醫(yī)療設備信息安全全生命周期管理體系實踐

李金剛，馬振宇，衡反修（通信作者）

北京大學腫瘤醫(yī)院·北京市腫瘤防治研究所 （北京 100142）

近年來，網(wǎng)絡和數(shù)據(jù)安全成為信息化建設的重要方向。在醫(yī)療行業(yè)，對于醫(yī)療設備（特指與醫(yī)院信息系統(tǒng)有數(shù)據(jù)接入的醫(yī)療設備）信息安全的管理，法律法規(guī)雖有提及，但大多較籠統(tǒng)，缺乏具有針對性的指導文件，難以具體落實。醫(yī)療設備型號眾多、功能各異，信息安全層面的指導標準參差不齊[1]。在醫(yī)院內(nèi)部，信息部門雖作為醫(yī)院網(wǎng)絡數(shù)據(jù)安全的責任科室，但既不參與醫(yī)療設備采購流程，也并非醫(yī)療設備使用科室。管理體系的不健全導致醫(yī)療設備信息安全成為醫(yī)院網(wǎng)絡安全防護體系中的薄弱環(huán)節(jié)，許多在用醫(yī)療設備與互聯(lián)網(wǎng)連接，暴露出醫(yī)療數(shù)據(jù)可能通過互聯(lián)網(wǎng)泄露的風險[2]。本研究從北京大學腫瘤醫(yī)院實際情況出發(fā)，對醫(yī)療設備連接互聯(lián)網(wǎng)情況進行統(tǒng)計和分析，探討建立醫(yī)療設備信息安全全生命周期管理體系，具有較好的推廣借鑒意義。

1 醫(yī)療設備連網(wǎng)現(xiàn)狀及原因分析

該院的醫(yī)院信息系統(tǒng)為局域網(wǎng)，醫(yī)療設備普遍連接醫(yī)院信息系統(tǒng)。通過走訪、調(diào)查、數(shù)據(jù)提取核對，發(fā)現(xiàn)醫(yī)療設備除連接醫(yī)院信息系統(tǒng)外，也存在連接院外網(wǎng)絡的情況，連接院外網(wǎng)絡的醫(yī)療設備共計17 臺（套），見表1。對上述醫(yī)療設備連接互聯(lián)網(wǎng)方式、連接互聯(lián)網(wǎng)目的、醫(yī)療設備品牌類型統(tǒng)計顯示（圖1）：醫(yī)療設備連接互聯(lián)網(wǎng)方式中，4G網(wǎng)卡占比65%，撥號上網(wǎng)占比30%，院內(nèi)互聯(lián)網(wǎng)占比5%；醫(yī)療設備連接互聯(lián)網(wǎng)目的中，遠程維護占比68%，遠程巡檢占比16%，遠程監(jiān)測占比11%，移動應用占比5%；醫(yī)療設備品牌類型中，國外品牌占比67%，國產(chǎn)品牌占比33%。

圖1 醫(yī)療設備連接互聯(lián)網(wǎng)多維度統(tǒng)計

表1 醫(yī)療設備連接多網(wǎng)絡情況

結(jié)合該院實際情況，將上述醫(yī)療設備標記為風險設備，以GB/T 20984-2007《信息安全技術信息安全風險評估規(guī)范》[2]為參考，建立設備風險評估模型。該風險評估模型中主要包括資產(chǎn)價值、脆弱性、資產(chǎn)威脅3 個評估維度[3]。對比院內(nèi)模型數(shù)據(jù)發(fā)現(xiàn)，風險設備在資產(chǎn)價值、脆弱性等方面相似性較高，而高運維量的設備資產(chǎn)威脅更高，運維量與資產(chǎn)威脅和風險等級成近似正比例關系。對比風險設備數(shù)據(jù)發(fā)現(xiàn)，13 臺設備運維量低，提示風險等級相對較低；4 臺設備運維量高，提示風險等級相對較高。分析風險設備互聯(lián)網(wǎng)接入形式發(fā)現(xiàn)，大多數(shù)設備采用外接上網(wǎng)模塊（4G 網(wǎng)卡、撥號上網(wǎng)）的形式，且均未配置安全防護措施；分析風險設備品牌發(fā)現(xiàn)，67%為國外品牌，設備數(shù)量占比大、數(shù)據(jù)違規(guī)出境風險較高。

