醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)與整改結(jié)果探討

楊旋，周小甲

浙江大學(xué)醫(yī)學(xué)院附屬婦產(chǎn)科醫(yī)院 信息科，浙江 杭州 310006

醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)與整改結(jié)果探討

楊旋，周小甲

浙江大學(xué)醫(yī)學(xué)院附屬婦產(chǎn)科醫(yī)院 信息科，浙江 杭州 310006

目的 通過(guò)醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作，提高醫(yī)院信息系統(tǒng)業(yè)務(wù)安全和信息安全。方法 對(duì)2014年醫(yī)院首次等級(jí)保護(hù)測(cè)評(píng)結(jié)果與2016年復(fù)測(cè)評(píng)結(jié)果進(jìn)行對(duì)比。結(jié)果 通過(guò)針對(duì)首次等保測(cè)評(píng)結(jié)果的整改，醫(yī)院4套信息系統(tǒng)的測(cè)評(píng)指標(biāo)控制點(diǎn)完全符合項(xiàng)與部分符合項(xiàng)增加，系統(tǒng)安全保護(hù)等級(jí)也逐步提高。結(jié)論 隨著等級(jí)保護(hù)測(cè)評(píng)后的整改工作的開(kāi)展，醫(yī)院信息系統(tǒng)安全性逐漸增加，醫(yī)院工作人員的安全意識(shí)得到提高。

信息安全；醫(yī)院信息系統(tǒng)；等級(jí)保護(hù)；等保備案

引言

網(wǎng)絡(luò)與信息安全的問(wèn)題一直伴隨著信息化的發(fā)展而得到人們的重視，當(dāng)醫(yī)院信息化建設(shè)隨之深入，伴隨而來(lái)的安全建設(shè)也顯得愈發(fā)重要。近些年來(lái)，維護(hù)保障國(guó)家與政府的信息安全，已經(jīng)成為各國(guó)領(lǐng)導(dǎo)者的共識(shí)，并且上升到了國(guó)家安全的戰(zhàn)略高度?！皼](méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”，這就是習(xí)近平總書(shū)記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議中明確表示的態(tài)度[1]。而信息安全等級(jí)保護(hù)（下稱“等?！保┦俏覈?guó)信息安全保障的一項(xiàng)基本制度和方法，開(kāi)展信息安全等級(jí)保護(hù)工作是促進(jìn)信息化發(fā)展，保障國(guó)家信息安全的重要舉措[2-3]。我國(guó)信息安全等級(jí)保護(hù)工作已經(jīng)經(jīng)過(guò)了20余年的探索和發(fā)展，是我國(guó)這些年來(lái)信息安全工作的經(jīng)驗(yàn)總結(jié)。本文主要介紹了等保測(cè)評(píng)的流程和對(duì)醫(yī)院信息安全的重要性，并將我院2014年等保初測(cè)評(píng)與2016年醫(yī)院等保復(fù)測(cè)評(píng)的情況進(jìn)行了對(duì)比，同時(shí)對(duì)醫(yī)院信息系統(tǒng)等保測(cè)評(píng)的工作展開(kāi)探討，為未來(lái)醫(yī)療行業(yè)信息安全工作提供了借鑒[4]。

1 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)流程

1.1 信息系統(tǒng)確定與定級(jí)

根據(jù)浙衛(wèi)發(fā)[2011]131號(hào)《關(guān)于做好省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級(jí)保護(hù)工作的通知》及《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859-1999)》等標(biāo)準(zhǔn)，結(jié)合我院信息化現(xiàn)狀與發(fā)展需要，經(jīng)過(guò)專家論證，按類歸并的原則，從系統(tǒng)管理、業(yè)務(wù)使用者、系統(tǒng)服務(wù)對(duì)象和運(yùn)行環(huán)境等多面綜合考慮，把醫(yī)院信息系統(tǒng)劃分為以下幾類[5]，見(jiàn)表1。

