基于等級保護(hù)要求加強(qiáng)醫(yī)院信息安全管理

◆李大鵬

?

基于等級保護(hù)要求加強(qiáng)醫(yī)院信息安全管理

◆李大鵬

（六安市中醫(yī)院 安徽 237000）

近年來，我國各大醫(yī)院都開始加大了對信息化建設(shè)的投入，從而給患者及醫(yī)院自身帶來了一定的便利。但隨著信息系統(tǒng)及其相關(guān)信息的不斷增加，相應(yīng)的信息安全問題也開始浮出水面。本文主要針對基于等級保護(hù)要求加強(qiáng)醫(yī)院信息安全管理的內(nèi)容進(jìn)行探討，首先介紹了醫(yī)院信息安全等級保護(hù)的基本內(nèi)容，然后對信息等級保護(hù)的重要性進(jìn)行了分析，最后對加強(qiáng)醫(yī)院信息安全建設(shè)的有效策略進(jìn)行了討論與總結(jié)。

等級保護(hù)；醫(yī)院；信息安全；管理

1 醫(yī)院信息安全等級保護(hù)的基本內(nèi)容

隨著信息科學(xué)技術(shù)的不斷發(fā)展，各大醫(yī)院也紛紛開始朝著信息化的方向進(jìn)行發(fā)展，但是在信息技術(shù)的應(yīng)用過程中，極有可能會出現(xiàn)某些信息安全問題，從而造成院內(nèi)重要信息被破壞甚至被竊取的情況。作為醫(yī)院信息安全防護(hù)的關(guān)鍵方式，信息系統(tǒng)等級保護(hù)可以根據(jù)相應(yīng)的等級保護(hù)要求，對醫(yī)院的信息化特點(diǎn)進(jìn)行分析，并將其安全防護(hù)過程中的難點(diǎn)逐一進(jìn)行解決，從而達(dá)到對醫(yī)院信息安全的保障。

1.1 信息等級保護(hù)的基本概念

信息安全等級保護(hù)制度的實(shí)行使我國的信息安全防護(hù)能力得到了一定程度的提高，同時(shí)也促進(jìn)了我國各方面建設(shè)的正常進(jìn)行，使社會的安全性與穩(wěn)定性得到了相應(yīng)的保障。在2016年，我國正式頒布并實(shí)施了相關(guān)的網(wǎng)絡(luò)安全等級保護(hù)制度，其中明確規(guī)范了相關(guān)的網(wǎng)絡(luò)安全等級保護(hù)制度。醫(yī)院相應(yīng)的信息等級保護(hù)體系主要包括兩個(gè)內(nèi)容：第一，信息安全管理體系，即安全事件管理、安全管理策略和人員安全管理，以及系統(tǒng)運(yùn)維管理與系統(tǒng)建設(shè)管理；第二，信息安全技術(shù)，即保證相應(yīng)的數(shù)據(jù)、應(yīng)用、主機(jī)、網(wǎng)絡(luò)、物理安全。

1.2 信息等級保護(hù)體系的基本內(nèi)容

1.2.1 信息安全管理體系的內(nèi)容

信息安全管理體系的內(nèi)容主要分為三部分：第一，人員培訓(xùn)規(guī)范化。信息安全等級保護(hù)工作需要長時(shí)間來持續(xù)進(jìn)行，且需要絕對專業(yè)的技術(shù)人員來進(jìn)行，然而目前我國各大醫(yī)院內(nèi)的相關(guān)工作人員在這方面的工作經(jīng)驗(yàn)很少，且無法短期內(nèi)做到對相關(guān)技術(shù)的掌握及熟練操作，因此就要求醫(yī)院內(nèi)部做到對相關(guān)人員定期進(jìn)行集中的培訓(xùn)，使他們能夠盡快掌握相應(yīng)的信息安全等級保護(hù)技能，從而使醫(yī)院信息的安全性得到一定的提高。第二，加大對安全管理方面的投入。隨著經(jīng)濟(jì)的不斷發(fā)展，大部分醫(yī)院都已經(jīng)明顯加大了對信息化發(fā)展的資金投入，但是目前來看，這些資金通常都投入到了新項(xiàng)目中或是用于維護(hù)網(wǎng)絡(luò)系統(tǒng)的過程中了，在信息安全防護(hù)方面投入的資金少之又少甚至部分醫(yī)院并沒有對其的資金投入，從而造成了安全隱患的產(chǎn)生。第三，安全意識的強(qiáng)化。信息安全意識主要指工作人員在信息化的工作過程中時(shí)刻保持警戒狀態(tài)的一種心理，在醫(yī)院的日常工作中，也應(yīng)要求全體人員加強(qiáng)自身的信息安全意識，做到對安全問題的時(shí)刻戒備，從而有效避免或減少相關(guān)問題的發(fā)生。

