醫(yī)院信息系統(tǒng)信息安全等級保護的實施探討

張晨

摘要：伴隨著我國信息技術的不斷突破，信息技術的應用范圍也愈發(fā)廣泛。就目前來說，依據(jù)大數(shù)據(jù)技術，醫(yī)療系統(tǒng)也加大了對于信息系統(tǒng)的建設優(yōu)化力度，以此來更好地開展信息管理工作。伴隨著醫(yī)療機構(gòu)加大對于信息系統(tǒng)的建設力度，社會也對于信息的安全性提出了疑慮，要求醫(yī)療機構(gòu)需要加大對于信息安全的保護工作。同時我國也通過出臺一系列相應的指導意見及措施對于信息安全問題的重要性給予了肯定，由此可見，信息安全等級保護工作的對于我國信息化技術發(fā)展的重要價值。鑒于此背景，醫(yī)療機構(gòu)如何做好信息系統(tǒng)信息安全等級工作也成為相關從業(yè)人員急需解決的問題，以此來提升整體信息系統(tǒng)的安全性。該文針對當前醫(yī)院信息系統(tǒng)中的信息安全進行分析，闡述信息安全等級保護的核心價值，以此來確保系統(tǒng)的業(yè)務安全及信息安全的提升，并提出幾點合理化優(yōu)化建議，推動醫(yī)院信息系統(tǒng)的健康發(fā)展。

關鍵詞：醫(yī)院信息系統(tǒng);信息安全等級保護;實施建議

中圖分類號：TP311 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2021）32-0053-02

隨著我國信息技術及大數(shù)據(jù)技術的完善優(yōu)化，國家與社會都對于信息的安全保護加大了重視力度，安全信息等級保護機制也是我國最為基本的信息安全保障手段。就醫(yī)療行業(yè)來說，在醫(yī)療體制改革的推進下，現(xiàn)代化醫(yī)院的建設必然離不開信息系統(tǒng)的支撐，也成為保障醫(yī)院穩(wěn)定運營的重要手段。醫(yī)院的信息系統(tǒng)可以有效地保障醫(yī)院各項業(yè)務的正常開展。其次，醫(yī)院信息系統(tǒng)的不完善很有可能會導致系統(tǒng)故障的出現(xiàn)，會嚴重地阻礙醫(yī)院的各項業(yè)務開展，更為嚴重的情況甚至會導致患者無法得到及時的診治，錯失最佳時間，從而惡化醫(yī)患關系。另外，醫(yī)院的信息系統(tǒng)中保存著大量的患者個人信息，若是信息安全得不到保障造成個人信息外泄，勢必會影響到醫(yī)院的社會影響力[1]。由此可見，醫(yī)院的信息系統(tǒng)的穩(wěn)定性與安全性對于醫(yī)院的重要影響。因此加強對于醫(yī)院信息系統(tǒng)信息安全等級保護工作也成為當下時期社會對于醫(yī)療行業(yè)所提出的新要求。

1 信息安全等級保護概念

信息安全等級保護依據(jù)字面意思就是將所存儲的信息依據(jù)其重要性劃分等級，以此針對不同等級開展信息實時保護工作，核心目標就是對于隱私信息或重要信息給予整理、保護工作。在醫(yī)院信息系統(tǒng)中，受保護等級最高的信息就是一些國家級別的資料及社會群眾的個人重要信息，因此醫(yī)院的信息系統(tǒng)信息安全等級保護工作就是要依據(jù)不同的安全等級對所要給予保護的信息進行存儲、傳輸，同時再根據(jù)不同的安全等級進行相應的信息管理工作[2]。另一方面還需要針對信息存儲流程中的變更進行跟蹤管理，同時在發(fā)生信息安全突發(fā)事件時可以及時地進行合理的處置。開展信息安全等級保護工作還可以在確保信息安全的前提下，可以對安全問題進行妥善地解決，并為信息開展進行長效保存三個角度貫徹落實信息安全等級保護工作。當下，隨著計算機信息技術的不斷突破，各行各業(yè)都充分認識到其價值，借助計算機信息技術進行數(shù)據(jù)的傳遞與保存。因此必須加強對信息安全保護的重視程度，規(guī)避出現(xiàn)信息泄露等狀況的出現(xiàn)。隨著國家出臺的一系列的相關政策及指導意見，信息安全等級保護也愈發(fā)被社會各界所看重。在實際開展信息安全等級保護工作中，其發(fā)展也正在趨向于細節(jié)化、整體化、合理化、科技化等方向發(fā)展，不同的行業(yè)都有著不同的信息安全等級保護工作模式。尤其是對于醫(yī)療機構(gòu)來說，合理科學的信息安全等級保護工作可以確保整體醫(yī)院的正常運營，提升工作效率，降低醫(yī)患矛盾等問題。