表1 醫(yī)院重要信息系統(tǒng)分類

同時(shí)，信息系統(tǒng)定級(jí)由兩個(gè)方面因素決定：一是業(yè)務(wù)信息安全等級(jí)，二是系統(tǒng)安全服務(wù)等級(jí)[6-7]。主要看業(yè)務(wù)信息受到破壞時(shí)的客觀對(duì)象是誰(shuí)，和客觀對(duì)象的損壞程度如何，根據(jù)《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(GB/T 22240-2008)，由兩者的等級(jí)較高者決定系統(tǒng)定級(jí)的級(jí)別，見(jiàn)表2。例如當(dāng)門戶網(wǎng)站系統(tǒng)業(yè)務(wù)信息遭到破壞后，所侵害的客體是社會(huì)秩序、公共利益，主要侵害的客觀方面表現(xiàn)為：①內(nèi)部工作人員無(wú)法通過(guò)門戶網(wǎng)站發(fā)布正常相關(guān)信息；② 統(tǒng)計(jì)信息被惡意修改，導(dǎo)致公眾無(wú)法準(zhǔn)確的獲取醫(yī)院信息，降低醫(yī)院的公信度，破壞醫(yī)院形象，可能給醫(yī)院造成惡劣影響，引起法律糾紛等，對(duì)社會(huì)造成較大影響，結(jié)果程度表現(xiàn)為嚴(yán)重?fù)p害，故等級(jí)確定為第三級(jí)。同時(shí)網(wǎng)站系統(tǒng)服務(wù)遭到破壞后，所侵害的客體也是社會(huì)秩序、公共利益，侵害的客觀方面主要表現(xiàn)為：應(yīng)用服務(wù)部分中斷、全部癱瘓等侵害，結(jié)果程度表現(xiàn)為一般損害，故等級(jí)確定為第二級(jí)。根據(jù)表2可確定門戶網(wǎng)站系統(tǒng)安全保護(hù)等級(jí)取兩者較高者為第三級(jí)。

表2 信息系統(tǒng)定級(jí)表

1.2 信息系統(tǒng)備案

根據(jù)《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007] 1360號(hào)）文件要求，省衛(wèi)計(jì)委及省級(jí)醫(yī)療衛(wèi)生單位信息系統(tǒng)、全省統(tǒng)一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省公安廳受理備案。醫(yī)院應(yīng)將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》和醫(yī)療衛(wèi)生單位備案匯總情況等材料以電子文件形式向歸口省衛(wèi)計(jì)委報(bào)備[8-9]。定級(jí)工作的結(jié)果是以此備案完成為標(biāo)志。

1.3 信息系統(tǒng)安全建設(shè)和整改

在完成備案后，需要開(kāi)始對(duì)信息系統(tǒng)進(jìn)行合規(guī)性建設(shè)與整改，明確需求后要進(jìn)行整體的方案設(shè)計(jì)，在設(shè)計(jì)中要體現(xiàn)近期和遠(yuǎn)期的設(shè)計(jì)方案，細(xì)分不同的項(xiàng)目，逐一進(jìn)行完善，最后組織專家對(duì)方案進(jìn)行評(píng)審[10-11]。堅(jiān)持管理和技術(shù)并重的原則，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，落實(shí)信息安全責(zé)任制，建立并落實(shí)各類安全管理制度，開(kāi)展系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理和人員安全管理等工作，落實(shí)網(wǎng)絡(luò)、物理、應(yīng)用和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施[12-14]。部署鞏固醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)防御邊界，提高醫(yī)院信息系統(tǒng)整體安全性[15-16]。

1.4 信息系統(tǒng)測(cè)評(píng)

醫(yī)院信息系統(tǒng)根據(jù)等保要求進(jìn)行建設(shè)、整改并且自評(píng)達(dá)到相關(guān)標(biāo)準(zhǔn)后，開(kāi)始啟動(dòng)測(cè)評(píng)。根據(jù)《浙江省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組關(guān)于公布信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)的通知》（浙等保[2010]9號(hào)）選擇浙江省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)，啟動(dòng)等級(jí)測(cè)評(píng)工作，結(jié)合等級(jí)要求，對(duì)系統(tǒng)進(jìn)行逐項(xiàng)測(cè)評(píng)。測(cè)評(píng)機(jī)構(gòu)通過(guò)對(duì)醫(yī)院系統(tǒng)進(jìn)行查驗(yàn)、訪談、現(xiàn)場(chǎng)測(cè)試等方式收集相關(guān)信息，詳細(xì)了解信息系統(tǒng)安全保護(hù)狀況，收集分析資料和數(shù)據(jù)，查找發(fā)現(xiàn)系統(tǒng)漏洞和安全隱患，以此為依據(jù)形成醫(yī)院信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告和安全建設(shè)整改方案等，并擇時(shí)進(jìn)行測(cè)評(píng)報(bào)告審核。

