對(duì)37所醫(yī)院信息系統(tǒng)信息安全現(xiàn)狀的調(diào)查及對(duì)策探討

王麗娜，張東軍，張午光

對(duì)37所醫(yī)院信息系統(tǒng)信息安全現(xiàn)狀的調(diào)查及對(duì)策探討

王麗娜，張東軍，張午光

目的：了解醫(yī)院信息系統(tǒng)信息安全的現(xiàn)狀，為加快醫(yī)院信息安全等級(jí)保護(hù)的開展提供依據(jù)。方法：對(duì)河南省37家二級(jí)以上醫(yī)院的信息系統(tǒng)信息安全現(xiàn)狀進(jìn)行調(diào)查。結(jié)果：37家醫(yī)院在信息系統(tǒng)安全建設(shè)方面存在建設(shè)水平低、資金投入不足、開展應(yīng)急演練的比例低、信息安全保障投入不足、信息安全事件多發(fā)和應(yīng)對(duì)措施不力等問題，且二級(jí)醫(yī)院的信息安全建設(shè)水平低于三級(jí)醫(yī)院。結(jié)論：多數(shù)醫(yī)院的信息安全等級(jí)保護(hù)建設(shè)尚處于初級(jí)階段，今后應(yīng)加大信息安全的資金投入力度，加強(qiáng)信息安全管理，完善人才隊(duì)伍建設(shè)，不斷提高醫(yī)院的信息安全水平。

醫(yī)院信息系統(tǒng)；信息安全；等級(jí)保護(hù)

0 引言

隨著醫(yī)療衛(wèi)生行業(yè)對(duì)信息系統(tǒng)的依賴程度越來越強(qiáng)，信息安全問題日益突現(xiàn)，各級(jí)醫(yī)療衛(wèi)生機(jī)構(gòu)對(duì)信息安全保障工作給予了高度重視[1]。2011年12月，原國家衛(wèi)生部頒布《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》（衛(wèi)辦發(fā)[2011]85號(hào)），為貫徹落實(shí)信息安全等級(jí)保護(hù)制度，規(guī)范和指導(dǎo)全國衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作提供了指導(dǎo)意見[2]。同時(shí)，還發(fā)布了《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》（衛(wèi)辦綜函[2011]1126號(hào)），提出衛(wèi)生行業(yè)各單位要于2012年5月30日前完成本單位信息系統(tǒng)的定級(jí)備案工作，于2015年12月30日前完成信息安全等級(jí)保護(hù)建設(shè)整改工作，并通過等級(jí)測評(píng)。這標(biāo)志著信息安全等保護(hù)工作在衛(wèi)生行業(yè)已全面展開，信息安全等級(jí)保護(hù)工作已提上重要的日程。借鑒國外先進(jìn)經(jīng)驗(yàn)的基礎(chǔ)，結(jié)合我國國情，逐步在醫(yī)療衛(wèi)生行業(yè)實(shí)行信息安全等級(jí)保護(hù)已成為解決我國醫(yī)療衛(wèi)生行業(yè)信息安全問題的必然選擇[3]。因此，為了解目前醫(yī)院信息系統(tǒng)信息安全現(xiàn)狀并提出針對(duì)性建議，特進(jìn)行了本研究。

1 對(duì)象與方法

1.1 調(diào)查對(duì)象與方法

針對(duì)河南省43家二級(jí)以上醫(yī)院的信息系統(tǒng)安全情況進(jìn)行問卷調(diào)查，共回收有效問卷37份，有效回收率86.0%，其中二級(jí)醫(yī)院17份、三級(jí)醫(yī)院20份。調(diào)查內(nèi)容包括醫(yī)院等級(jí)保護(hù)開展情況、信息安全組織機(jī)構(gòu)、日常信息安全管理制度、應(yīng)急管理工作開展、信息安全保障投入、信息安全事件及應(yīng)對(duì)等6個(gè)方面。

1.2 數(shù)據(jù)處理

采用SPSS13.0 forWindows對(duì)調(diào)查的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)與處理，統(tǒng)計(jì)方法包括統(tǒng)計(jì)描述、t檢驗(yàn)、χ2檢驗(yàn)。

