PDCA在醫(yī)院信息系統(tǒng)安全監(jiān)管中的應(yīng)用

◆吳 璇

PDCA在醫(yī)院信息系統(tǒng)安全監(jiān)管中的應(yīng)用

◆吳 璇

（荊門市第一人民醫(yī)院 湖北 448000）

為加強(qiáng)醫(yī)院信息系統(tǒng)安全與規(guī)范化管理，本文詳細(xì)描述了利用PDCA管理模式對(duì)醫(yī)院信息安全進(jìn)行監(jiān)管的過程，將這四個(gè)環(huán)節(jié)進(jìn)行具體化，使之更具有操作性，經(jīng)過PDCA循環(huán)監(jiān)管，加強(qiáng)了我院信息系統(tǒng)安全，提升了信息科滿意度。

信息安全；PDCA循環(huán)信息系統(tǒng)

0 引言

信息系統(tǒng)是醫(yī)院管理運(yùn)行的核心與精髓，三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)要求實(shí)施國家信息安全等級(jí)保護(hù)制度，實(shí)行信息系統(tǒng)操作權(quán)限分級(jí)管理，保障網(wǎng)絡(luò)信息安全，保護(hù)患者隱私，推動(dòng)系統(tǒng)運(yùn)行維護(hù)的規(guī)范化管理，落實(shí)突發(fā)事件響應(yīng)機(jī)制，保證業(yè)務(wù)的連續(xù)性。PDCA 循環(huán)是一種科學(xué)的工作程序，其中：P表示計(jì)劃（Plan）；D表示實(shí)施（Do）；C表示檢查（Check）；A表示處理（Action）。PDCA循環(huán)即是“計(jì)劃—實(shí)施—檢查—處理”工作循環(huán)的簡稱，循環(huán)不斷進(jìn)行則質(zhì)量不斷提高。一直以來，信息科加強(qiáng)組織領(lǐng)導(dǎo)，強(qiáng)化宣傳教育，落實(shí)工作責(zé)任，加強(qiáng)日常監(jiān)督檢查及信息系統(tǒng)安全維護(hù)日常工作，利用PDCA管理模式對(duì)我院信息系統(tǒng)安全進(jìn)行監(jiān)管。

1 計(jì)劃(Plan)

1.1現(xiàn)狀分析

2016年對(duì)全院主要臨床科室及部分行管后勤部門信息終端設(shè)備巡查情況如下，如表1所示。

表1 2016年信息安全巡查情況

1.2目標(biāo)

加強(qiáng)信息安全管理，提高信息終端設(shè)備硬件完好率、網(wǎng)絡(luò)及信息系統(tǒng)正常運(yùn)行率，提高臨床科室對(duì)信息科及院外維護(hù)公司滿意度。

1.3原因分析

根據(jù)現(xiàn)狀調(diào)查情況，分別從人員、硬件、網(wǎng)絡(luò)、信息系統(tǒng)四個(gè)方面進(jìn)行了原因分析，如圖1所示。

2 執(zhí)行(Do)

2016－2017期間，針對(duì)信息系統(tǒng)及信息安全問題，開展以下工作：

（1）專人負(fù)責(zé)全院的網(wǎng)絡(luò)維護(hù)、系統(tǒng)維護(hù)工作，定期對(duì)我院系統(tǒng)進(jìn)行檢修維護(hù)，一年一大檢、一月一小檢、平時(shí)常檢，預(yù)防和解決網(wǎng)絡(luò)故障和信息系統(tǒng)安全漏洞，為我院信息系統(tǒng)安全工作提供有力的技術(shù)保障。

（2）部分電腦使用年限過長，使用8年以上的電腦硬件已無法滿足現(xiàn)有程序的運(yùn)行，信息科指定專人統(tǒng)計(jì)了全院電腦配置情況，根據(jù)電腦配置不同區(qū)別對(duì)待，建議請(qǐng)示升級(jí)或更換舊電腦，優(yōu)化超使用年限電腦硬件配置。

圖1 原因分析

（3）通知各院外維護(hù)公司嚴(yán)格按照規(guī)定做好服務(wù)工作，價(jià)格統(tǒng)一，降低耗材使用成本，提高服務(wù)質(zhì)量。

（4）加強(qiáng)臨床科室操作人員培訓(xùn)，提高信息系統(tǒng)使用熟練度，組織相關(guān)員工學(xué)習(xí)計(jì)算機(jī)的基本操作技能和信息安全常識(shí)等內(nèi)容，對(duì)各科提出的新需求進(jìn)行及時(shí)調(diào)研及完善。

（5）有效控制邏輯訪問和權(quán)限設(shè)置。完善信息系統(tǒng)全院人員信息基礎(chǔ)字典，對(duì)字典進(jìn)行監(jiān)控和管理，防止擅自修改字典庫，及時(shí)調(diào)整字典庫的內(nèi)容，確保系統(tǒng)的正常運(yùn)行。對(duì)出現(xiàn)的問題能夠及時(shí)加以處理，包括完善在職人員的個(gè)人信息及賬號(hào)等級(jí)權(quán)限設(shè)置，對(duì)離職人員信息進(jìn)行及時(shí)維護(hù)。加大力度對(duì)計(jì)算機(jī)安全知識(shí)的培訓(xùn)教育，督促各員工修改個(gè)人賬號(hào)的初始密碼，使用完畢后及時(shí)退出登錄，加強(qiáng)賬號(hào)的安全性，提高做好安全工作的主動(dòng)性和自覺性。

