史海波 姚 锋*
医院信息化的快速发展,提高了各种医疗行为效率,促进医疗质量的提高,医院的各项工作也越来越依赖于信息化系统的存在。医院信息化系统涉及合作、远程协助等多个医院、多个机构间的合作,使医院信息化系统与外界网络相连,同时医院信息化系统还涉及患者、医师、药房及后勤等多种信息,其安全运行是保障医院工作顺利开展的前提。医院信息化系统具有24 h运行的特点,对安全性管理的标准要求更高[1]。本研究基于安全管理体系在医院信息化系统中的实践进行观察分析,为医院信息化系统的安全保障提供新选择。
针对医院信息化系统安全制定的安全管理体系主要包括两方面:安全管理层面和安全技术层面,其中安全技术层面又分为医院信息化系统物理安全和医院信息化系统数据安全。
调查发现安全管理层面存在的问题主要有:安全管理资金投入不足、安全管理责任不明确、考核机制不完善以及工作人员对信息安全重视程度不足。基于此,在安全管理层面的对策主要是:①帮助医院选择相对高效低廉的工作系统及网络硬件,运用更少的人力物力维护更安全的医院信息化系统;②实施分组责任制,明确各组的工作内容和维护范围及责任,定期考核工作人员的信息化系统工作,奖罚分明,对出现的问题加以杜绝;③分批次对医院工作人员进行培训,强调信息安全对医院正常运行的重要性,提高工作人员对医院信息安全的重视,做到在工作中不故意泄露相关信息,并互相监督。
系统的物理安全主要涉及医院信息化系统相关设备设施的物理保护,主要有:①信息化系统的硬件维护,避免因硬件损坏引起医院数据、信息丢失和泄露;②信息化系统硬件质量的高低决定系统的物理安全,对关键的硬件设备由专人看护,记录设备运行情况,发现异常及时处理,进行冗余备份,做到关键设备损坏时可以随时替换;③机房等外来人员进入应申请和登记,做到防风、防火、防震;④对机房进行分区域管理,维护机房环境,保持稳定的温度、湿度、防尘和防静电等;⑤配备电子门禁系统和灭火系统,制定值班制度,保证机房24 h管理。
数据安全主要包括医院相关数据的完整性、保密性和安全性。①网络的完整性,主要是将医院的内网和外网做出适当的连接,保证内网和外网连接的安全性,可以采用两种方式进行医院内网与外部网络的连接,即虚拟专用网联合防火墙和防火墙联合网闸,使用防火墙过滤网络攻击和实施访问控制,使用网闸确保数据按照摆渡的方式交换[2];②做好病毒防护,约80%的医院网络故障是因计算机病毒入侵引起,做好病毒防护是保障医院信息化系统完整性的关键,病毒防护措施最初主要有隔离内外网、拆除软盘光驱等,目前因病毒传播速度加快、更新频繁,主要依靠网络杀毒软件等,也可在防火墙上添加杀毒软件,过滤病毒,达到“双向过滤”的作用[3];③确保数据完整,数据安全还包括信息的完整性,要防止数据信息丢失、泄露等安全事件发生,还要有及时的技术手段将损坏或丢失的数据找回,医院的信息数据关系到患者的隐私、健康和社会秩序,一旦泄露对患者和医院将造成巨大损失,是医院必须面对的问题[4];④做好数据储存,保护数据的完整性采用数据转存、双机热备、服务器集群等措施来实现,医院数据的多元性、并发性等特点决定了数据信息安全的安全防护方式复杂,医院必须加强财力、人力的投入,选择适合自身情况的防护方法[5];⑤设置用户账号,医生、护士对患者进行用药、手术等治疗时需要登录相关用户账号,用户账号的信息安全从管理和技术两个层面入手,管理上严格一人一号,严禁互相借用、乱用,技术层面上,辨别登录操作系统和数据系统用户的账号密码,核实其身份信息,设置用户名、口令的难度,并随时更换,若一定时间内医生护士没有进行操作则自动退出系统,避免数据丢失,预防计算机黑客的威胁,保障网络信息安全[6];⑥安装用户端桌面管理系统,用户端桌面系统的安全是医院信息化系统的重要部分,在安全管理体系中占据重要位置,每个工作人员的电脑使用习惯不同、工作内容不同和工作等级不同,在桌面系统中所储存、转移的信息也不同,会造成数据信息的紊乱和不安全,安装用户端桌面管理系统,实时监测用户端使用情况,禁止私人移动设备接入医院内网,避免私人移动设备将外网病毒感染至医院内网[7-8]。