2 醫(yī)院開展信息系統(tǒng)信息安全等級保護機制的必要性

當前我國對于信息的安全等級分為五個層次，其依據(jù)是有對信息系統(tǒng)造成損壞的程度由低到高依次劃分的。 在開展信息安全等級保護工作中，必須嚴格遵守自主保護、重點保護、同步規(guī)劃已經(jīng)實時調(diào)整等準則。就醫(yī)療行業(yè)來說，作為支柱主體，醫(yī)院的信息系統(tǒng)會存儲巨量的醫(yī)療信息，這些醫(yī)療信息不僅僅只有各個患者的個人重要信息，還有體量巨大醫(yī)學技術的實踐資料，如若出現(xiàn)信息泄露的情況，勢必會影響到醫(yī)院的社會影響力及社會職能[3]。因此醫(yī)院必須要加強對于信息安全等級保護的重視程度，以此來提升信息系統(tǒng)的安全性，規(guī)避出現(xiàn)醫(yī)院重要的醫(yī)療資料及患者的個人信息泄露情況，同時合理有效地降低相關信息在傳遞與提取過程中的安全隱患，更為直接地提升醫(yī)院的信息安全管理能力。其次，由于醫(yī)療健康行業(yè)的信息體量巨大，也導致了信息存儲及傳輸?shù)确矫娴睦щy程度，因此必須要借助科學的信息管理措施，保障醫(yī)院的各種信息可以有條不紊地傳輸及提取，提升在開展醫(yī)療救治工作中決策的準確性。另一個方面來看，借助計算機信息技術，也可以有對于醫(yī)院現(xiàn)有的信息系統(tǒng)進行優(yōu)化完善，提升整體系統(tǒng)的安全性與穩(wěn)定性，以此來確保醫(yī)院的社會影響力及經(jīng)濟收益。

3 對醫(yī)院信息系統(tǒng)中的信息安全評價等級防范與保護機制設立和評價

信息安全等級保護的原理就是依據(jù)信息的重要程度進行分級管理。就醫(yī)療行業(yè)來講，出臺的相關指導意見中提到，三級甲等醫(yī)院的核心業(yè)務信息不可以低于第三級別。通過對于醫(yī)院的實際經(jīng)營與信息系統(tǒng)的建設來分析，醫(yī)院的核心信息數(shù)據(jù)主要包括醫(yī)院的日均接診量，病房數(shù)及床位數(shù)，系統(tǒng)中的病患者的重要個人信息，這些信息數(shù)據(jù)一旦出現(xiàn)外泄，必然會影響到醫(yī)院的正常運營，其次也會對于國家、公民的集體利益進行破壞[4]。比如在醫(yī)院的門診部門，如果出現(xiàn)信息系統(tǒng)化故障，不僅僅會造成一定程度的經(jīng)濟損失，更重要的是會導致大量患者無法及時獲得醫(yī)療服務，對于一些緊急患者甚至會因此耽誤最佳救治時間，造成嚴重的后果。其次像是目前逐步普及的電子病歷系統(tǒng)，這些病歷中都包含了患者大量的隱私信息，若是出現(xiàn)資料外泄不僅會加大醫(yī)患沖突，同時也會在很大限度上擾亂社會秩序，由此可見這些信息的重要性，必須給予其高規(guī)格的保護工作。醫(yī)院在構(gòu)建信息平臺系統(tǒng)時，要嚴格地將相關要求標準作為基礎進行設立， 同時要制定相匹配的管理制度，提升整體信息系統(tǒng)的安全性與合理性。總體安全設計是要總結(jié)相同要素并對其進行分析整理搭建相應模型，依據(jù)模型中的相同因素將其與安全等級的標準進行分析，對信息系統(tǒng)的安全策略及安全措施提出需求。

對于整個信息安全系統(tǒng)等級保護機制中的安全性評判與劃分，需要一個專業(yè)評判單位按照國家有關信息安全系統(tǒng)等級保護規(guī)范和技術標準中的有關規(guī)定與其他要求，被相應主體任命，基于安全技術及安全管理兩個方面，對信息系統(tǒng)的安全性和等級保護狀況進行一個全方位評判和實驗。實驗操作主要是通過有效的溝通和技術措施來對整個信息系統(tǒng)進行分析和評估。在對開展評估之前需要進行一些相應準備，并對評估主體和指標進行確認，通過具有針對性的評估方法及手段對其進行現(xiàn)場評估和結(jié)果等級。對于評估結(jié)果報告編制內(nèi)容需要進行細分，分別為階段測評結(jié)果評估、整體評估、安全隱患分析、評估結(jié)果等多個方面分別編訂評估報告。