2 結(jié)果

2.1 等級(jí)保護(hù)的開展

37家醫(yī)院已開展等級(jí)保護(hù)的醫(yī)院為5家（13.5%），已明確安全定級(jí)的為3家（8.1%），有建設(shè)計(jì)劃的為19家（51.4%），有建設(shè)專項(xiàng)經(jīng)費(fèi)的為14家（37.8%）。二、三級(jí)醫(yī)院的比較見表1。

表1 等級(jí)保護(hù)的開展情況

由表1可知，二級(jí)醫(yī)院在開展等級(jí)保護(hù)建設(shè)方面明顯落后于三級(jí)醫(yī)院（P＜0.05）。

2.2 信息安全組織機(jī)構(gòu)

在37家醫(yī)院中，都設(shè)有分管信息安全的領(lǐng)導(dǎo)（100.0%）；具有專職的信息安全機(jī)構(gòu)的醫(yī)院有14家（37.8%）；具有專職安全員的醫(yī)院有9家（24.3%）；有較明確的信息安全保障體系建設(shè)規(guī)劃并得到有效實(shí)施的醫(yī)院有14家（37.8%），對(duì)信息安全保障體系建設(shè)有一定的建設(shè)并進(jìn)行一定的實(shí)施部署的醫(yī)院有17家（45.9%），既未建設(shè)也無明確部署的共6家（16.2%）。二、三級(jí)醫(yī)院的比較見表2。

表2 信息安全組織機(jī)構(gòu)設(shè)置情況

由表2可知，二級(jí)醫(yī)院在安全保障實(shí)現(xiàn)方面明顯落后于三級(jí)醫(yī)院（P＜0.05）。

2.3 日常信息安全管理制度

在37家醫(yī)院中，都有信息化管理方面的制度（100.0%）；具有信息系統(tǒng)安全管理方面制度的醫(yī)院有30家（81.1%）；具有數(shù)據(jù)安全管理方面制度的醫(yī)院有35家（94.6%）。這說明二級(jí)醫(yī)院與三級(jí)醫(yī)院的日常信息安全管理制度的建立狀況相對(duì)較好。

2.4 應(yīng)急管理工作開展

在應(yīng)急管理工作開展方面，有完善應(yīng)急預(yù)案的醫(yī)院共23家（62.2%）；開展過應(yīng)急演練的醫(yī)院共有7家（18.9%）；建立內(nèi)部技術(shù)支援的醫(yī)院共有8家（21.6%），外部技術(shù)支援的醫(yī)院共有27家（72.9%）；有系統(tǒng)備份的醫(yī)院共有30家（81.1%）；有網(wǎng)站備份共有19家（51.3%）。二、三級(jí)醫(yī)院的比較見表3。

表3 應(yīng)急管理工作開展情況

由表3可知，二級(jí)醫(yī)院在應(yīng)急預(yù)案、應(yīng)急演練、網(wǎng)站備份等信息安全應(yīng)急管理工作開展方面明顯落后于三級(jí)醫(yī)院（P<0.05）。

2.5 信息安全保障投入情況

在信息安全保障投入方面，37家醫(yī)院中18家（48.6%）有明確的經(jīng)費(fèi)預(yù)算；經(jīng)費(fèi)投入的醫(yī)院有22家（59.5%）；各類經(jīng)費(fèi)來源的醫(yī)院有18家（48.6%）；初步建設(shè)的醫(yī)院有31家（83.8%）；在新建、改建、擴(kuò)建信息系統(tǒng)時(shí)，信息安全防護(hù)措施同步設(shè)計(jì)、同步施工、同步使用的醫(yī)院有21家（56.8%），用于信息安全防護(hù)設(shè)備的資金投入占整個(gè)項(xiàng)目總投入的比例在5%以下的醫(yī)院高達(dá)29家（78.4%）；在信息系統(tǒng)項(xiàng)目建設(shè)中，技術(shù)方案審核時(shí)有信息安全方面的審核事項(xiàng)的醫(yī)院16家（43.2%）。二、三級(jí)醫(yī)院的比較見表4。

表4 信息安全保障投入情況

由表4可知，各級(jí)醫(yī)院對(duì)信息安全方面的經(jīng)費(fèi)投入與支持力度方面總體較低。二級(jí)醫(yī)院在經(jīng)費(fèi)預(yù)算、經(jīng)費(fèi)投入、經(jīng)費(fèi)來源、同步情況、方案審核方面更是落后于三級(jí)醫(yī)院（P<0.05）。

