浅谈基层中医医院信息安全管理

【摘要】 目的 发现中医医院的信息安全问题，并提出解决方案。方法 对中医医院信息安全的现状及重要性做全面的分析，并给出解决方案。结果 实施信息安全解决方案后，中医医院的信息安全程度大大加强，给医院信息安全带来了保障。结论 中医医院信息安全目前普遍存在巨大隐患，亟需加强。

doi:10.3969/j.issn.1674-9316.2015.04.003

工作单位：250200章丘市中医医院信息中心

Introduction to Basic TCM Hospitals Information Security Management

JIA Xicun LU Min Information center，Zhangqiu TCM hospital in Shandong，Zhangqiu 250200，China

【Abstract】

Objective To find the problems of information security of Chinese medicine hospitals，and puts forward the solution. Methods To do a comprehensive analysis of the status and importance of the traditional Chinese medicine hospitals’ information security，and gives the solution. Results With the implementation of information security solutions，the hospital of traditional Chinese medicine’s information security will greatly strengthen，and will bring security to the hospital information security. Conclusion At present，there is a huge hidden danger in the information security of traditional Chinese medicine hospital generally，and it needs to be strengthened.

【Key words】Chinese medicine information，Information security management

自国家中医药管理局《中医医院信息化建设基本规范》制定实施以来，中医医院的信息化建设有了突飞猛进的发展，各种应用系统的相继实施，在提高中医医院工作效率和管理质量，为广大患者带来极大方便的同时，也对中医医院信息安全工作带来了更大的挑战，如何建立安全、平稳、高效的综合安全防御机制，确保中医医院信息系统的安全正常运行，成为医院信息化建设中的首要任务。

1 中医医院的信息安全现状分析

1.1 中医医院信息安全发展普遍滞后

传统的中医医院因其区别于西医医院的辨证诊疗体系，在医院信息化建设上普遍落后于综合医院，原来以财务应用为主体的管理系统，与中医临床诊疗的脱节，严重制约了中医医院的信息化发展进程。

1.2 传统安全模式难以应对新的安全挑战

传统的安全模式基于杀毒软件加硬件防火墙的模式，主要运行于封闭的内部局域网环境，只要控制好系统终端的接入及操作，做好服务器端的数据备份就可以安枕无忧。新形势下的网络应用，在很多的时候要求服务器通过互联网对接上一级的信息系统，病毒泛滥，黑客攻击，系统漏洞等情况已直接影响到医院信息系统的安全运行。

1.3 第三方信息安全控制策略模糊，几近空白

医院信息系统的多样化，注定了诸多的软件公司和人员参与到医院信息化建设中来后各自为政的模式，决定了各供货商在信息化建设中的以自我为中心，忽略了信息安全的内容。同时，各系统的对接访问，也造成了医院敏感数据的不安全性，防止因第三方造成的信息数据泄露也成了新形势下信息安全工作的一个重要内容。

2 信息安全对中医医院的重要作用

2.1 保障正常医疗秩序的需要

信息安全贯穿于医院诊疗活动的每一个环节中，任何人为或者机械的事故或原因，都可能造成医院信息系统运行故障，甚至瘫痪，从而影响医院正常的工作流程，甚至会造成极其不利的影响和局面，导致医院工作混乱。

2.2 保障病人和医护人员权益的需要

患者的诊疗记录贯穿于患者从就诊到出院的每一个环节中，不仅记录了患者的隐私情况，还完善的记录了医生完整的诊疗过程和护士的全部护理工作，因此不但要防止患者医疗记录的外泄，还要防止被恶意修改或删除。

2.3 保障大数据安全存储和合理运用的需要

医院信息化建设规模的不断发展，使医院的各项日常工作都纳入了信息化的范畴，海量的数据信息不仅是医院日常工作正常运行的基础所在，更成为医院的一笔重要的财富，科学合理的管理、分析、运用，将会对医院的教学、科研、临床、管理等工作带来无可比拟的效果。

2.4 保障财务管理安全的需要

财务管理系统贯穿于医院工作中收费、结算，以及每一个财物管理的环节，财务数据的损坏或丢失，不仅会使医院财产受到损失，甚至会造成财务管理及医院管理工作的混乱。

3 中医医院加强信息安全管理的措施

“建立健全信息安全管理组织、规章制度、岗位职责以及检查审核和风险评估机制，制定完备的系统恢复及应急预案，完善信息技术安全措施，保障中医医院信息系统安全、平稳和高效的运行” ［1］。

3.1 建立健全安全风险评估机制

建立健全安全的风险评估机制，选取安全资质高的专业服务机构，并与兄弟单位建立良好的参观考察学习机制，不断在交流学习过程中发现系统中存在的问题和潜在威胁，力求防患于未然，消灭事故于萌芽之中。

3.2 加强信息安全管理制度建设并抓好落实

3.2.1 建立医院信息安全管理组织 成立以院长为首的信息安全领导小组，设立专职的信息安全管理员，对那些给医院信息安全带来严重隐患的行为和人员进行重点的管理和监督。

3.2.2 中心机房及服务器存储、网络安全建设 （1）中心机房安全。中心机房是医院信息系统设备运行的核心，要有专业的装修公司施工 ［2］。为此我院聘请专业的施工公司，选择合适的楼层，按照《电子信息系统机房设计规范》GB_50174-2008 对中心机房重新进行了装修。确保恒温、恒湿、防雷防水，防尘防静电，实现过压保护、消防安全；（2）服务器、存储设备的安全运行。对服务器采购严格按照信息系统运行环境要求，建立合理的双机热备体系，确保医院信息系统的持续稳定运行；（3）网络局域网安全运行。

3.2.3 加强用户管理 （1）本院用户管理。建立严格的工作站使用及终端接入制度，禁止一切外部存储设备及非法终端的接入，实现用户登录与工号绑定的措施，严格控制密码管理，通过软件对网络使用状态做出监控，并定期形成完备的管理日志，为医院信息系统安全预防工作提供实时合理的依据；（2）第三方用户管理。对第三方软件供应商工作人员及其他人员实行严格的登记管理制度，进入机房必须有本院信息科工作人员陪同，对接入的第三方存储设备及终端实行严格的接入审核制度，确保医院信息系统安全做到“进不来、拿不走、看不懂、改不了、逃不掉”的安全程度 ［3］。

3.3 完善职工的信息安全培训及管控机制

制定详细、完备的应急预案，定期培训，定期演练，使每个人都熟悉应急流程和应急措施。重点部门的手工处方技能常抓不懈。

4 结语

医院信息系统安全管理是维护医院系统安全的非常重要的一环，随着医院信息内容越来越丰富，价值越来越大，如果安全管理有漏洞，安全措施投入再大也无济于事。因此应当强化信息安全人员管理，开展信息安全从业人员培训，加强人才队伍建设提升网络安全工作水平是重中之重。