醫(yī)院電子病歷系統(tǒng)信息安全解決方案初探

陳智君

廣西北海市合浦縣人民醫(yī)院 廣西 合浦 536100

電子病歷可以采用計算機對病歷進行有效的記錄，運用相關(guān)的電子設(shè)備（如計算機或健康卡）等進行保存、傳輸，完成數(shù)字化的醫(yī)療記錄。電子病歷系統(tǒng)在應用當中，可以針對病人形成個性化記錄，為相關(guān)用戶提供完整準確的醫(yī)療數(shù)據(jù)，起到提示以及醫(yī)療決策支持作用。作為醫(yī)療診斷的原始記錄，病歷對于患者的治療以及醫(yī)護人員治療方案的制定具有重要的指示性。隨著我國醫(yī)院計算機管理網(wǎng)絡化，電子病歷是未來醫(yī)療領(lǐng)域的必然產(chǎn)物，其在臨床的初步應用可以極大提升醫(yī)院的工作效率。

1 電子病歷的安全問題要素概述

電子病歷的安全問題進行概述，在醫(yī)院治療過程當中，患者的治療信息可以為醫(yī)院的醫(yī)生提供有效的參考，同時也便于患者后續(xù)復查[1-2]。而患者的信息必須通過有效的載體進行記錄，被記錄后的載體可稱之為“病案”。病案一直與醫(yī)院的治療體系以及服務措施有著深刻的連接作用。在電子病歷的應用當中，其自身對于醫(yī)院信息管理以及病人的重要性具有非常巨大的應用性，因此，在發(fā)展當中，世界社會各界對其投入了高度的關(guān)注。在我國，對于電子病歷也嘗試了一定規(guī)模的拓展，以創(chuàng)造出適合其發(fā)展的有效環(huán)境。雖然電子病歷的發(fā)展具有明顯的應用優(yōu)勢，但是在后續(xù)研究當中，依然存在了部分亟待解決的問題。首先，電子病歷的安全性將是醫(yī)院后續(xù)改進的重點目標，電子病歷的安全性如不有效處理，將引發(fā)醫(yī)療投訴以及糾紛。就傳統(tǒng)的紙質(zhì)病例轉(zhuǎn)移至電子化病例管理，相關(guān)環(huán)節(jié)必須符合醫(yī)院關(guān)于病例安全性以及合法性的設(shè)定。

2 電子病歷的信息安全風險分析

2.1 相關(guān)的法律效率不足

在電子病歷信息安全分析當中，電子病歷的相關(guān)法律條款較不完善。因此，在電子病例出現(xiàn)法律糾紛時，無法產(chǎn)生重要的法律依據(jù)[3-5]。就電子病歷未來的發(fā)展而言，設(shè)立電子病歷的專業(yè)法律效益，以便處理其有可能會發(fā)生的相關(guān)問題非常重要，是推動電子病歷完善發(fā)展的重要基礎(chǔ)。在我國衛(wèi)生機構(gòu)，雖然針對電子病歷后期發(fā)展設(shè)定了相關(guān)的規(guī)范，但是目前電子病歷在法律效應當中暫時并未得到全面發(fā)展。這就導致電子病歷在信息認證以及法律效益當中，相關(guān)制度以及其責任認定模糊，在實際運行過程當中存在較多的漏洞。且電子病歷具有一定的特殊性，其電子簽名以及病歷不具有等同效力，電子病歷的法律效益受到了一定程度的質(zhì)疑，不利于患者信息安全以及個人權(quán)益的有效保障。

2.2 電子病歷相關(guān)的制度保障不全面

由于電子病歷在我國的開展時間較慢，整體的實施進度與發(fā)達國家相比滯后，因此其相關(guān)的制度保障較不健全，缺乏完善的監(jiān)管機制。在電子病歷管理過程當中，其信息安全問題以及醫(yī)院管理制度、醫(yī)護人員安全意識等均有較大的待提升空間[6-8]。目前，其電子病歷問題主要可體現(xiàn)在以下兩大方面。

其一，電子病歷對于患者在就醫(yī)過程當中的診療記錄以及后續(xù)查詢等相關(guān)信息真實性有待提升。在錄入過程當中，醫(yī)護人員為了保證病例輸入效率，有時會采用掃描、復制等方式。但電子病歷的某些特殊符號無法通過掃描，在后續(xù)核對當中，醫(yī)護人員要處理大量的病例數(shù)據(jù)，無法保證有效的準確性。因此，患者的醫(yī)療情況有可能會出現(xiàn)一定程度的信息不真實現(xiàn)象。

其二，缺乏相關(guān)的制度保障。醫(yī)院的各項規(guī)章制度設(shè)定不全，或在設(shè)立當中，醫(yī)院并未根據(jù)自身的實際情況完成設(shè)定，導致質(zhì)量監(jiān)管無法有效開展。在出現(xiàn)問題時，責任不清，導致問題無法有效落實，影響了醫(yī)院的整體運行效率。

2.3 電子病歷的安全機制不足

就目前電子病歷的安全機制而言，其在身份認證中存在嚴重的待改進問題。在系統(tǒng)管理員以及系統(tǒng)用戶名當中，均采用老舊的登錄方式進行認證，如統(tǒng)一用戶名以及統(tǒng)一密碼，甚至不同科室的密碼僅在后面添加“1”或“2”等進行區(qū)分。這種安全認證方式將導致相關(guān)的安全機制認證形同虛設(shè)，極容易被不良分子攻破，且電子病歷的數(shù)據(jù)儲存也主要可分為以下三大問題。