經(jīng)過溯源探究，造成以上情況的原因如下。（1）診療需求：醫(yī)療設備是醫(yī)院的核心物質(zhì)基礎，診療過程中發(fā)生醫(yī)療設備宕機時，若不能及時排除故障，則會延誤患者診療，引發(fā)患者投訴，增加醫(yī)患矛盾。（2）高技術壁壘：近些年雖然越來越多的醫(yī)院使用國產(chǎn)品牌醫(yī)療設備，政策層面也傾向于推薦國產(chǎn)品牌，但現(xiàn)階段特別是大型醫(yī)院的醫(yī)療設備仍以進口品牌為主，且對運維人員的技術需求極高。（3）監(jiān)測安全風險：部分大型醫(yī)療設備涉及放射性危害或具有潛在輻射泄露等安全風險[4]，需實時進行狀態(tài)監(jiān)控，及時報警。

2 醫(yī)療設備信息安全全生命周期管理體系建設

通過分析問題發(fā)現(xiàn)，醫(yī)療設備在使用過程中確實存在連接互聯(lián)網(wǎng)造成數(shù)據(jù)泄露的風險，但多為必要的業(yè)務需求。管理體系建設需按照實際情況，尋求安全與需求的平衡點，在安全的條件下最大限度保障業(yè)務需求。通過評估數(shù)據(jù)安全和業(yè)務需求的矛盾論證得到結(jié)論，應首要考慮數(shù)據(jù)安全，業(yè)務需求須以數(shù)據(jù)安全建設為前提。

醫(yī)院原有采購流程和信息安全建設是兩個獨立的控制線。信息安全管理部門多在設備正式運行過程階段才介入，風險評估、安全要求、運維整改等信息安全工作滯后于設備上線流程。建立醫(yī)療設備信息安全全生命周期管理體系，應保證以醫(yī)療設備為中心，將信息安全納入醫(yī)療設備采購流程、人員管理、運行維護、報廢流程4 個維度（圖2），建立醫(yī)療設備入院前、在院中、出院前的信息安全管理模式，具體如下。（1）采購流程注重信息安全前置審核，設備申請、產(chǎn)品介紹會、產(chǎn)品對比、評審論證、安裝調(diào)試、設備驗收階段均須實施信息安全風險審核，前置排查信息安全隱患，及時預警，風險評估不合規(guī)的設備拒絕接入醫(yī)院信息系統(tǒng)。（2）從使用人員、管理人員、維保人員3 個管理角度進行信息安全宣教和約束，要求各方人員簽署信息安全承諾書，承諾不進行違規(guī)操作，同時明確各方人員責任和違規(guī)處置措施。（3）運行維護階段持續(xù)時間最長，期間運維公司及人員均有可能發(fā)生變動，也是最易存在信息安全隱患的階段。運維公司及人員在設備運維過程中，應注意避免外接設備、核心數(shù)據(jù)傳輸出院，系統(tǒng)數(shù)據(jù)備份、運行維護、系統(tǒng)升級需保留操作記錄，運維人員涉及數(shù)據(jù)安全的操作應在網(wǎng)絡安全員監(jiān)督下進行。（4）設備報廢階段需注意數(shù)據(jù)和網(wǎng)絡訪問信息處理，信息部門須第一時間斷開報廢設備網(wǎng)絡連接，清除網(wǎng)絡訪問記錄，并登記信息安全臺賬，附帶存儲設備需進行數(shù)據(jù)擦除。