1.5 流程小結(jié)

信息安全等級(jí)保護(hù)制度將信息系統(tǒng)按其重要程度以及受到破壞后對(duì)相應(yīng)客體的合法權(quán)益、社會(huì)秩序、公共利益和國(guó)家安全侵害的嚴(yán)重程度，將信息系統(tǒng)由低到高分為5級(jí)。每一保護(hù)級(jí)別的信息系統(tǒng)需要滿足本級(jí)的基本安全要求，落實(shí)相關(guān)安全措施，以獲得相應(yīng)級(jí)別的安全保護(hù)能力，對(duì)抗各類安全威脅。醫(yī)院信息系統(tǒng)就是按照這套規(guī)定的流程和相應(yīng)的法定要求、指南和準(zhǔn)則進(jìn)行等保測(cè)評(píng)，見(jiàn)圖1。從定級(jí)、備案、安全整改/建設(shè)、測(cè)評(píng)等各個(gè)階段來(lái)完成信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)。

圖1 信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系流程圖

2 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)結(jié)果

根據(jù)上文，醫(yī)院的信息系統(tǒng)被劃分為：《基礎(chǔ)支撐系統(tǒng)》、《面向患者服務(wù)系統(tǒng)》、《門戶網(wǎng)站系統(tǒng)》和《協(xié)同辦公系統(tǒng)》。通過(guò)《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南（GB/T 22240-2008）》，2014年初次等保測(cè)評(píng)時(shí)我院將《基礎(chǔ)支撐系統(tǒng)》、《面向患者服務(wù)系統(tǒng)》定級(jí)為三級(jí)，《門戶網(wǎng)站系統(tǒng)》和《協(xié)同辦公系統(tǒng)》定級(jí)為二級(jí)。經(jīng)過(guò)整改和面向公眾的業(yè)務(wù)信息擴(kuò)展，在2016年等保復(fù)測(cè)評(píng)時(shí)，我院把兩套二級(jí)系統(tǒng)：《門戶網(wǎng)站系統(tǒng)》和《協(xié)同辦公系統(tǒng)》提升為等保三級(jí)，加大了安全防護(hù)力度和要求。

2.1 2014年總體評(píng)價(jià)

