法盜取等安全問題,在嚴(yán)重侵犯患者權(quán)益的同時(shí),也對醫(yī)院造成了巨大的損失。近年來,隨著信息泄露問題頻發(fā),以及人們思想觀念的提升,社會(huì)各行各業(yè)越來越關(guān)注計(jì)算機(jī)信息安全。醫(yī)院存儲(chǔ)著大量患者隱私信息和醫(yī)療信息,更應(yīng)提高醫(yī)院整體對計(jì)算機(jī)信息安全的重視。
(二)信息安全管理缺乏明確落實(shí)
目前,大多數(shù)醫(yī)院在信息安全管理方面并沒有做出明確的指示,包括無明確的信息安全管理部門和信息安全管理人員。其中,在一些醫(yī)院中,醫(yī)護(hù)人員缺乏責(zé)任感,認(rèn)為信息安全管理應(yīng)當(dāng)所屬信息管理部門,與醫(yī)護(hù)人員無直接聯(lián)系,缺乏對信息安全管理的重視[2]。但實(shí)際上,醫(yī)護(hù)人員與信息安全二者之間的關(guān)系是相輔相成,緊密相關(guān)的。信息安全對醫(yī)護(hù)人員而言是有益的,同時(shí)醫(yī)護(hù)人員也要努力承擔(dān)起信息安全保護(hù)的義務(wù),做好信息安全保護(hù)的守護(hù)者。然而現(xiàn)如今大多數(shù)醫(yī)院仍然會(huì)忽視對醫(yī)護(hù)人員的信息安全教育,從而進(jìn)一步導(dǎo)致醫(yī)護(hù)人員對信息安全知識(shí)的掌握不充分,信息安全管理并未落實(shí)到位。
(三)缺乏信息安全技術(shù)保障
通常計(jì)算機(jī)存在的信息安全問題大多都是以黑客入侵以及人為泄露信息為主,同時(shí)還伴隨存在一些意外信息安全事故,如信息泄露。最常見的信息泄露主要出現(xiàn)在一些醫(yī)院將用過的電池或者信息平臺(tái)混合使用,造成信息安全的泄漏引發(fā)進(jìn)一步的信息安全隱患。目前,隨著信息技術(shù)的應(yīng)用越來越廣泛,醫(yī)院的信息系統(tǒng)呈現(xiàn)多種集成網(wǎng)格結(jié)構(gòu),患者在手機(jī)終端就可以進(jìn)行掛號、繳費(fèi)等就診步驟,而這些信息化的步驟就導(dǎo)致醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)環(huán)節(jié)增加,可以被攻擊的渠道也會(huì)隨之增加。而一些黑客想要成功進(jìn)入醫(yī)院網(wǎng)絡(luò)系統(tǒng)內(nèi)部就可以從多個(gè)環(huán)節(jié)入手,打入醫(yī)院信息內(nèi)部。并且,隨著信息技術(shù)的普及,黑客所掌握的系統(tǒng)攻擊也不斷發(fā)展,病毒感染能力越來越強(qiáng),而一些醫(yī)院由于缺乏信息安全技術(shù)作為保障,一旦感染就會(huì)導(dǎo)致醫(yī)院信息系統(tǒng)的全面癱瘓,破壞正常的工作流程,對醫(yī)院造成嚴(yán)重的損失[3]。
(一)加強(qiáng)醫(yī)院內(nèi)部人員對信息安全的重視
醫(yī)院要真正落實(shí)信息安全責(zé)任,首先要改變內(nèi)部人員的思想,即信息安全并不是由信息管理部門單獨(dú)負(fù)責(zé)的,而是醫(yī)護(hù)工作者共同的責(zé)任和義務(wù)。為提高醫(yī)護(hù)工作者對信息安全管理的重視,醫(yī)院可以定期舉辦信息安全講座,讓專家學(xué)者為醫(yī)護(hù)人員講述信息安全的重要性,從而建立醫(yī)院內(nèi)部工作者的信息安全意識(shí),將信息安全意識(shí)深深根植于醫(yī)院內(nèi)部工作者的內(nèi)心。同時(shí),為保證醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理順利開展,還需要健全計(jì)算機(jī)信息安全管理制度作為保障。醫(yī)院在管理過程中可以將醫(yī)護(hù)人員進(jìn)行分組并選取信息安全負(fù)責(zé)組組長,以此對全院醫(yī)護(hù)人員進(jìn)行管理,負(fù)責(zé)人需要做好領(lǐng)頭羊的工作,自覺承擔(dān)起信息安全管理責(zé)任,并定期對該階段內(nèi)出現(xiàn)的信息安全問題進(jìn)行總結(jié)分析,做好后續(xù)的部署管理工作[4]。因此,醫(yī)院內(nèi)部要保證每一位醫(yī)護(hù)人員都重視計(jì)算機(jī)信息安全管理,讓每一位醫(yī)護(hù)人員都提高對信息安全風(fēng)險(xiǎn)管理的重視,避免信息泄露問題的出現(xiàn)。