圖2 醫(yī)療設備信息安全全生命周期管理體系

醫(yī)療設備信息安全全生命周期管理體系建設具體從制度建設、強化人員管理、安全運行維護、調(diào)整采購和報廢流程4 個方面入手。（1）制度建設：院內(nèi)網(wǎng)絡安全和信息化領導小組召開醫(yī)療設備信息安全工作組專項會議，明確網(wǎng)絡安全和信息化領導小組下設醫(yī)療設備信息安全工作組，負責具體落實醫(yī)療設備信息安全管理工作，全院信息化須由信息部門統(tǒng)一規(guī)劃、統(tǒng)一建設、統(tǒng)一管理，擬定《醫(yī)療設備互聯(lián)網(wǎng)接入申請表》《醫(yī)療設備連接互聯(lián)網(wǎng)入網(wǎng)規(guī)定》《醫(yī)療設備信息安全承諾書-院內(nèi)科室》《醫(yī)療設備信息安全承諾書- 公司》《信息安全評估表》《醫(yī)療設備信息安全驗收報告》，建立健全相關信息安全機制[5]。（2）強化人員管理：醫(yī)療設備使用科室及人員、醫(yī)療設備廠商、運維人員均需熟知并簽署醫(yī)療設備信息安全承諾書，承諾設備使用過程中自覺保護數(shù)據(jù)安全；明確責任劃分方法，即誰使用誰負責、誰審批誰負責，一旦出現(xiàn)信息安全事故，及時追責[6]。（3）安全運行維護：醫(yī)療設備接入互聯(lián)網(wǎng)必然會帶來數(shù)據(jù)泄露風險[7]，可通過調(diào)整互聯(lián)網(wǎng)接入監(jiān)管及審批流程，合理降低互聯(lián)網(wǎng)接入頻次，增加現(xiàn)場運維頻次以取代遠程巡檢和遠程維護，也可通過2G 短信發(fā)送監(jiān)測信息以取代互聯(lián)網(wǎng)實時監(jiān)控?！吨腥A人民共和國數(shù)據(jù)安全法》第二十七條規(guī)定：利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動，應當在網(wǎng)絡安全等級保護制度的基礎上，履行數(shù)據(jù)安全保護義務。依此要求，對必須實時接入互聯(lián)網(wǎng)的設備，醫(yī)療設備廠商在要求接入互聯(lián)網(wǎng)時，應要求廠商主動提供數(shù)據(jù)接收系統(tǒng)的信息系統(tǒng)安全等級保護備案證明，且該備案證明等級不應低于醫(yī)療設備所連接醫(yī)院信息系統(tǒng)備案證明等級；而醫(yī)院作為使用單位，也應主動告知醫(yī)療設備連接互聯(lián)網(wǎng)存在的數(shù)據(jù)安全風險，廠商須定期向醫(yī)院匯報數(shù)據(jù)傳輸日志，全程接受醫(yī)院監(jiān)管[8]。運行維護期間，廠商須每年提供信息安全等級保護系統(tǒng)測評報告，醫(yī)院備案存檔。（4）調(diào)整采購和報廢流程：向科室申請、產(chǎn)品介紹、評審、采購、安裝、驗收、運行維護、報廢等流程加入信息安全評估環(huán)節(jié)[9]，見圖3?？剖疑暾垥r使用《信息安全評估表》進行事前評估。在產(chǎn)品介紹中加入信息安全項，例如廠商是否提交《醫(yī)療設備信息安全承諾書》。信息部門根據(jù)設備類型在評審環(huán)節(jié)派專人參會，與廠商或服務商進行直接溝通，詳細了解相關情況。設備驗收時，醫(yī)學工程處須填寫《醫(yī)療設備信息安全驗收報告》，信息部門根據(jù)實際信息安全情況打分，評分對應4 類風險級別（無風險、低風險、中風險、高風險），評分情況體現(xiàn)在紙質(zhì)驗收文檔中，可輔助醫(yī)療設備采購科室、使用科室最終決策。設備使用維護過程中，使用科室需接受設備信息安全培訓，并簽署《醫(yī)療設備信息安全承諾書》，信息部門擔任安全顧問?？剖姨岢鲈O備報廢申請時，信息部門在第一時間進行擦除數(shù)據(jù)、清除網(wǎng)絡訪問信息、記錄信息安全臺賬工作。

圖3 醫(yī)療設備全生命周期信息安全防護流程

3 應用效果

醫(yī)療設備全生命周期管理體系自2021 年10 月上線以來，受到各科室鼓勵和好評，解決了醫(yī)技科室、臨床科室面臨的高科技化醫(yī)療設備信息安全難把控的問題。根據(jù)2021 年10 月至2022 年6 月統(tǒng)計數(shù)據(jù)，全院共計268 臺（類）設備完成信息安全評估和使用指導；醫(yī)院各科室簽署《醫(yī)療設備信息安全承諾書》21 份、廠商簽署《醫(yī)療設備信息安全承諾書》34 份；解決醫(yī)療設備違規(guī)外接互聯(lián)網(wǎng)問題13 起，規(guī)范化處理醫(yī)療設備用網(wǎng)安全問題3 起；參與產(chǎn)品介紹會信息安全審查7 次、評審論證會8 次、醫(yī)療設備全流程信息安全評估11 次；擬定醫(yī)療設備信息安全驗收報告12 份。其中，約20 次協(xié)助臨床科室參與設備信息安全評估選型，將安全風險降到可控范圍內(nèi)。與該管理體系上線前相比，有效解決醫(yī)療設備信息安全問題16 起，有效規(guī)避信息安全風險46 起。

4 討論

北京大學腫瘤醫(yī)院自實施醫(yī)療設備信息安全全生命周期管理體系以來，填補了醫(yī)院多年來關于醫(yī)療設備信息安全管理的空白。通過設置醫(yī)療設備信息安全工作組，醫(yī)療設備信息安全管理有了主管監(jiān)管部門，醫(yī)療設備聯(lián)網(wǎng)在制度、管理、使用層面均設置細則條款，將醫(yī)療設備與信息系統(tǒng)終端納入同質(zhì)化數(shù)據(jù)安全管理。