根據(jù)2014年系統(tǒng)定級(jí)情況，我們把《基礎(chǔ)支撐系統(tǒng)》、《面向患者服務(wù)系統(tǒng)》兩套三級(jí)系統(tǒng)采用《GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》S3A3G3標(biāo)準(zhǔn)（共76個(gè)控制點(diǎn)）作為系統(tǒng)的測(cè)評(píng)依據(jù)，另外兩套《門戶網(wǎng)站系統(tǒng)》、《協(xié)同辦公系統(tǒng)》二級(jí)系統(tǒng)采用《GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》S2A2G2標(biāo)準(zhǔn)（共69個(gè)控制點(diǎn),由于管理制度安全與第三級(jí)S3A3G3基礎(chǔ)支撐系統(tǒng)共用，根據(jù)就高原則選取S3A3G3標(biāo)準(zhǔn)，共74個(gè)控制點(diǎn)）作為系統(tǒng)的測(cè)評(píng)依據(jù)。在測(cè)評(píng)過(guò)程中，結(jié)合系統(tǒng)業(yè)務(wù)和單位實(shí)際情況，我們分別對(duì)《基礎(chǔ)支撐系統(tǒng)》、《面向患者服務(wù)系統(tǒng)》選取57個(gè)控制點(diǎn)和68個(gè)控制點(diǎn)作為該系統(tǒng)等級(jí)測(cè)評(píng)指標(biāo)（其余控制點(diǎn)不適用）。其中《基礎(chǔ)支撐系統(tǒng)》34個(gè)控制點(diǎn)為符合、20個(gè)控制點(diǎn)為部分符合、3個(gè)控制點(diǎn)為不符合，《面向患者服務(wù)系統(tǒng)》34個(gè)控制點(diǎn)為符合、29個(gè)控制點(diǎn)為部分符合、5個(gè)控制點(diǎn)為不符合。同樣，我們對(duì)《門戶網(wǎng)站系統(tǒng)》、《協(xié)同辦公系統(tǒng)》分別選取59個(gè)控制點(diǎn)和74個(gè)控制點(diǎn)作為系統(tǒng)等級(jí)測(cè)評(píng)指標(biāo)（其余控制點(diǎn)不適用）。其中《門戶網(wǎng)站系統(tǒng)》39個(gè)控制點(diǎn)為符合、18個(gè)控制點(diǎn)為部分符合、2個(gè)控制點(diǎn)為不符合，《協(xié)同辦公系統(tǒng)》41個(gè)控制點(diǎn)為符合、28個(gè)控制點(diǎn)為部分符合、5個(gè)控制點(diǎn)為不符合。通過(guò)測(cè)評(píng)結(jié)果分析，4套系統(tǒng)的等級(jí)測(cè)評(píng)結(jié)論均為“基本符合”。

2.2 2016年總體評(píng)價(jià)

經(jīng)過(guò)兩年時(shí)間的建設(shè)整改以及門戶網(wǎng)站、協(xié)同辦公系統(tǒng)對(duì)外面向用戶的擴(kuò)展，同時(shí)考慮到WEB應(yīng)用系統(tǒng)的宣傳影響，我院4套系統(tǒng)在2016年等保復(fù)測(cè)評(píng)時(shí)已經(jīng)全部定級(jí)為三級(jí)系統(tǒng)。根據(jù)4套系統(tǒng)定級(jí)情況，我們采用《GB/ T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》S3A2G3標(biāo)準(zhǔn)（共76個(gè)控制點(diǎn)）作為全部系統(tǒng)的測(cè)評(píng)依據(jù)。經(jīng)過(guò)測(cè)評(píng)，《基礎(chǔ)支撐系統(tǒng)》39個(gè)控制點(diǎn)為符合、16個(gè)控制點(diǎn)為部分符合、2個(gè)控制點(diǎn)為不符合，《面向患者系統(tǒng)》35個(gè)控制點(diǎn)為符合、29個(gè)控制點(diǎn)為部分符合、4個(gè)控制點(diǎn)為不符合，《門戶網(wǎng)站系統(tǒng)》39個(gè)控制點(diǎn)為符合、21個(gè)控制點(diǎn)為部分符合、9個(gè)控制點(diǎn)為不符合，《協(xié)同辦公系統(tǒng)》40個(gè)控制點(diǎn)為符合、28個(gè)控制點(diǎn)為部分符合、8個(gè)控制點(diǎn)為不符合。通過(guò)復(fù)測(cè)評(píng)結(jié)果分析，4套系統(tǒng)等級(jí)復(fù)測(cè)評(píng)結(jié)論均為“基本符合”。

2.3 兩次測(cè)評(píng)對(duì)比評(píng)價(jià)與分析

在2014年等保初次測(cè)評(píng)階段，發(fā)現(xiàn)醫(yī)院信息系統(tǒng)存在很多安全問(wèn)題，也是醫(yī)療單位常見(jiàn)的安全防護(hù)弱點(diǎn)，例如：在物理安全方面未在內(nèi)外網(wǎng)之間設(shè)置物理隔離裝置、未提供介質(zhì)存儲(chǔ)環(huán)境；在網(wǎng)絡(luò)方面核心和匯聚設(shè)備未啟用訪問(wèn)控制功能；在主機(jī)安全方面未開(kāi)啟口令復(fù)雜度、無(wú)登陸失敗限制策略、未設(shè)置系統(tǒng)超時(shí)時(shí)間、審計(jì)內(nèi)容不全；在應(yīng)用安全方面無(wú)雙因子驗(yàn)證、未對(duì)最大并發(fā)連接數(shù)和多重并發(fā)連接數(shù)進(jìn)行限制、無(wú)異地備份功能、未采用密碼技術(shù)保證通信過(guò)程中的數(shù)據(jù)完整性和保密性等。