(二)強(qiáng)化信息安全技術(shù)保障
在計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理中,強(qiáng)化信息安全技術(shù)保障是信息安全風(fēng)險(xiǎn)管理的必要手段。為此,醫(yī)院內(nèi)部可以通過建立雙核心網(wǎng)絡(luò)結(jié)構(gòu)強(qiáng)化信息安全保障。構(gòu)建雙核心網(wǎng)絡(luò)架構(gòu)之所以能夠保證網(wǎng)絡(luò)傳輸?shù)男?,是因?yàn)殡p核心網(wǎng)絡(luò)構(gòu)架是由兩臺(tái)核心交換機(jī)進(jìn)行工作,其優(yōu)點(diǎn)在于當(dāng)其中一臺(tái)核心交換機(jī)出現(xiàn)故障時(shí),另一臺(tái)依然能夠運(yùn)轉(zhuǎn)且不受影響,維持正常工作運(yùn)行。因此,建立雙核心網(wǎng)絡(luò)架構(gòu)能夠在不影響醫(yī)院信息系統(tǒng)正常運(yùn)行的同時(shí),為技術(shù)人員爭取系統(tǒng)維修的時(shí)間,有效提升醫(yī)院網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性。同時(shí)加強(qiáng)計(jì)算機(jī)軟件維護(hù),能夠提高計(jì)算機(jī)系統(tǒng)的防御能力。因?yàn)殡S著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)病毒的形式呈現(xiàn)多樣化的發(fā)展趨勢,只有加強(qiáng)信息安全技術(shù)保障來抵御病毒入侵才是最好的維護(hù)信息系統(tǒng)的辦法。為此,醫(yī)院內(nèi)部應(yīng)當(dāng)建立數(shù)據(jù)檔案,即在對數(shù)據(jù)進(jìn)行日常分析的同時(shí)及時(shí)抵御所出現(xiàn)的病毒,從而有效防止病毒的入侵。
(三)建立健全信息安全管理制度
醫(yī)院內(nèi)部若想明確落實(shí)信息安全責(zé)任,應(yīng)當(dāng)建立信息安全管理制度。具體而言,建立信息安全管理制度前提在于建立專門的信息安全監(jiān)察組,其中監(jiān)察組內(nèi)的成員是由醫(yī)院各科室的相關(guān)負(fù)責(zé)人構(gòu)成,他們的主要職責(zé)是監(jiān)督信息系統(tǒng)操作是否規(guī)范,并定期與信息安全監(jiān)督工作人員進(jìn)行交流,對發(fā)現(xiàn)的問題及時(shí)進(jìn)行處理和總結(jié),從而提高信息系統(tǒng)的安全性[5]。信息安全管理制度在制定過程中還包括對操作規(guī)范的管理,有些醫(yī)院出現(xiàn)信息安全泄露以及病毒入侵等問題多半是由于不按規(guī)范操作所致,因此需要加強(qiáng)對操作規(guī)范的管理。在健全信息安全管理制度時(shí)要對不同的數(shù)據(jù)進(jìn)行分級管理,數(shù)據(jù)資料要嚴(yán)格按照操作規(guī)范進(jìn)行整理,且專門安排專業(yè)的檢查小組定期對服務(wù)器進(jìn)行維護(hù),判斷服務(wù)器的運(yùn)行狀況,并對服務(wù)器中出現(xiàn)的問題進(jìn)行記錄。
綜上所述,醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理控制工作并不是一個(gè)獨(dú)立部門的工作,需要醫(yī)院內(nèi)部所有醫(yī)務(wù)工作者共同合作,從根本上提高醫(yī)院內(nèi)部人員對信息安全管理的重視、同時(shí)建立健全一整套的信息安全管理制度,只有這樣才能保護(hù)好患者的信息安全,進(jìn)一步提高醫(yī)院的工作效率,避免信息泄露風(fēng)險(xiǎn)的出現(xiàn)。