張曉娟

摘要：信息化工程建設主要包含企業(yè)網(wǎng)絡信息基礎配套設施體系建設和企業(yè)信息安全體系建設。目前，隨著我國深入推進建設國家信息化工程，信息安全愈發(fā)得到企業(yè)重視。等級保護指的也就是對于信息安全不同等級的保護，即對電子信息和其他信息應用載體按照信息重要性不同別進行安全保護，等級保護是很多發(fā)達國家都普遍存在的一種用于信息安全應用領域的保護工作。本文基于上海市徐匯區(qū)血液管理辦公室信息安全等級保護，對信息系統(tǒng)安全等級保護進行了分析。

關鍵詞：等級保護;信息系統(tǒng);項目管理

隨著信息化飛速發(fā)展，使得醫(yī)療機構運作模式逐漸由傳統(tǒng)醫(yī)療轉(zhuǎn)向現(xiàn)代化醫(yī)療，目前，上海市徐匯區(qū)血液管理辦公室信息安全建設趨于完善，信息系統(tǒng)安全配置逐漸到位，用戶鑒別、病毒防殺、設備冗余、數(shù)據(jù)備份技術逐漸成熟，相關安全管理制度及安全人員培訓逐步到位，信息系統(tǒng)的安全防護能力也逐年上升。

一、信息系統(tǒng)安全等級保護及其重要性分析

（一）信息系統(tǒng)安全等級保護

醫(yī)療領域信息安全等級根據(jù)信息系統(tǒng)在遭到他人嚴重破壞后造成的危害程度，將有關國家網(wǎng)絡信息系統(tǒng)保護級別由低到高分為自主保護、指導保護、監(jiān)督保護、強制保護、?？乇Ｗo5個等級，信息安全包括技術與管理兩方面。

（二）重要性分析

國家信息安全水平高低，直接關系著整個國家的人民安全、社會治安穩(wěn)定和全民利益。其核心在于系統(tǒng)安全、建設、采集管理和保護監(jiān)督。做好這些工作，對建立信息安全保護機制具有重大意義。

1.可以降低風險，提高防護能力

實施信息安全等級保護制度有利于建設信息化，同時可以促進信息化建設與信息安全相協(xié)調(diào)，有效控制信息安全建設成本。如果重視安全工作，按照規(guī)定辦理了等保業(yè)務，購買了相關網(wǎng)絡安全設備，就可以合理的規(guī)避或者降低風險，切實保障用戶信息安全。為此，上海市徐匯區(qū)血液管理辦公室為保障和促進血液中心信息化建設的健康發(fā)展，也是不斷尋求信息安全的保護措施。

2.滿足國家相關法律法規(guī)和行業(yè)要求

等級安全保護政策是目前我國關于信息安全的基本保護政策，且按照規(guī)定下發(fā)了相關法律法規(guī)，所以認真貫徹執(zhí)行國家政策法律也是非常必要的。這樣不僅可以保證自身信息安全，還有助于提高整個國家的信息安全口碑，增加中國在國際上的影響力，在數(shù)字時代信息安全舉足輕重，很多國家主管單位都被要求設立等級客戶部門開展等級信息保護管理工作，不做信息等級保護就沒有辦法向相關主管單位或行業(yè)領導交代。

二、項目管理的要求與過程

與發(fā)達國家相比，我國衛(wèi)生行業(yè)的信息安全管理領域的工作推進還處于起步階段。如信息系統(tǒng)在部署和應用上不規(guī)范、網(wǎng)絡規(guī)劃不合理、信息安全應急體系不健全、信息安全人才“產(chǎn)能”與實際需求相差太大，造成了信息泄漏不斷、移動互聯(lián)網(wǎng)惡意程序增加、網(wǎng)絡攻擊數(shù)量增加、攻擊方式升級、信息泄露損失更加嚴重。為此，需要不斷嚴格要求信息安全管理的項目式實施。用一句話可以概括項目管理五大關鍵過程組：啟動過程組：主要作用也就是啟動設定監(jiān)控項目前期目標，讓監(jiān)控項目管理團隊有所作為;規(guī)劃過程組：主要作用也就是跟蹤制定前期工作計劃路線，讓監(jiān)控項目管理團隊"有法可依";執(zhí)行過程組：主要作用也就是"按圖索驥"，讓監(jiān)控項目管理團隊"有法必依";監(jiān)控過程組：主要作用也就是跟蹤測量前期項目管理績效，讓監(jiān)控項目管理團隊"違法必究"，并且盡量堅持做到"防患于未然";收尾過程組：主要作用也就是解決項目開展過程中的所有遺留問題，確保整個項目圓滿完成。