2.6 信息安全事件及應(yīng)對(duì)情況

37家醫(yī)院中，曾經(jīng)發(fā)生過感染病毒、蠕蟲、木馬、垃圾郵件程序、內(nèi)部人員濫用網(wǎng)絡(luò)端口和系統(tǒng)資源的網(wǎng)絡(luò)安全事件的醫(yī)院共30家（81.1%）；發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的手段有2項(xiàng)及2項(xiàng)以上的醫(yī)院35家（94.6%）；發(fā)現(xiàn)導(dǎo)致上述事件的可能原因有3項(xiàng)及以上的醫(yī)院共33家（89.2%）；安全事件造成數(shù)據(jù)部分丟失、軟件使用受限、系統(tǒng)無法使用、網(wǎng)絡(luò)無法使用等4項(xiàng)及以上的醫(yī)院共18家（48.6%）；發(fā)生上述事件后采取請(qǐng)網(wǎng)絡(luò)安全服務(wù)單位協(xié)助解決、請(qǐng)網(wǎng)絡(luò)開發(fā)維護(hù)單位協(xié)助解決、自行解決等3項(xiàng)及以上的防治措施的醫(yī)院有29家（78.4%）。上述數(shù)據(jù)說明各級(jí)醫(yī)院的信息安全事件發(fā)生頻繁，且造成了一定的危害。

二、三級(jí)醫(yī)院在網(wǎng)絡(luò)安全事件、發(fā)現(xiàn)手段、事件原因、造成的危害及采取的措施方面的平均個(gè)數(shù)比較見表5。

表5 信息安全事件及應(yīng)對(duì)情況（x±s） 類

由表5可知，二級(jí)醫(yī)院的網(wǎng)絡(luò)安全事件發(fā)生更嚴(yán)重，造成的危害更大，但發(fā)現(xiàn)手段卻更單一、應(yīng)對(duì)的手段更匱乏（P<0.05）。

3 討論

3.1 醫(yī)院在信息系統(tǒng)安全建設(shè)中存在的問題

由調(diào)查結(jié)果可見，在被調(diào)查的醫(yī)院中存在不少信息安全相關(guān)的問題及隱患，總結(jié)如下：

（1）信息安全保障資金投入不足。各級(jí)醫(yī)院在整體上對(duì)信息安全保障投入不足，這可能與醫(yī)院普遍存在過于重視臨床診療基本業(yè)務(wù)、對(duì)信息化的認(rèn)識(shí)不足，從而忽視該方面的投入有關(guān)。

（2）信息安全等級(jí)保護(hù)處于建設(shè)的初級(jí)階段，開展應(yīng)急演練的比例低。在調(diào)研中發(fā)現(xiàn)，已開展等級(jí)保護(hù)、已明確信息安全等級(jí)、有完善應(yīng)急預(yù)案并開展應(yīng)急演練的醫(yī)院比例都較低，且以二級(jí)醫(yī)院更為顯著。這說明醫(yī)院在此方面的管理工作不到位，信息安全等級(jí)保護(hù)工作處于建設(shè)的初級(jí)階段，在信息安全等級(jí)保護(hù)的建設(shè)方面還有大量的工作要做。

（3）缺少專職安全人員，信息安全事件頻發(fā)。多數(shù)醫(yī)院均發(fā)生過感染病毒、蠕蟲、木馬等網(wǎng)絡(luò)安全事件，而依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，對(duì)開展信息安全等級(jí)保護(hù)的單位應(yīng)設(shè)立“三員”（系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員）崗位，在計(jì)算環(huán)境安全和區(qū)域邊界安全要有安全審計(jì)、入侵防范、惡意代碼防范等措施來預(yù)防安全事件的發(fā)生。但從研究數(shù)據(jù)來看，各級(jí)醫(yī)院在“三員”崗位的設(shè)置比例明顯偏低，信息安全事件頻繁。在未來的發(fā)展中還要不斷培養(yǎng)或引進(jìn)相關(guān)專業(yè)人才，采取有效措施降低信息安全事件的發(fā)生[4]。