有了等保測(cè)評(píng)標(biāo)準(zhǔn)和測(cè)評(píng)結(jié)果報(bào)告，可以說(shuō)醫(yī)院就有了安全策略依據(jù)可以對(duì)照，經(jīng)過(guò)兩年的系統(tǒng)整改建設(shè)，包括醫(yī)院信息安全技術(shù)手段和產(chǎn)品的研究革新和新增及調(diào)整安全策略，我們?cè)?016年的定級(jí)升級(jí)和等保復(fù)測(cè)評(píng)后發(fā)現(xiàn)，《基礎(chǔ)支撐系統(tǒng)》和《面向患者系統(tǒng)》的符合控制點(diǎn)數(shù)量有了顯著上升，不符合點(diǎn)數(shù)量下降，具體對(duì)比，見(jiàn)圖2～3。同樣，因?yàn)榭紤]到《門戶網(wǎng)站系統(tǒng)》和《協(xié)同辦公系統(tǒng)》有了定級(jí)變化，要求大幅提高，但控制點(diǎn)的符合和部分符合項(xiàng)仍然保持在較高值，并對(duì)于初測(cè)評(píng)比較而言并沒(méi)有出現(xiàn)下落，可見(jiàn)安全策略和整改的效果顯著。

圖2 基礎(chǔ)支撐和面向患者系統(tǒng)2014年符合情況圖

圖3 基礎(chǔ)支撐和面向患者系統(tǒng)2016年符合情況圖

3 結(jié)論

醫(yī)院信息化領(lǐng)域發(fā)展迅猛，IT技術(shù)在極大地輔助醫(yī)院臨床的同時(shí)，也帶來(lái)了不少自身難以克服的缺陷，特別是醫(yī)院信息系統(tǒng)產(chǎn)品設(shè)計(jì)之初很少考慮安全問(wèn)題，更沒(méi)有充分考慮到如今互聯(lián)網(wǎng)的蓬勃發(fā)展所帶來(lái)的內(nèi)外網(wǎng)數(shù)據(jù)互聯(lián)互通的問(wèn)題，特別隨著智能移動(dòng)終端的普及，社交媒體的發(fā)展，使信息呈爆炸式增長(zhǎng)，用戶越來(lái)越依賴互聯(lián)網(wǎng)，越來(lái)越多地將自己與移動(dòng)互聯(lián)網(wǎng)緊緊結(jié)合在一起，同時(shí)也更多地把自己的信息參與到網(wǎng)絡(luò)中，使個(gè)人信息的隱私度降低，增加了泄露風(fēng)險(xiǎn)，極易引發(fā)嚴(yán)重的社會(huì)事件。醫(yī)院信息系統(tǒng)等保測(cè)評(píng)就是一種良好的，具有標(biāo)準(zhǔn)化參考價(jià)值的依據(jù)，讓醫(yī)院的安全建設(shè)有了更好的對(duì)照標(biāo)準(zhǔn)，通過(guò)等保定級(jí)、備案、安全整改/建設(shè)、測(cè)評(píng)/復(fù)測(cè)評(píng)這樣的循環(huán)迭進(jìn)改造，讓醫(yī)院的安全邊界更加牢固，安全策略更加可靠。當(dāng)然，并不是每一條等保的測(cè)評(píng)控制點(diǎn)都是符合醫(yī)院管理流程的，所以醫(yī)院也需要針對(duì)自己的差異化管理做出切合實(shí)際的安全改造，不斷加固網(wǎng)絡(luò)邊界安全，完善流程策略，提高管理水平。

[1] 汪玉凱.網(wǎng)絡(luò)安全戰(zhàn)略意義及新趨勢(shì)[J].人民論壇,2014, (16):37-39.