（一）啟動過程組

項目開始階段是一個最重要的階段。需要充分明確信息系統(tǒng)安全防護等級如何保護并初級定級，才能順利啟動企業(yè)項目前期建設，要盡可能地多從各個方面深入了解一個項目的具體情況，如：這個企業(yè)項目到底是什么樣的項目，具體大概需要做什么樣的事情，是誰的人提出定下來的，目的也就是需要解決什么樣的問題。不要只能根據(jù)一個項目的具體名稱望文生義地讓人去準確想象一個項目的建設目標。前期需要了解項目情況的準備工作越詳細，應對突發(fā)情況就越順利，項目的建設風險就越小。

（二）項目管理的計劃過程組

1.范圍規(guī)劃

記錄并詳細分析當前管理產(chǎn)品項目工作干系中對負責人的管理項目工作需要和管理產(chǎn)品項目需求，對重新確定管理項目和產(chǎn)品相關管理產(chǎn)品項目需求需要進行詳細的管理項目需求描述，形成管理項目工作范圍區(qū)域控制進度說明書。最后需要注意創(chuàng)建項目范圍控制把整個項目工作區(qū)域范圍控制分解成更小的，更完全的且易于獨立組織進行管理的幾個項目工作區(qū)域范圍控制單元，最后需要明確做到管理項目工作范圍的確認，重新確定進行項目整改。最后也不要忽略項目工作區(qū)域范圍控制進度管理控制的項目工作范圍重要性，做好管理項目工作范圍進度控制組織管理工作，避免出現(xiàn)項目工作區(qū)域范圍不斷變化蔓延的尷尬情況。

2.成本控制

在不影響項目質(zhì)量的前提下盡可能的節(jié)約成本，制定科學合理的成本計劃，進行成本估算、預算、控制。成本估算是在項目開啟前根據(jù)市場價格進行價格預算。一個項目中的成本前期管理控制預算：對已經(jīng)基本完成了但沒有足夠本錢的一個項目那就需要及時作出一個比較精確的項目成本管理預算，進行合理的預花錢。發(fā)現(xiàn)項目前期成本存在問題管理控制：對一個項目前期成本存在問題需要進行有效成本控制，發(fā)現(xiàn)項目成本存在問題及時糾正。

3.質(zhì)量規(guī)劃與風險把控

編寫一個項目質(zhì)量執(zhí)行管理目標計劃，描述本一個項目的產(chǎn)品質(zhì)量標準，并詳細記錄如何才能達到這個質(zhì)量標準。產(chǎn)品質(zhì)量保證就是按照一定標準進行生產(chǎn)，在產(chǎn)品成功售出后對客戶提供質(zhì)量承諾，提供售后服務，產(chǎn)品質(zhì)量管理控制就是查看目前的產(chǎn)品質(zhì)量管理情況，如果發(fā)現(xiàn)有任何問題，進行主要原因調(diào)查分析，并對其進行修正，以利于達到新的質(zhì)量管理要求。

如何進行項目風險管理的內(nèi)容，識別這個新的項目里到底存在有哪些項目風險，對每個風險級別進行一個優(yōu)先級的風險排序，對不確定性項目風險進行分析之后的風險排序在前的一些項目風險，進行一個具體量化的風險計算，求得一個具體的風險數(shù)字。還有就需要在我們項目的整個管理中不斷的檢測跟蹤已經(jīng)被識別到的風險，檢測一些可能殘余的項目風險，還要不斷識別新的一些風險，并對其進行風險審計，評估我們之前的管理效果。