1.2.2 信息安全技術(shù)的內(nèi)容

信息安全技術(shù)主要包括五部分內(nèi)容：第一，數(shù)據(jù)安全。隨著網(wǎng)絡(luò)信息技術(shù)在醫(yī)院內(nèi)的廣泛應(yīng)用，目前醫(yī)院內(nèi)最主要的財(cái)富與資源就是其日常運(yùn)行的相關(guān)數(shù)據(jù)，因此醫(yī)院應(yīng)該針對相關(guān)的重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)工作，并對其進(jìn)行詳細(xì)的備份，不斷完善相應(yīng)的備份恢復(fù)機(jī)制，采取有效的數(shù)據(jù)安全保障方法，確保數(shù)據(jù)能夠快速進(jìn)行恢復(fù)，同時(shí)對相應(yīng)的信息技術(shù)進(jìn)行利用，做到數(shù)據(jù)的異地備份以解決各種干擾因素帶來的問題，從而避免因數(shù)據(jù)的丟失對院方的正常工作造成一定的影響。第二，應(yīng)用安全。目前在應(yīng)用安全方面最主要的問題就是系統(tǒng)整合后的用戶同步。為了解決這一問題，可以通過對系統(tǒng)進(jìn)行整合，再對相應(yīng)的用戶管理系統(tǒng)進(jìn)行統(tǒng)一的建立與健全，即設(shè)立相應(yīng)的用戶數(shù)據(jù)庫，將系統(tǒng)內(nèi)的用戶信息共同進(jìn)行儲存，并對相對應(yīng)的用戶進(jìn)行授權(quán)，從而使存儲統(tǒng)一及逐一授權(quán)的目標(biāo)得到實(shí)現(xiàn)。第三，主機(jī)安全。即要求院方對所有的服務(wù)器進(jìn)行密碼的設(shè)置，并定期對其進(jìn)行網(wǎng)絡(luò)殺毒，將沒有必要的服務(wù)端口關(guān)閉，并進(jìn)行科學(xué)合理的權(quán)限設(shè)置，開啟相應(yīng)的安全審計(jì)功能，對服務(wù)器及管理終端進(jìn)行監(jiān)控，從而做到對惡意代碼的有效防范。第四，網(wǎng)絡(luò)安全。作為醫(yī)院信息化工作的基本內(nèi)容，網(wǎng)絡(luò)通信具有覆蓋面積較廣和端點(diǎn)較為分散的特點(diǎn)，因此成了醫(yī)院進(jìn)行等級保護(hù)工作過程中的重中之重。通常情況下，等級保護(hù)工作都會以當(dāng)前存在的網(wǎng)絡(luò)為基礎(chǔ)來進(jìn)行，其基礎(chǔ)設(shè)施通常都比較固定，在這個(gè)過程中主要應(yīng)該對網(wǎng)絡(luò)的高效性與合理性進(jìn)行考慮，從而使網(wǎng)絡(luò)的安全性與其運(yùn)行效率能夠得到一定程度的提升，從而有效達(dá)成信息安全保護(hù)工作的目標(biāo)。同時(shí)，還應(yīng)進(jìn)行網(wǎng)絡(luò)安全訪問策略的合理制定，并對相應(yīng)的網(wǎng)絡(luò)安全設(shè)備進(jìn)行增設(shè)，將網(wǎng)絡(luò)通訊單點(diǎn)等問題盡可能進(jìn)行消除，從而使網(wǎng)絡(luò)的高可用性得到一定程度的保障。第五，物理安全，即做好中心機(jī)房的防水、防火及防盜等工作，確保其場所的安全性。作為整個(gè)醫(yī)院信息系統(tǒng)的中心區(qū)域，中心機(jī)房內(nèi)的物理環(huán)境應(yīng)該進(jìn)行嚴(yán)格控制，要求其做到雙路進(jìn)行供電，遠(yuǎn)離水源與電磁干擾等，并嚴(yán)設(shè)相應(yīng)的門禁，對不同人員的進(jìn)出進(jìn)行監(jiān)管及控制，從而避免不法分子隨意進(jìn)出的現(xiàn)象。