[2] 張偉麗.信息安全等級(jí)保護(hù)現(xiàn)狀淺析[J].信息安全與技術(shù),2014,(9):9-13.

[3] 李曉燕.以信息安全等級(jí)保護(hù)為依托推進(jìn)電子檔案安全保障體系建設(shè)[J].城建檔案,2014,(12):24-25.

[4] 王磊,魏曉艷,郎爽,等.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)評(píng)測(cè)的應(yīng)用與實(shí)踐[J].中國(guó)數(shù)字醫(yī)學(xué),2015,10(2):81-83.

[5] 辛均益,陳啟岳,王宏宇.關(guān)于醫(yī)院重要信息系統(tǒng)信息安全等級(jí)保護(hù)工作的探討[J].信息網(wǎng)絡(luò)安全,2013,(10):31-33.

[6] 蔡曉熙.基于風(fēng)險(xiǎn)分析的信息系統(tǒng)安全定級(jí)方法[D].南京:南京郵電大學(xué),2012.

[7] 朱賢斌,常樂(lè).基于等級(jí)保護(hù)基本要求的網(wǎng)站群安全體系研究[J].信息技術(shù)與信息化,2015,(9):107-108.

[8] 安慶權(quán),黃俊強(qiáng),王大萌.信息系統(tǒng)如何開(kāi)展定級(jí)備案工作[J].信息技術(shù),2011,(7):192-196.

[9] 王大萌,王希忠.測(cè)評(píng)機(jī)構(gòu)如何在等級(jí)保護(hù)工作中發(fā)揮更大作用[J].信息網(wǎng)絡(luò)安全,2012,(11):80-82.

[10] 韓作為.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)建設(shè)流程與要點(diǎn)[J].中國(guó)數(shù)字醫(yī)學(xué),2013,8(9):33-35.

[11] GB/T 28449-2012,信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南[S].

[12] 鄒陸曦,胡廣祿,孫玲.三甲醫(yī)院信息安全等級(jí)保護(hù)的實(shí)施及應(yīng)用[J].中國(guó)數(shù)字醫(yī)學(xué),2015,10(2):84-86.

[13] 張靜波,王韜.論醫(yī)院信息安全保障體系建設(shè)[J].中國(guó)醫(yī)院,2006,(10):51-53.

[14] 彭坤,冷金昌,孫曉瑋,等.基于等級(jí)保護(hù)的跨區(qū)域醫(yī)療信息安全保障體系研究[J].中國(guó)數(shù)字醫(yī)學(xué),2013,8(6):88-91.

[15] 于京杰,劉方斌,馬錫坤.數(shù)字化醫(yī)院信息系統(tǒng)的安全問(wèn)題[J].中國(guó)醫(yī)療設(shè)備,2013,28(6):88-90.

[16] 李志福.醫(yī)院網(wǎng)絡(luò)終端安全解決方案[J].中國(guó)數(shù)字醫(yī)學(xué),2007, 2(4):50-52.

本文編輯 王博潔

Discussion of Grading Protection Classification and Rectification for the Security of Hospital Information Systems

YANG Xuan, ZHOU Xiao-jia
Department of Information, Women’s Hospital, School of Medicine, Zhejiang University, Hangzhou Zhejiang 310006, China

Objective Through the grading protection classification of the security, this paper aimed to further improve operational security and information security of hospital information systems. Methods A comparison between the first grading protection evaluation results of the hospital in 2014 with the reevaluation results in 2016 was made. Results After the rectification for results of first grading protection evaluation, the fully and partially conformed items in the evaluation indicators of the 4 information systems in the hospital were gradually increasing, and the system security protection level was also improving. Conclusion The implementation of rectification after the grading protection evaluation could make security level of hospital information systems increase, and improve the safety awareness of hospital staff.

information security; hospital information system; grading protection; grading protection record

TP309

C

10.3969/j.issn.1674-1633.2017.06.045

1674-1633(2017)06-0166-04

2017-01-03

2017-03-13

浙江省科技計(jì)劃項(xiàng)目(2014C33082)：居家孕婦及胎兒持續(xù)健康監(jiān)測(cè)平臺(tái)。

作者郵箱：yangxuan@zju.edu.cn