4 提升醫(yī)院信息安全等級保護工作的有效路徑

當前，我國醫(yī)療機構(gòu)的信息系統(tǒng)中信息安全等級保護工作的開展還存在著一些問題，最為明顯的問題是相關人員的技術水平及安全意識較低。因此醫(yī)院方面必須加大對于相關人員的培訓工作，以此來提升其自身的安全風險意識及技術水準，保障信息安全等級保護工作的有序開展[5]。我國雖然出臺了相關的政策措施，但安全信息管理還存在著一些問題，因此相關部門需要盡快完善相關政策，以此來推動醫(yī)院信息安全等級保護工作的提升。本文通過兩個不同角度，依據(jù)當前所存在的問題提出合理化的建議，如下所示。

（1）加大對于人員安全意識及技術的提升

信息安全等級保護的開展離不開合理有效的信息技術，又因為信息安全等級保護是體量較大的工作，不僅所涉及的范圍廣，還有醫(yī)院網(wǎng)絡安全、信息系統(tǒng)安全、軟件安全、管理安全等多個方面有著直接的關聯(lián)，由此可見，我國醫(yī)院的信息安全等級保護體制還有著較大的完善優(yōu)化空間，這也就需要相關的管理人員必須不斷提升自身的技術水準與安全風險防范意識，充分地認識到出現(xiàn)信息安全事故的嚴重后果，從而更為合理搭建出安全保護體系，確保信息安全等級保護工作的實時性與效率，加強對于醫(yī)院信息系統(tǒng)的監(jiān)管力度，便于對于系統(tǒng)中可能存在的弊端及時地完善修復，以此來確保醫(yī)院信息系統(tǒng)的安全性及穩(wěn)定性。

（2）完善對于信息安全等級保護的政策措施

目前我國信息安全等級保護體制的不健全，還有一個重要的原因，國家對于相關的政策法規(guī)不完善所導致的。目前我國醫(yī)療行業(yè)對于信息安全管理體系的構(gòu)架普遍都是基于《信息系統(tǒng)安全等級保護基本要求》，這也使得信息安全等級保護體制存在著單一性，無法對于整體的工作進行整體的指導[6]。這就需要相關國家機構(gòu)要結(jié)合實際環(huán)境，充分地探析醫(yī)療體系的安全原則，制定更為完善的信息保護政策，使其完善健全，提升基本政策落實的操控性能，保障相關標準要求的貫徹落實，進而在醫(yī)院中構(gòu)建出更為合理健全的信息安全等級保護機制，提升整體信息系統(tǒng)的安全性與穩(wěn)定性。

5 總結(jié)

依據(jù)本文所述可以發(fā)現(xiàn)，醫(yī)院信息系統(tǒng)安全監(jiān)督管理制度還是需要相關的管理者與國家政府有關部門進行共同努力，來確保其安全措施可以有效地落實到位。在醫(yī)院方面我們要進一步加大對于信息安全技術人才的培養(yǎng)和教育力度，提升其自身的專業(yè)水準及安全風險防范意識，國家政府以及相關部門也需結(jié)合實際情況，制定完善的政策措施，來保證信息安全等級保護體系的有序?qū)嵤?。隨著我國現(xiàn)代信息技術的不斷發(fā)展和提升，在信息化時代下，醫(yī)院也必須要充分認識到現(xiàn)代信息技術的重要性和價值，在進行信息系統(tǒng)搭建、改造、擴充時，制定一套相應的安全監(jiān)督管理制度，推動現(xiàn)代化醫(yī)院的健康長久發(fā)展。

參考文獻：

[1] 蔣提，趙彥軍.醫(yī)院信息系統(tǒng)信息安全等級保護建設與測評方法簡析[J].科技視界，2016（10）：294.

[2] 胡娟，謝宗曉.信息安全管理體系審核與信息系統(tǒng)安全等級保護測評的整合實施初探[J].中國標準導報，2015（4）：26-29.

[3] 裴莉.醫(yī)院信息系統(tǒng)安全等級保護測評備案實施[J].電子技術與軟件工程，2014（21）：230.

[4] 辛均益，陳啟岳，王宏宇. 關于醫(yī)院重要信息系統(tǒng)信息安全等級保護工作的探討[C].中國計算機學會計算機安全專業(yè)委員會.第28次全國計算機安全學術交流會論文集.中國計算機學會計算機安全專業(yè)委員會：中國計算機學會計算機安全專業(yè)委員會，2013：41-43.

[5] 郎漫芝，王暉，鄧小虹，等.衛(wèi)生監(jiān)督信息系統(tǒng)實施信息安全等級保護的實踐[J].醫(yī)學信息學雜志，2012，33（2）：9-12，33.

[6] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.信息安全技術 信息系統(tǒng)安全等級保護實施指南：GB/T 25058—2010[S].北京：中國標準出版社，2011.

【通聯(lián)編輯：代影】