2 信息安全等級保護(hù)的重要性

隨著對信息化的不斷利用，醫(yī)院相關(guān)的工作效率得到一定的提高，給醫(yī)院帶來了極大的便利，但同時(shí)也帶來了相應(yīng)的信息安全方面的隱患問題，例如2015年10月的澳門山頂醫(yī)院泄密事件造成了患者的個(gè)人資料遍地散落，隱私受到嚴(yán)重的威脅，從而造成了極壞的社會影響，由此可見信息安全等級保護(hù)的重要性。從整體的角度來看，醫(yī)療服務(wù)行業(yè)的穩(wěn)定發(fā)展關(guān)系到了人民的生活，也對社會的穩(wěn)定性起到了至關(guān)重要的作用，而相應(yīng)的醫(yī)療信息系統(tǒng)則是目前保證醫(yī)療服務(wù)穩(wěn)定運(yùn)行的核心，因此醫(yī)院信息安全管理的加強(qiáng)對推進(jìn)我國的信息化建設(shè)十分重要。

3 加強(qiáng)醫(yī)院信息安全建設(shè)的有效策略

3.1 建全相應(yīng)的信息安全管理制度

信息安全管理制度作為信息安全工作總的目標(biāo)、方針及原則，其建立要求醫(yī)院結(jié)合自身信息安全方面的主要特點(diǎn)來進(jìn)行，并對醫(yī)院今后的基本制度以及主要任務(wù)作出了規(guī)定。同時(shí)，要將制度從建立到發(fā)布的整個(gè)過程的內(nèi)容進(jìn)行明確，并定期組織相關(guān)的修訂及評審工作，從而確保相應(yīng)信息安全管理制度的完善性，使醫(yī)院在不斷進(jìn)行信息化發(fā)展過程中的需求能夠得到相應(yīng)的滿足。

3.2 加強(qiáng)工作人員的專業(yè)化考核與培訓(xùn)

信息安全管理工作要求其操作人員具有一定的專業(yè)技術(shù)水平，因此院方在工作人員的錄用與培訓(xùn)等方面要做到以下幾點(diǎn)：首先，在錄用相關(guān)的工作人員時(shí)要嚴(yán)格對被錄用者進(jìn)行相應(yīng)的資格審查，在決定錄用后，要求其與院方簽訂相應(yīng)的保密協(xié)議，且在其離職時(shí)，應(yīng)嚴(yán)格按照相關(guān)的流程要求及時(shí)收回其在醫(yī)院內(nèi)的鑰匙、重要證件及賬號等；第二，醫(yī)院應(yīng)定期對工作人員進(jìn)行考核，考核的基本內(nèi)容包括對信息安全認(rèn)知及技術(shù)的考核，從而保證每位工作人員在工作過程中都能履行其保護(hù)醫(yī)院信息安全的責(zé)任；第三，醫(yī)院應(yīng)定期組織工作人員進(jìn)行培訓(xùn)，從而使他們的安全意識能夠得到一定的提高，同時(shí)，應(yīng)制定并實(shí)行科學(xué)合理的獎(jiǎng)罰制度，從而在一定程度上促進(jìn)員工的工作積極性并提高他們的安全意識；最后，當(dāng)外來人員進(jìn)行訪問及參觀考察活動時(shí)，院方也應(yīng)嚴(yán)格按照流程來對其審批及授權(quán)，從而使醫(yī)院的順利運(yùn)行能夠得到相應(yīng)的保障。

3.3 完善相應(yīng)的安全管理機(jī)構(gòu)

醫(yī)院的信息安全管理工作不是單個(gè)人或部門能夠獨(dú)立完成的，而是全體在職人員共同努力達(dá)到的。因此，醫(yī)院應(yīng)該對相關(guān)的安全管理機(jī)構(gòu)進(jìn)行完善，首先應(yīng)該成立信息化領(lǐng)導(dǎo)小組對院長與書記進(jìn)行監(jiān)督管理，接著依次是副院長和信息科科長，然后由信息科科長對系統(tǒng)、網(wǎng)絡(luò)及安全管理組長進(jìn)行管理，并分配給各個(gè)管理組長相應(yīng)的管理任務(wù)，對普通的員工進(jìn)行監(jiān)督管理。由此可見，安全管理機(jī)制明確了每個(gè)崗位的相應(yīng)職責(zé)，要求在崗人員從自己做起，從而能夠有效保證醫(yī)院內(nèi)的每個(gè)人都能參與進(jìn)來，進(jìn)而使醫(yī)院信息化發(fā)展過程中的要求能夠得到相應(yīng)的滿足。