3.2 醫(yī)院信息化安全建設(shè)的對(duì)策與建議

（1）合理規(guī)劃，加大信息安全資金投入。為確保醫(yī)院信息安全等級(jí)保護(hù)的順利開展，各級(jí)醫(yī)院應(yīng)設(shè)立信息安全建設(shè)的專項(xiàng)資金。通過爭取上級(jí)財(cái)政部門支持和醫(yī)院自籌等多種渠道加大信息安全資金投入。同時(shí)，必須進(jìn)行信息安全等級(jí)保護(hù)建設(shè)的合理規(guī)劃，制定切實(shí)可行的信息安全等級(jí)保護(hù)的建設(shè)方案，確保專項(xiàng)資金?？顚Ｓ?。根據(jù)建設(shè)規(guī)劃，制定合適的投資策略，合理調(diào)整投資結(jié)構(gòu)，注意硬件、人員建設(shè)和咨詢培訓(xùn)費(fèi)用的合理比例[5]。

（2）落實(shí)信息安全責(zé)任，提高對(duì)信息安全的認(rèn)識(shí)。各級(jí)醫(yī)院應(yīng)嚴(yán)格按照原國家衛(wèi)生部下發(fā)的《關(guān)于印發(fā)<衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見>的通知》（衛(wèi)辦發(fā)〔2011〕85號(hào)）的要求，落實(shí)信息安全責(zé)任制及問責(zé)制，按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)”的要求強(qiáng)化信息安全責(zé)任意識(shí)。指定信息安全的專管領(lǐng)導(dǎo)，建立專門的信息安全機(jī)構(gòu)，明確各部門和科室在信息安全中的職責(zé)和責(zé)任。在加強(qiáng)信息安全等級(jí)保護(hù)的硬件和人員建設(shè)的同時(shí)，醫(yī)院相關(guān)部門和領(lǐng)導(dǎo)要引導(dǎo)單位全體人員加強(qiáng)信息安全知識(shí)的學(xué)習(xí)，提高整體信息安全意識(shí)[6]。

（3）定期開展應(yīng)急演練工作，加強(qiáng)信息安全的防范措施。醫(yī)院應(yīng)制定完善的信息安全制度與應(yīng)急預(yù)案，并對(duì)相關(guān)人員進(jìn)行針對(duì)性培訓(xùn)，定期開展應(yīng)急演練，總結(jié)演練過程中出現(xiàn)的問題，及時(shí)進(jìn)行改進(jìn)。并根據(jù)信息系統(tǒng)的實(shí)際情況劃分安全區(qū)域，在相應(yīng)的安全區(qū)域部署專門的安全產(chǎn)品及配置安全策略，加強(qiáng)信息安全的防范措施，最大可能地減少信息安全事件的發(fā)生[7]。

（4）加強(qiáng)信息安全管理，不斷完善人才隊(duì)伍的建設(shè)。在醫(yī)療衛(wèi)生行業(yè)信息安全體系建設(shè)中有2個(gè)重要理念，分別是：技術(shù)措施與產(chǎn)品必要且重要，但管理更重要；網(wǎng)絡(luò)安全，人才為本[8]。無論是技術(shù)還是管理，都離不開專業(yè)的人才，因此，必須不斷完善人才隊(duì)伍的建設(shè)，大力引進(jìn)或培養(yǎng)信息安全專業(yè)人才，定期派送信息安全從業(yè)人員進(jìn)行業(yè)務(wù)知識(shí)培訓(xùn)。同時(shí)，注意縮小二、三級(jí)醫(yī)院信息安全方面的差距，衛(wèi)生行政部門可定期組織醫(yī)院信息安全方面的專家對(duì)轄區(qū)內(nèi)醫(yī)院信息人員進(jìn)行培訓(xùn)，特別是針對(duì)二級(jí)醫(yī)院進(jìn)行培訓(xùn)?？傊?，要通過外部引進(jìn)與內(nèi)部培養(yǎng)等多種渠道逐步建立完善的人才隊(duì)伍[9]。

4 結(jié)語

與其他行業(yè)信息化進(jìn)程一樣，醫(yī)院信息化在為醫(yī)療活動(dòng)帶來巨大便利的同時(shí)，也要面對(duì)長期的信息安全挑戰(zhàn)[10]。近年來，全國各地的醫(yī)院已在逐步加大信息化建設(shè)，且已在提高衛(wèi)生工作的信息化、現(xiàn)代化方面起到了重要作用，但信息安全建設(shè)的步伐卻相對(duì)滯后，信息安全建設(shè)總體水平偏低，與衛(wèi)生信息安全事業(yè)發(fā)展的需求仍有相當(dāng)?shù)木嚯x。因此，在未來的信息化建設(shè)中，各級(jí)醫(yī)院還應(yīng)進(jìn)一步加深對(duì)于信息化安全的認(rèn)識(shí)，不斷加強(qiáng)信息安全等級(jí)保護(hù)建設(shè)，通過各方面的投入使醫(yī)療衛(wèi)生行業(yè)的信息化水平能得到質(zhì)的提高和長足的進(jìn)步。

[1]程斌.醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)設(shè)計(jì)方案[J].信息網(wǎng)絡(luò)安全，2012（10）：22.