2.3.1 電子病歷以相關(guān)文件的方式保存在后臺數(shù)據(jù)庫當中，而后臺數(shù)據(jù)服務器對于黑客而言，其安全模式不足，使得這些數(shù)據(jù)極易被獲取。在目前操作當中，醫(yī)護人員在相關(guān)終端錄入病歷信息后，數(shù)據(jù)的安全性便處于“架空”狀態(tài)，無有效手段進行監(jiān)控保障。在電子病歷沒有安全機制驗證情況下，無法保證醫(yī)護人員在前期輸入信息時的有效安全。

2.3.2 EMR的意外事故不可避免，且在醫(yī)院電子病歷運行當中，EMR的意外事故有可能會導致以往的儲存數(shù)據(jù)出現(xiàn)損壞、亂碼甚至丟失的現(xiàn)象。

2.3.3 在鏈路當中，其采用了傳統(tǒng)的傳輸協(xié)議。該傳輸協(xié)議的傳輸通道較為簡單，且醫(yī)院受自身IT部門綜合能力的影響，其數(shù)據(jù)通道極容易被監(jiān)聽、篡改。甚至導致醫(yī)護人員個人信息以及病人電子病歷被竊取販賣，使病人出現(xiàn)被詐騙、騷擾的現(xiàn)象，干擾了病人的診療效率。

3 如何有效提升電子病歷的信息安全

3.1 完成宏觀的法律制度建設(shè)

目前，就電子病歷而言，其相關(guān)的法律立法工作必須有效完善，加快電子病歷自身的安全保障措施。此外，醫(yī)院自身也必須設(shè)立有效的懲處制度，避免違法行為以及醫(yī)院處理模式不到位的現(xiàn)象。加強醫(yī)院的監(jiān)管，相關(guān)政府應做到有法必依、執(zhí)法必嚴的工作流程。政府加強自身的統(tǒng)籌指導，與衛(wèi)生部門聯(lián)合，將醫(yī)療信息化提上議事日程。政府應有計劃、有步驟地進行建設(shè)，推進加強安全管理，完成全面引導。形成EMR的標準規(guī)范，EMR系統(tǒng)安全技術(shù)設(shè)備運行維護等，提供必要的資金支持，完成網(wǎng)絡安全環(huán)境的有效塑造。

3.2 完善第三方監(jiān)管制度的設(shè)立

電子病歷的保管以及使用均由醫(yī)院進行，因此，其自身的真實性以及法律有效性受到了一定質(zhì)疑。針對該質(zhì)疑，醫(yī)院必須設(shè)立獨立的第三方機構(gòu)，對電子病歷系統(tǒng)服務進行有效監(jiān)管，完成電子病歷后臺認證的安全性。電子病歷的法律可以由衛(wèi)計委下令，對醫(yī)院內(nèi)提交的電子病歷數(shù)據(jù)實現(xiàn)備份，以保證在醫(yī)療糾紛中以第三方數(shù)據(jù)為參考。減少醫(yī)院的違規(guī)操作，同時降低了患者惡意糾紛的概率，有效提升電子病歷的信息安全性。

3.3 加強醫(yī)療機構(gòu)的信息安全管理

為了有效保證電子病歷的信息安全，首先必須加強相關(guān)的培訓機制，保證醫(yī)護人員自身的責任心以及綜合意識。對電子病歷的安全性實現(xiàn)有效掌控，包含科室運行質(zhì)量的有效監(jiān)管。對于相關(guān)的技術(shù)實現(xiàn)嚴格把關(guān)。電子病歷以及系統(tǒng)嚴格依賴計算機環(huán)境以及網(wǎng)絡環(huán)境，因此，醫(yī)院在推行電子病歷的實施過程當中，必須保證相關(guān)的配套技術(shù)設(shè)施到位，形成對電子病歷全方位的技術(shù)保障體系。加強安全數(shù)據(jù)庫的全面管理，完成身份驗證，確保合法用戶登錄并使用數(shù)據(jù)庫，完成全面的控制訪問。就目前而言，必須控制用戶對于數(shù)據(jù)庫的追蹤以及授權(quán)，以保證用戶可以依照醫(yī)院所給予的訪問權(quán)限進行數(shù)據(jù)庫登記。數(shù)據(jù)庫對訪問的用戶，實現(xiàn)時間軸方式，以對該用戶在數(shù)據(jù)庫中調(diào)取的信息操作的行為進行記錄，加強整體的監(jiān)控性。此外，由于其全新設(shè)立的安全機制配備了備份功能，數(shù)據(jù)庫在遭到不法分子或意外原因?qū)е缕鋽?shù)據(jù)受到篡改、破壞時，其備份功能也可有效的恢復原始數(shù)據(jù)，以保證患者病歷數(shù)據(jù)的安全性，降低了電子病歷受攻擊的不良影響。

4 結(jié)束語

綜上所述，電子病歷的有效使用提升了醫(yī)院的運行效率，也為病例的后續(xù)改進提供了便利的條件。因此，電子病歷必須完成有效的落實，在法律效益、制度保障以及安全機制等方面，解決相關(guān)漏洞，實現(xiàn)個人權(quán)益的有效增強。