医疗卫生行业信息安全等级保护安全策略

刘 阳

蚌埠医学院第一附属医院信息管理中心，安徽 蚌埠 233000

医疗卫生行业信息安全等级保护安全策略

刘 阳

蚌埠医学院第一附属医院信息管理中心，安徽 蚌埠 233000

随着医院信息化的不断发展，医疗卫生行业对信息系统的依赖程度越来越强，发生任何故障都将严重影响医疗工作的顺利开展。

医疗卫生行业；信息安全；等级保护

当前，在充分借鉴国外的先进经验的基础上，我国从实际情况入手，采取了一系列措施，逐步提升医疗卫生行业的信息安全等级保护水平，为进一步解决我国医疗卫生行业网络信息安全问题奠定了坚实的基础。

1 信息系统安全等级保护总体描述

信息系统的主要任务是最大限度的利用现代计算机及网络通讯技术加强企业的信息管理，它们抵抗着来自各方面威胁实体的攻击。对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁，从而尽量降低由于威胁给系统带来的损失。信息安全等级保护制度是在国家经济和社会信息化发展过程中，提高信息安全水平、维护社会稳定的一项制度。做好信息安全等级保护工作，能够有效增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学管理，对促进我国信息安全的发展起到重要作用。

2 医疗卫生行业信息系统安全的要求

信息安全的基本属性主要包含：机密性、完整性、可用性、机密性、可控性和抗抵赖性［1］，医疗卫生行业信息安全的建设以保证信息的机密、完整和可用为安全保障战略目标，同时，信息系统等级保护的整体要求要达到国家重要信息系统的相关保护要求。

医疗卫生行业安全保障体系框架通过医疗卫生信息网络向安全保护对象提供保护，横向把保护对象分成安全计算环境、安全区域边界和安全通行网络；纵向把控制体系分成安全管理、安全技术和安全运行的控制体系框架，并通过“一个安全管理中心”的安全管理模式，建立满足等级保护整体安全控制要求的安全保障体系。

医院信息系统安全防护措施的制定和实施是保证医院信息系统的稳定性、可靠性、安全性、可用性的利器。如果信息安全遭到泄露，可能会导致患者的隐私受到侵犯，增加医患纠纷发生的可能性。因此，要制定周密的网络安全维护措施，以确保医院计算机网络系统持久、稳定、高效、安全地运行。

3 医疗卫生行业信息安全等级保护工作流程

信息安全等级保护包括六个主要阶段：系统定级备案、安全规划设计、安全建设与整改、等级测评、安全运维、卫生和计生相关系统终止，这是一个不断循环和提高的过程。

3.1 定级备案

定级阶段主要包括确定定级对象、确定受侵害客体与侵害程度、初步确定安全等级、定级报告编写、定级结果审核和批准等几个主要工作内容。国家信息安全等级保护制度将信息安全等级分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级等五级［2］。某三甲医院在门诊量较大的高峰时刻会有大量患者挂号或就医，如果发生信息系统故障，将会造成患者大规模等候，存在不稳定因素，所以将此时信息安全等级保护定义为第三级，涉及到与挂号、就医等与门诊患者相关的系统。

3.2 规划设计

安全规划设计阶段主要包括安全需求分析、安全建设规划。根据当前信息化工作现状以及安全建设时间和经费投入状况，结合安全需求分析结果，同时考虑到中长期发展规划，提出分阶段的安全建设目标、设计建设内容，形成安全建设方案，其重点是形成近期可行的安全建设方案。

3.3 建设与整改

安全建设与整改阶段主要包括安全方案详细设计、安全详细设计方案的实施两方面［3］。通过方案设计，将规划设计阶段的总体安全方案和安全建设方案落实到医疗卫生信息系统建设中，最终形成满足安全需求的医疗卫生信息系统安全技术和管理体系。

3.4 等级测评

在医疗卫生信息系统上线运行之前或完成建设与整改工作后，需委托等级测评机构，按照《信息安全等级保护管理办法》要求开展测评，确保其达到安全防护要求。主要包括测评申请、测评准备、现场测评、测评反馈、测评结果备案几项工作内容。

3.5 安全运维

安全运维阶段需要进行的安全控制活动较多，重点是对安全运维过程中涉及到的需持续改进的重要安全控制活动的说明。通过运行管理和控制、变更管理和控制、对安全状态进行监控，对发生的安全事件及时响应，确保医疗卫生信息系统正常运行和持续改进。

3.6 监督检查

在医疗卫生行业信息系统运行过程中，必然会发生卫生和计生信息系统变更、安全状态改变等情况，因此必须定期对卫生和计生信息系统进行监督检查。通过监督检查，为卫生和计生信息系统的持续改进过程提供依据和建议，确保卫生和计生信息系统的安全设计能满足其相应等级的基本安全要求和自身特殊的安全需求。监督检查和持续改进主要包括等级保护工作现状分析、改进方案制定和实施两项工作内容。

3.7 系统终止

卫生和计生信息系统终止阶段关注卫生和计生行业各单位对信息转移、暂存和清除、设备迁移或废弃、存储介质的清除或销毁等活动，可依靠自身的技术力量或者在安全服务商的协助下进行终止阶段的各项活动。

4 讨论

由于医疗卫生行业在我国国民经济和社会稳定中具有特殊的作用，因此，在行业内开展信息安全等级保护工作显得更加重要。信息系统的安全管理是一个连续不断的过程，医院信息系统需要不间断运行。我们必须在技术、管理、法规等多方面加强系统建设，在安全等级保护的每个阶段对安全管理体系进行完善和提高，确保系统始终有动态性，使其更好地为医疗卫生行业服务，将风险控制在较小的水平，最大限度的保障网络和信息安全，为医疗卫生行业在社会发展中发挥更大的作用提供坚实的基础保障。

［1］李力，杨鹏．网络安全及医院信息系统安全管理的探讨［J］.中国医疗设备，2009，24（5）：63-65．

［2］范启勇，徐御，曹剑峰.医疗机构信息系统安全等级保护框架设计与要求［J］.中华医院管理杂志，2009，25（4）：217-219.

［3］王晖.医疗卫生行业信息安全等级保护实施指南［M］.北京：北京国防工业出版社，2010：3-17.

The Medical and Health Industry Information Security Level Protection Safety Strategy

LIU Yang Information management center of the First Affiliated Hospital of Bengbu Medical College，Bengbu Anhui 233000，China

With the continuous development of hospital informatization，medical and health industryrelies on information system more and more strong，any fault will seriously affect the medical work smoothly.

Medical and health industry，Information security，Level of protection

R197.1

B

1674-9316（2014）20-0087-03

10.3969/J.ISSN.1674-9316.2014.20.056