4.人力資源計劃

根據(jù)管理計劃的具體要求，通過一些團隊方式，比如組建虛擬項目團隊，采購項目談判等，實現(xiàn)人員分派的團隊方式管理來進行組建一個項目管理團隊。改變?nèi)藛T之間關系，提高團隊意識、凝聚團隊力量，需要通過一些團隊方式管理來進行培養(yǎng)如何建設我們的一個項目管理團隊，提高項目團隊成員個人管理技能，改進我們團隊的人際協(xié)作，提高團隊的項目整體管理水平，最終優(yōu)化提高項目的團隊建設。為了跟蹤項目團隊全體成員的工作績效和提高項目的管理績效，需要定期進行一些績效反饋，對利益沖突人員進行績效管理，不斷優(yōu)化提高項目的管理績效。

5.溝通規(guī)劃

建全溝通渠道以便進行多種信息溝通，如以下交互式信息溝通：在兩方或其他多方之間可以進行一對多向多種信息流的交換，包括各種會議、電話、微信等;把發(fā)送信息同時發(fā)送給那些需要同時接收這些發(fā)送信息的特定郵件接收方，推式信息溝通主要包括電子信件、備忘錄、報告、電子郵件等;而下拉式信息溝通：主要用于處理信息量很大或溝通受眾很多的溝通情況，這種溝通方法主要包括搭建企業(yè)總部內(nèi)網(wǎng)、電子在線培訓課程、經(jīng)驗教訓以及數(shù)據(jù)庫等。

（三）執(zhí)行過程組

執(zhí)行過程組包括完成項目管理計劃中確定的工作，以滿足項目要求的一組過程。本過程根據(jù)項目計劃需要執(zhí)行為完成滿足新的項目管理要求、實現(xiàn)新的項目管理目標任務所需的重要項目管理工作。本過程組主要工作是有效獲取項目資源，開展實施項目管理計劃過程中的重要項目管理工作，實現(xiàn)新的項目管理目標。主要研究成果分別是項目工作中的績效統(tǒng)計數(shù)據(jù)和項目可預期交付項目成果。

（四）監(jiān)控過程組

監(jiān)控過程組包括跟蹤、審查和調(diào)整項目進展與績效，識別必要的項目審批工作計劃是否進行合理變更并及時重新啟動用以處理變更相應審批計劃這是變更的最后一組前期工作管理過程。監(jiān)控過程按既定項目執(zhí)行計劃對整個項目定期進行跟蹤測量和分析，以便于準確識別和及時糾正項目審批工作的重大偏差，以便于保證整個作業(yè)項目順利完成。

（五）收尾過程組

本過程組旨在核實為完成項目或階段所需的所有過程組的全部過程均已完成，并正式宣告項目或階段關閉。本過程組的主要作用是確保恰當?shù)仃P閉項目和合同。該過程組只是用來收集資料、開展項目后評價（總結(jié)經(jīng)驗教訓）和更新組織過程資產(chǎn)。即進行行政收尾工作。收尾工作不僅僅針對項目，也要在每個階段結(jié)束時進行。

總結(jié)

依據(jù)國家信息安全等級保護制度，遵循相關標準規(guī)范，全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高醫(yī)療行業(yè)信息安全防護能力、隱患發(fā)現(xiàn)能力、應急能力，做好信息安全等級保護工作，對于促進血液機構信息化發(fā)展，維護公共利益、社會秩序和國家安全具有重要意義。為此，在安全等級保護中必須始終做到“技管并重”，并分別提出了具體的等級指標設計要求將大大提升安全保障體系的廣度和深度。

參考文獻：

[1]劉學.信息系統(tǒng)安全等級保護能力構成框架分析研究[J].網(wǎng)絡安全技術與應用，2020（2）：2.