PDCA在医院信息系统安全监管中的应用

◆吴 璇

PDCA在医院信息系统安全监管中的应用

◆吴 璇

（荆门市第一人民医院 湖北 448000）

为加强医院信息系统安全与规范化管理，本文详细描述了利用PDCA管理模式对医院信息安全进行监管的过程，将这四个环节进行具体化，使之更具有操作性，经过PDCA循环监管，加强了我院信息系统安全，提升了信息科满意度。

信息安全；PDCA循环信息系统

0 引言

信息系统是医院管理运行的核心与精髓，三级医院评审标准要求实施国家信息安全等级保护制度，实行信息系统操作权限分级管理，保障网络信息安全，保护患者隐私，推动系统运行维护的规范化管理，落实突发事件响应机制，保证业务的连续性。PDCA 循环是一种科学的工作程序，其中：P表示计划（Plan）；D表示实施（Do）；C表示检查（Check）；A表示处理（Action）。PDCA循环即是“计划—实施—检查—处理”工作循环的简称，循环不断进行则质量不断提高。一直以来，信息科加强组织领导，强化宣传教育，落实工作责任，加强日常监督检查及信息系统安全维护日常工作，利用PDCA管理模式对我院信息系统安全进行监管。

1 计划(Plan)

1.1现状分析

2016年对全院主要临床科室及部分行管后勤部门信息终端设备巡查情况如下，如表1所示。

表1 2016年信息安全巡查情况

1.2目标

加强信息安全管理，提高信息终端设备硬件完好率、网络及信息系统正常运行率，提高临床科室对信息科及院外维护公司满意度。

1.3原因分析

根据现状调查情况，分别从人员、硬件、网络、信息系统四个方面进行了原因分析，如图1所示。

2 执行(Do)

2016－2017期间，针对信息系统及信息安全问题，开展以下工作：

（1）专人负责全院的网络维护、系统维护工作，定期对我院系统进行检修维护，一年一大检、一月一小检、平时常检，预防和解决网络故障和信息系统安全漏洞，为我院信息系统安全工作提供有力的技术保障。

（2）部分电脑使用年限过长，使用8年以上的电脑硬件已无法满足现有程序的运行，信息科指定专人统计了全院电脑配置情况，根据电脑配置不同区别对待，建议请示升级或更换旧电脑，优化超使用年限电脑硬件配置。

图1 原因分析

（3）通知各院外维护公司严格按照规定做好服务工作，价格统一，降低耗材使用成本，提高服务质量。

（4）加强临床科室操作人员培训，提高信息系统使用熟练度，组织相关员工学习计算机的基本操作技能和信息安全常识等内容，对各科提出的新需求进行及时调研及完善。

（5）有效控制逻辑访问和权限设置。完善信息系统全院人员信息基础字典，对字典进行监控和管理，防止擅自修改字典库，及时调整字典库的内容，确保系统的正常运行。对出现的问题能够及时加以处理，包括完善在职人员的个人信息及账号等级权限设置，对离职人员信息进行及时维护。加大力度对计算机安全知识的培训教育，督促各员工修改个人账号的初始密码，使用完毕后及时退出登录，加强账号的安全性，提高做好安全工作的主动性和自觉性。

（6）加强网络和数据安全管理。信息科负责对网络使用情况进行监督、检查，进行全面细致的安全工作部署，提高全院的系统安全意识。严格控制全院计算机终端，内网与外网物理隔绝，规定同一台电脑不能同时配置内外网，双网间不得相互搭接，严禁泄密。在内网客户端上，禁止使用USB等各种移动存储设备。定期检查各计算机内信息状况，对网络进行全局范围内的监控，掌握发生的内部违规事件和外部入侵行为，对于发现的问题及时处理，降低网络被侵害的风险。

（7）安装网络运维系统、桌面管理软件，做好数据存储与备份，落实信息安全等级保护落实措施，做好信息系统应急预案，加强信息科机房巡检，保障信息系统运行稳定、安全。

3 检查(Check)

实施改进后，2017年对全院主要临床科室及部分行管后勤部门信息终端设备巡查情况如下，如表2所示。

表2 2017年信息安全巡查情况

巡查结果较之前有所提高，如表3所示。

表3 巡查结果对比

这次巡查还存在以下问题：医保结账问题、打印耗材品质及使用期限问题、硬件维修人员专业技术问题、电脑运行速度慢问题、病历系统模板使用问题、移动医疗未建设、无线网络覆盖问题等，将在下一步行动中进行整改。

4 行动(Action)

在以后的信息安全工作中，我们将结合实际，主要在以下几个方面进行整改。

（1）重点抓好“三大安全”排查：一是硬件安全，包括防雷、防火、防盗和电源连接等；二是网络安全，包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等；三是应用安全，包括网站、资源库管理、软件管理等。

（2）针对信息安全意识需进一步提升问题，进一步加大力度对计算机安全知识的培训教育，提高做好安全工作的主动性和自觉性。

（3）针对设备维护、及时更新问题，加大对线路、系统等及时维护和保养，同时针对信息技术的快速发展的特点，加大更新力度。

（4）针对工作机制不够完善问题。要坚持以制度为根本，在进一步完善信息安全制度的同时，安排专人，完善设施、密切监测，加大奖惩力度，随时随地解决可能发生的信息系统安全事故，确保此项工作稳定运行。

总之，我院没有出现违反信息安全规定行为和造成泄密事故、信息安全事故的情况发生。以上面临的问题将反映到下一个PDCA循环中，从而实现保障信息安全的持续改进。

5 结论

由实践及效果可知，PDCA管理模式在监管医院信息安全方面是可取的，通过PDCA循环监管，我院的信息系统安全得到加强，亦提升了信息科满意度。

[1]孙巧燕.浅谈计算机网络技术在医院信息建设中的作用[J].医学信息（中旬刊），2010.

[2]李春杰.浅议PDCA循环方法和统计分析方法在质量控制中的应用[J].制造业自动化，2009.

[3]张亮.计算机网络与医院信息化管理方案探讨[J].中外健康文摘，2013.