3.4 建立健全醫(yī)院的信息系統(tǒng)

隨著科學(xué)技術(shù)的不斷發(fā)展，信息化逐漸深入人們的工作與生活中，為了更好地順應(yīng)時(shí)代發(fā)展的要求，使各類業(yè)務(wù)的需求得到滿足，醫(yī)院也應(yīng)該結(jié)合自身的實(shí)際情況來進(jìn)行信息系統(tǒng)的建設(shè)，與此同時(shí)還要制定相應(yīng)合理的建設(shè)管理制度，從而作為信息系統(tǒng)建設(shè)的根本依據(jù)，確保信息系統(tǒng)能夠順利完成建設(shè)。此外，院方的管理人員還應(yīng)該制定相應(yīng)的管理制度，并根據(jù)人員的不同進(jìn)行操作手冊的分類發(fā)放，確保使用者能夠規(guī)范地進(jìn)行有關(guān)操作，從而使因人為操作失誤造成的故障次數(shù)得到減少，使相關(guān)的系統(tǒng)運(yùn)行維護(hù)人員能夠順利進(jìn)行系統(tǒng)的維護(hù)操作。

3.5 加強(qiáng)信息安全應(yīng)急管理措施

做到對應(yīng)急預(yù)案的完善制定，就能夠及時(shí)對醫(yī)院信息系統(tǒng)出現(xiàn)的各種問題進(jìn)行處理。其中應(yīng)急預(yù)案的主要內(nèi)容應(yīng)該包括對各部門職責(zé)任務(wù)的明確規(guī)定，從而對黑客攻擊等突發(fā)事件做到妥善的處理，并且還要求工作人員對該應(yīng)急預(yù)案做到熟練掌握。同時(shí)，醫(yī)院還應(yīng)定期展開相應(yīng)的模擬演練，并將整個(gè)過程進(jìn)行記錄分析與總結(jié)，從而在后期能夠針對不足進(jìn)行改正和彌補(bǔ)。除此之外，醫(yī)院還應(yīng)保留一支能夠進(jìn)行應(yīng)急救援的專業(yè)人才隊(duì)伍，并將各種備件等物資配備齊全，以防不備之需。

4 小結(jié)

綜上所述，隨著信息化技術(shù)的不斷發(fā)展壯大，人們對信息網(wǎng)絡(luò)技術(shù)的應(yīng)用也逐漸廣泛起來。目前的醫(yī)療行業(yè)也正在朝著信息化的方向迅速發(fā)展，但在醫(yī)院進(jìn)行信息化發(fā)展的同時(shí)，也面臨了相應(yīng)的信息安全方面的重大挑戰(zhàn)。因此，人們也逐漸開始加強(qiáng)對醫(yī)院信息安全等級保護(hù)的重視，并建立了相應(yīng)的信息安全等級保護(hù)制度，使我國的信息安全保障水平得到了絕對的提高，從而使醫(yī)療衛(wèi)生服務(wù)的質(zhì)量水平及其工作效率能夠得到一定的保障，進(jìn)而使社會的穩(wěn)定性、國家的安全性得到了明顯的提高。

[1]劉白璐，楊雅輝，沈晴霓.網(wǎng)絡(luò)入侵早期檢測方法的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2013(7)：1-6.

[2]朱圣才，徐御，金銘彥.基于等級保護(hù)策略的云計(jì)算安全風(fēng)險(xiǎn)評估[J].計(jì)算機(jī)安全，2013(5)：39-42.

[3]陳雪秀，任衛(wèi)紅，謝朝海.信息系統(tǒng)安全等級保護(hù)能力構(gòu)成框架研究[J].信息網(wǎng)絡(luò)安全，2008(9)：30-32.

[4]楊棟，劉立輝，任志剛.醫(yī)院信息安全管理與措施[J].中國醫(yī)療設(shè)備，2011，26(6)：70-72.

[5]曹利峰，陳性元，杜學(xué)繪.多級安全網(wǎng)絡(luò)區(qū)域邊界訪問控制模型研究[J].計(jì)算機(jī)工程與應(yīng)用，2011，47(32)：118-122.