對醫(yī)療設備而言，網(wǎng)絡安全和便捷維護始終互為矛盾。從網(wǎng)絡安全法律法規(guī)角度出發(fā)，任何醫(yī)療設備都不應以犧牲安全為代價開展業(yè)務，這是不可逾越的紅線；從實際業(yè)務需求方面來看，也不能過度追求網(wǎng)絡安全而放棄醫(yī)療設備為醫(yī)院帶來的治療效益，需要時刻把握其中的平衡，以數(shù)據(jù)安全為前提最大限度保障醫(yī)療設備治療業(yè)務正常開展。通過制訂個性化聯(lián)網(wǎng)策略，在滿足醫(yī)療設備用網(wǎng)需求的同時，保證不跨越數(shù)據(jù)安全紅線。

通過要求各廠商簽署《醫(yī)療設備信息安全承諾書》、各科室簽署《醫(yī)療設備信息安全承諾書》，將醫(yī)院做好醫(yī)療設備信息安全管理的理念傳達到了每個部門。同時，對醫(yī)院而言，管理制度的落實也依靠各部門發(fā)揮自身作用，否則即使有制度，也無實際效用可言。

科室申請、產(chǎn)品介紹、評審、采購等環(huán)節(jié)加入信息安全評估后，也大大減小了使用科室、采購部門的壓力，對于信息安全的把控，有專業(yè)人員現(xiàn)場指導。同時醫(yī)療設備聯(lián)網(wǎng)使用需求的交流也更加專業(yè)、明確。驗收上線、報廢下線環(huán)節(jié)在專業(yè)網(wǎng)絡安全人員的指導下進行，每臺設備做好信息安全臺賬登記，責任到人，有效減少數(shù)據(jù)被人為泄露的可能性。

在醫(yī)院內(nèi)部，網(wǎng)絡安全、數(shù)據(jù)安全工作不分科室、不分人員，以醫(yī)院網(wǎng)絡安全防護體系整體建設為共識，以醫(yī)院整體為單位，自上而下落實制度、各科室互相協(xié)作，才能建立真正的信息安全屏障；而新制度、新體系在建立初期總會遇到障礙，無論是對科室還是廠商，運維便捷性的降低必然會引起“不適”，解決這些問題，需堅持原則，曉之以情、動之以理。

新體系的建立，也對信息部門提出了更高的要求，作為醫(yī)院網(wǎng)絡安全的責任部門，需要主動承擔責任，加強監(jiān)督管理；也要完善宣教工作，促進整體網(wǎng)絡安全意識的提升；同時注重自身專業(yè)素質(zhì)的提升，由于醫(yī)療設備種類、品牌、型號眾多，專業(yè)性強，功能各異，必須不斷學習和了解醫(yī)療設備的相關知識，切實開展管理工作，真正發(fā)揮管理作用。

5 結(jié)論

醫(yī)療設備信息安全全生命周期管理體系的建立，較好地解決了醫(yī)療設備信息安全問題，一方面實現(xiàn)了設備入院前、在院中、出院前的信息安全全流程保障，使醫(yī)療設備信息安全管理步入正軌；另一方面，管理體系的建立過程，也全方面促進了醫(yī)院各科室信息安全防護意識的提升，通過摸排、指導等交流工作，大范圍普及了醫(yī)院網(wǎng)絡和數(shù)據(jù)安全的規(guī)章要求，同時使各部門、職工充分意識到數(shù)據(jù)安全人人有責。

2022 年3 月，國家藥品監(jiān)督管理局醫(yī)療器械技術審評中心發(fā)布《醫(yī)療器械網(wǎng)絡安全注冊審查指導原則（2022 年修訂版）》[4]，強調(diào)了醫(yī)療設備更應加強信息安全管理。強有力的約束指導文件，對各品牌、種類設備進行信息和數(shù)據(jù)安全標準統(tǒng)一約束，將引導醫(yī)療設備信息安全管理更加規(guī)范有序。

醫(yī)療設備信息安全全生命周期管理體系的建立，明確加強各方人員管理約束，切實解決了醫(yī)療設備信息安全管理不規(guī)范問題，彌補了醫(yī)院信息安全、數(shù)據(jù)安全建設的漏洞，對醫(yī)院網(wǎng)絡安全防護體系建設具有重大意義。