医院信息系统安全风险管理对策研究

闫文瑜

摘 要：随着信息共享程度的越来越高，恶意软件侵入互联网、局域网任何节点的网卡都可以截取网上任何一处的信息资料，HIS系统是互联网的一部分，信息安全面临新的问题，本文就医院信息系统安全风险管理进行探讨。

关键词：HIS；医院；信息系统；安全风险；管理；对策

1 HIS安全风险管理

HIS是覆盖医院所有业务和业务全过程的信息管理系统，为医院的管理、科研、临床、后勤保障等提供全方位、自动化信息服务。目前，HIS安全风险管理一般分识别和控制两层控制手段，通过识别与监控，化解系统风险、降低损失程度，不断提高系统防范抵御和化解风险的功能。

2 HIS安全风险识别

2.1 系统原因

HIS的复杂性和互联网飞快地普及发展，新的黑客、病毒等恶意软件大量涌现，使得HIS防不胜防，难免存在疏漏，随时就能产生信息安全隐患，HIS和信息遭到破坏的可能性与日俱增。因此，HIS和计算机及其宽带、无线网的风险安全控制是密不可分的一个整体。HIS的功能的先进全面不如安全可靠性重要，服务和数据的可靠性不达标，HIS安全没有保障，使用价值就完全失效，计算机和宽带、无线网等设备安全也很重要，目前，医院信息由封闭隔离转向全面开放，实现了信息共享，HIS作为国际互联网的组成部分，极大地方便了患者网上医疗服务，但也给恶意软件的攻击加大了进入的可能性，信息安全隐患很多，增加了HIS管理和维护的难度。

2.2 操作原因

HIS的使用涉及医院的各个层次，诸如医生、护士、科研人员、管理者以及病人和家属等。每个人的操作熟练程度、技术水平和使用目的、维护意识的都会对系统的安全运行产生影响。从当前大多数HIS安全风险隐患排查来看，人为因素占很大比例，其中包括违规操作、失误操作，信息安全意识不强，安全操作规程监管不到位，技术水平低，设备安全配置不当，恶意软件侵入盗取数据等，不断引发信息资源的破坏和大量浪费的风险。

2.3 管控原因

HIS的安装使用，使医院的各项活动信息服务实现了自动化，方便了广大患者的医疗服务。要使系统达到高效优质服务，就要搞好HIS的组织管理。当前，各个医院在管理方面还存在很多缺陷。如：缺乏防范信息风险预案，查找故障流程制度不健全，维护分工不专业，信息技术专业人员不足，所有这些原因都对HIS的安全运行和故障及时排除不利。医院系统的管理分宏观管理和微观管理。从宏观管理角度出发，以统领医院活动全局为目标，不断完善各种”管理体系”，实现HIS管理使用一体化。

3 系统的安全风险管理

实现HIS安全风险控制，就达到了医院系统安全风险管理的目的，医院信息系统安全风险控制主要通过风险识别与评估，采取高效的技手段术和科学的管理机制，不断减少和化解信息安全风险隐患，把风险事件发生的可能性和风险造成的损失程度降到最低。所以，笔者认为医院信息系统安全风险控制必须把设备技术的可靠性放在首位，安装的系统要可靠达标，同时加强岗位人员的使用操作技术培训，提高业务素质，减少操作违规和失误，建立全面的HIS控制系列机制，提高监管效能，确保安全目标如期实现。

3.1 HIS的技术控制

HIS是技术性很强的软件系统，包括医院的财务管理系统、人事管理系统、住院病人管理系统、药品库存管理系统等，其安全风险控制是人工防范很难做到的，必须采用高新技术手段，才能确保信息系统的安全风险控制。一是安装防御软件对核心的数据库服务器实施控制监管，如安装高性能防火墙软件等；二是对HIS安装高效统一的杀毒软件，如：毒霸、360卫士等，实现恶意软件入侵检测、监控、防御自动化；三是局域网连接系统，必须实施高效的信息加密技术；四是对HIS设置专用口令和账号，严格系统操作者的身份鉴别与认证；五是定期开展核心系统的操作审计；六是存储重要数据库的软件，必须异地备份，物理隔离。

3.2 管理是HIS安全风险控制的动力

医院的信息系统安全风险必须实行持续性控制，一是制定高效严格的管理制度。各个医院的情况不同，对业务信息的保密程度和应用服务能力也不一样，参照规范的HIS安全管理章程，根据管理、业务和服务的需求，修订切实可行的具体实施办法，做到部门责任明确，人员分工清楚，岗位职责到位，操作程序规范，训练方法得当，管理要求具体和检验标准适合，使HIS安全风险控制机制逐步达到规范化、制度化；二是制定高效实用的应急预案。医院的管理部门、门诊住院科室和财务后勤单位，制定相应的应急风险预案，不断定期演练，以利于处置预测风险事件及时有效。

3.3 系统主体是HIS安全风险控制的保证

HIS的使用主体是人，人的素质高、专业技术过硬，HIS安全风险控制就有保证。加强HIS使用队伍建设很有必要。一是搞好岗位培训，不断提高保护系统资源和HIS风险控制的意识。定期开展系统使用技能和知识考核，逐步培养人们安全操作、预测风险和随机处理的技能和业务水平；二是强化HIS风险控制的制度落实，普及信息技术操作规程知识。内强素质，外求规范，提高风险识别能力和风险控制效果。

4 结语

从20世纪60～70年代，发达国家开始建立医院信息系统，我国作为发展中国家，起步较晚，发展较快；HIS的运用极大地提高了病例登记、诊断、检测的标准，只有及时化解各种风险，才能更好的为患者进行医疗服务，因此，完善信息系统风险控制机制，提高控制水平尤为重要。

参考文献

[1]李春林，简明，刘建辉，等.医院信息系统安全风险管理对策研究[J].医疗卫生装备，2013，（3）：114-116.

[2]胡名坚.医院信息系统安全风险管理对策研究[J].信息系统工程，2016，（3）：55.

[3]陳宁，李成华，李晖，等.医院信息系统安全风险规避管理策略研究[J].电脑知识与技术，2015，（28）：22-23.

[4]刘玲玲.论述医院信息系统安全风险规避管理策略[J].科技与企业，2014，（16）：54.

[5]钟希成，王彬.医院信息系统安全风险规避管理策略研究[J].数字技术与应用，2014，（8）：190.

（作者单位：新疆维吾尔自治区职业病医院）