医院信息化系统的安全管理体系关键点是要有合理的应急预案[9]。医院信息化系统即使实施了多种安全防护措施,仍有可能出现不可预料的紧急情况而致医院信息化系统中断,采用应急预案实施应急模式下的工作流程,能够将损失降到最低[10]。具体应急预案由医院各部门制定自身在紧急情况下的工作流程并上报信息部门,信息部门制定相应的信息化工作流程。在发生紧急情况导致医院信息化系统出现故障时,发现人立即报告给部门管理人员,部门管理人员通知信息部门后,由信息部门排查故障原因并处理,在系统恢复之前医院各部门按照事先制定好的应急措施保证正常工作的进行。
研究医院的信息化系统,对医院信息化系统实施安全管理,实施人员为严格培训的专业人员和医院信息化维护人员,评价应用效果。
全面观察分析医院安全管理流程、管理制度是否完善;对医院领导层面、临床科室和辅助科室等工作人员进行问卷调查,主要调查各科室工作人员对医院信息化系统安全的重视程度,调查医院信息化系统技术情况,包括数据、网络、硬件、软件以及机房等存在的安全管理缺陷。对调查发现的安全管理问题进行归纳分析总结,制定针对性的安全管理体系。
(1)医院信息化系统安全保护能力。医院信息部门对实施安全管理体系前后,信息化系统安全保护能力评价,分为高、中、低3个等级。
(2)信息安全事件发生率。实施安全管理体系前后12个月内,医院发生的所有安全事件中由信息安全问题引起的事件发生率。
采用SPSS 22.0软件进行数据统计分析,计数资料用率表示,组间比较采用卡方检验,以P<0.05为差异具有统计学意义。
实施安全管理体系前,65%的信息部门人员认为医院信息安全保护能力低,实施安全管理体系后,仅20%的信息部门人员认为医院信息安全保护能力低,实施安全管理体系实施前后,对医院信息安全保护能力评价比较差异有统计学意义(x2=4.173,P<0.05)。
表1 安全管理体系实施前后医院信息化系统安全保护能力评价比较(人次)
实施安全管理体系前,信息安全事件发生率为29.37%,实施安全管理体系后,信息安全事件发生率为14.17%,前后比较差异有统计学意义(x2=7.590,P<0.05)。
表2 医院信息化系统信息安全事件发生率(次)
医院内设门诊、病房、收费、药房、消毒供应室及后勤等多个部门,信息化系统涵盖医嘱信息、护理信息、床位及病案信息、药品出库以及无菌物品发放信息等,数据庞大相对保密,具有实时性且共享,这对医院信息化系统的稳定运行和安全保障提出了更高的要求[11]。医院信息系统主要是利用计算机和网络来收集处理、传输各类临床信息,对医院工作流程的优化、工作效率的提高具有重要的促进作用[12]。目前,约有80%的医院实现了信息化管理,充分说明医院信息化的重要性,但随着医院信息化的迅速发展,医院信息化系统的安全现状不容乐观,常有因系统故障而引起的医疗安全事件发生[13-15]。制定一个安全可靠、科学合理的安全管理体系以规避医院信息安全风险迫在眉睫。
医院信息化系统的安全管理体系主要包括管理层面的安全防护和技术层面的物理安全、网络安全、主机安全及数据安全等[16]。制定信息化系统的安全防护措施从管理层面的安全管理制度制定、物理层加强硬件安全设计、网络层设计应用防火墙、系统层设计病毒防护、应用层设计用户账号管理等方面制定针对性的安全管理体系并实施后取得了满意的效果,医院工作人员的安全防护意识明显提高,避免了人为因素造成的信息数据损失,医院信息化工作人员责任明确,降低了信息安全事件发生率,极大地提高了医院信息化系统的安全性,在医院信息化系统中的应用前景广泛。
在医院信息化建设中实施安全管理体系能够显著提高医院信息化系统的保护能力,减少信息安全事件的发生,促进医院信息化发展,有利于医院管理水平的全面提升。