[2]郎漫芝，王暉，鄧小虹，等.衛(wèi)生監(jiān)督信息系統(tǒng)實(shí)施信息安全等級(jí)保護(hù)的實(shí)踐[J].醫(yī)學(xué)信息學(xué)雜志，2012，33（2）：9-12.

[3]王麗娜，張東軍.醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)的現(xiàn)狀與對(duì)策[J].醫(yī)療衛(wèi)生裝備，2013，34（6）：87-88.

[4]李慶，黎勇，黃旋，等.醫(yī)院信息化人才隊(duì)伍的建設(shè)與培養(yǎng)[J].現(xiàn)代醫(yī)院管理，2012，10（4）：51-53.

[5]胡安娜，胡磊，劉智勇.醫(yī)院信息化建設(shè)籌資與投資分析：26家大型綜合性醫(yī)院實(shí)證研究[J].中國衛(wèi)生質(zhì)量管理，2006，13（6）：5-8.

[6]杜方冬，孫振球，饒克勤.我國醫(yī)院信息化建設(shè)水平的實(shí)證分析與發(fā)展對(duì)策探討[J].情報(bào)雜志，2009，28（5）：42-59.

[7]GB/T 22239—2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本

（????）（????）要求[S].

[8]王暉.醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)實(shí)施指南[M].北京：國防工業(yè)出版社，2010：6-7.

[9]陳敏，鄭見立.湖北省醫(yī)院信息安全狀況調(diào)查與分析[J].中國醫(yī)院管理，2011，31（5）：20-21.

[10]郭旭升，王磊.新形勢下醫(yī)院信息安全所面臨的挑戰(zhàn)與對(duì)策[J].中國數(shù)字醫(yī)學(xué)，2012，7（4）：96-98.

（收稿：2013-08-31 修回：2013-10-31）

Survey and countermeasures of information security of HIS in 37 hospitals

WANG Li-na1,ZHANG Dong-jun2,ZHANGWu-guang3
(1.School ofManagement,Xinxiang Medical University,Xinxiang 453003,Henan Province,China;2.School of Psychology, Xinxiang Medical University,Xinxiang 453003,Henan Province,China;3.School of Political Science and Public Administration,University of Electronic Science and Technology ofChina,Chengdu 610054,China)

Objective To investigate the information security situation of hospital information system,and to speed up the development of hospital information security.Methods The statuses of information system security in 37 second-or thirdclass hospitals in Henan Province were investigated by questionnaires.Results The problems of information security were restrictedmainly in fund shortage,insufficient emergency drills,lack of timely response and etc.The information security in the second-class hospitalswasworse than that in the third-class ones.Conclusions The construction of information security in these hospitals is still in the early stages.The hospitals should make efforts in investment,management and personnel to enhance hospital information security.[Chinese MedicalEquipment Journal，2014，35（7）：111-113，152]

hospital information system;information security;classified protection

R318；R197.323

A

1003-8868（2014）07-0111-04

10.7687/J.ISSN1003-8868.2014.07.111

河南省衛(wèi)生廳衛(wèi)生政策研究課題（YWZY201344）；河南省社科聯(lián)調(diào)研課題（SKL-2012-881）

王麗娜（1980—），女，助理實(shí)驗(yàn)師，主要從事醫(yī)療信息安全與計(jì)算機(jī)應(yīng)用方面的研究工作，E-mail：wanglina80@126.com。

453003河南新鄉(xiāng)，河南省新鄉(xiāng)醫(yī)學(xué)院管理學(xué)院（王麗娜），心理學(xué)系（張東軍）；610054成都，四川省電子科技大學(xué)政治與公共管理學(xué)院（張午光）

張東軍，E-mail：dongjun0103@163.com