（6）加強(qiáng)網(wǎng)絡(luò)和數(shù)據(jù)安全管理。信息科負(fù)責(zé)對(duì)網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)督、檢查，進(jìn)行全面細(xì)致的安全工作部署，提高全院的系統(tǒng)安全意識(shí)。嚴(yán)格控制全院計(jì)算機(jī)終端，內(nèi)網(wǎng)與外網(wǎng)物理隔絕，規(guī)定同一臺(tái)電腦不能同時(shí)配置內(nèi)外網(wǎng)，雙網(wǎng)間不得相互搭接，嚴(yán)禁泄密。在內(nèi)網(wǎng)客戶端上，禁止使用USB等各種移動(dòng)存儲(chǔ)設(shè)備。定期檢查各計(jì)算機(jī)內(nèi)信息狀況，對(duì)網(wǎng)絡(luò)進(jìn)行全局范圍內(nèi)的監(jiān)控，掌握發(fā)生的內(nèi)部違規(guī)事件和外部入侵行為，對(duì)于發(fā)現(xiàn)的問題及時(shí)處理，降低網(wǎng)絡(luò)被侵害的風(fēng)險(xiǎn)。

（7）安裝網(wǎng)絡(luò)運(yùn)維系統(tǒng)、桌面管理軟件，做好數(shù)據(jù)存儲(chǔ)與備份，落實(shí)信息安全等級(jí)保護(hù)落實(shí)措施，做好信息系統(tǒng)應(yīng)急預(yù)案，加強(qiáng)信息科機(jī)房巡檢，保障信息系統(tǒng)運(yùn)行穩(wěn)定、安全。

3 檢查(Check)

實(shí)施改進(jìn)后，2017年對(duì)全院主要臨床科室及部分行管后勤部門信息終端設(shè)備巡查情況如下，如表2所示。

表2 2017年信息安全巡查情況

巡查結(jié)果較之前有所提高，如表3所示。

表3 巡查結(jié)果對(duì)比

這次巡查還存在以下問題：醫(yī)保結(jié)賬問題、打印耗材品質(zhì)及使用期限問題、硬件維修人員專業(yè)技術(shù)問題、電腦運(yùn)行速度慢問題、病歷系統(tǒng)模板使用問題、移動(dòng)醫(yī)療未建設(shè)、無線網(wǎng)絡(luò)覆蓋問題等，將在下一步行動(dòng)中進(jìn)行整改。

4 行動(dòng)(Action)

在以后的信息安全工作中，我們將結(jié)合實(shí)際，主要在以下幾個(gè)方面進(jìn)行整改。

（1）重點(diǎn)抓好“三大安全”排查：一是硬件安全，包括防雷、防火、防盜和電源連接等；二是網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)結(jié)構(gòu)、安全日志管理、密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等；三是應(yīng)用安全，包括網(wǎng)站、資源庫管理、軟件管理等。

（2）針對(duì)信息安全意識(shí)需進(jìn)一步提升問題，進(jìn)一步加大力度對(duì)計(jì)算機(jī)安全知識(shí)的培訓(xùn)教育，提高做好安全工作的主動(dòng)性和自覺性。

（3）針對(duì)設(shè)備維護(hù)、及時(shí)更新問題，加大對(duì)線路、系統(tǒng)等及時(shí)維護(hù)和保養(yǎng)，同時(shí)針對(duì)信息技術(shù)的快速發(fā)展的特點(diǎn)，加大更新力度。

（4）針對(duì)工作機(jī)制不夠完善問題。要堅(jiān)持以制度為根本，在進(jìn)一步完善信息安全制度的同時(shí)，安排專人，完善設(shè)施、密切監(jiān)測，加大獎(jiǎng)懲力度，隨時(shí)隨地解決可能發(fā)生的信息系統(tǒng)安全事故，確保此項(xiàng)工作穩(wěn)定運(yùn)行。

總之，我院沒有出現(xiàn)違反信息安全規(guī)定行為和造成泄密事故、信息安全事故的情況發(fā)生。以上面臨的問題將反映到下一個(gè)PDCA循環(huán)中，從而實(shí)現(xiàn)保障信息安全的持續(xù)改進(jìn)。

5 結(jié)論

由實(shí)踐及效果可知，PDCA管理模式在監(jiān)管醫(yī)院信息安全方面是可取的，通過PDCA循環(huán)監(jiān)管，我院的信息系統(tǒng)安全得到加強(qiáng)，亦提升了信息科滿意度。

[1]孫巧燕.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)技術(shù)在醫(yī)院信息建設(shè)中的作用[J].醫(yī)學(xué)信息（中旬刊），2010.

[2]李春杰.淺議PDCA循環(huán)方法和統(tǒng)計(jì)分析方法在質(zhì)量控制中的應(yīng)用[J].制造業(yè)自動(dòng)化，2009.

[3]張亮.計(jì)算機(jī)網(wǎng)絡(luò)與醫(yī)院信息化管理方案探討[J].中外健康文摘，2013.