关于医院信息安全管理工作的探讨

◆赖毅锋

关于医院信息安全管理工作的探讨

◆赖毅锋

（广州市红十字会医院 广东 510220）

医院信息安全管理工作目的是保证医院数据安全、保证医院正常运营的关键。本文对医院信息安全管理工作的问题进行分析探讨。在简单对医院信息系统的特点进行分析后，结合过去工作中所遇到的实际问题，有针对性地提出医院信息安全管理工作的改善措施，以供参考。

医院管理；信息系统；安全管理；改善措施

随着我国科学技术的发展，医院信息化建设工作的不断完善，国内大型医院的信息化建设已初具规模[1]，医院的运营也离不开医院的各种信息系统。但是近年信息安全态势在全世界范围内发生了本质上的变化，国家对信息安全也是高度重视，医院信息安全工作面临着空前的挑战。日益增长的信息化需要和信息安全工作不平衡不充分的发展已成为医院信息化建设工作的矛盾之一。医院作为国家公共医疗资源，在当前社会和媒体对医疗服务的高度关注下，如何落实医院信息系统安全管理显得尤为重要。

1 医院信息系统的特点分析

首先，医院信息系统符合信息系统的基本特征，由硬件、软件、数据库、网络、存储设备、感知设备、人员以及把数据处理成信息的规程构成，具备开放性、脆弱性、壮健性等特性。其次，医院各种信息系统是医院业务流的信息平台，承载医院医疗、药品、耗材、财务、人力、后勤物资等多个环节的数据，这些数据具有高度真实性和敏感性。这些特有的复杂性使得医院信息系统对实用、先进、开放、互联、可靠、稳定、安全等方面都有着较高的要求。

2 医院信息安全管理工作面临的问题

通过对工作总结分析，医院信息安全问题主要体现在以下几个方面：（1）信息系统本身的不安定因素。十全十美的信息系统是不存在的，信息系统均存在一定的安全问题，医院的信息系统也不例外。在某种程度上，开放和安全之间，甚至是实用性和安全之间存在的矛盾经常出现。在这样的情况下，系统在对安全问题判定上就会存在纰漏，从而导致安全方面出现问题，甚至会对信息系统造成威胁。（2）对安全设备的过分依赖，忽视管理。时常发生设备有了，但问题依旧的情况。（3）医院整体人员对信息安全意识不高。个别信息技术管理者不重视信息安全方面工作，对信息安全方面的沟通表现出可有可无的态度，甚至将毫不相干的问题归咎到安全工作，而随意叫停或干预安全工作。

3 改善医院信息安全管理工作的探讨

个人认为要做好医院信息安全管理，必须做好以下几个方面的工作：

第一，做好信息安全的宣导、培训和教育工作，充分发挥医院信息中心在这方面的职能。培训教育的目的不是要求全民皆专家、每人都是信息技术高手，而是旨在提高医院整体人员在信息安全方面意识。自上而下提高全院的信息安全意识是保障医院安全运营的一个先决条件，没有安全意识一切工作都是徒劳。信息安全不是一个部门的工作，也不是某个人的职责，信息安全应该贯穿于整个医院，每个员工都需要承担相关的义务和责任[2]，树立正确的“谁主管、谁负责，谁使用、谁负责，谁运营、谁负责”的信息安全管理原则思想。

第二，三分技术、七分管理。医院信息安全工作并不是一个单纯的技术活动，更不是一堆设备的过程。在当下的大环境，敌暗我明，漏洞层出不穷，以医院自身的资源，拼技术显得不切实际。有些文献提到某些技术或某些设备已无现实意义。但本人认为，虽然技术有高低、设备有差异，可问题的本身并不在于某项技术或某款设备，而是在于是否有与之相配套的管理措施。任何技术或设备都有短板，即使再好的设备如果无人检查、无人监测也等同摆设。信息安全是动态的、无边界的，不可能存在一种或多种技术组合能成功防御各种威胁。所以关键还是做好自身的管理工作。医院要针对自身情况，建立形成相对完善的管理规范，使其能有效应对来自内部或外部的威胁。

第三，做好运维保障支撑工作。文献[3]提到了系统补丁更新滞后的问题。出现这种现象，往往是老旧系统欠缺合理的更新或维护所造成系统无法适应或使用新补丁。因此需要确保医院的信息系统能得到有效的运维支撑，确保信息系统能在补丁环境下运行。如果因补丁导致系统无法正常使用，应该立即评估系统本身的安全性，并做出相应的调整，而盲目取消安装补丁是可笑的。另外，巡检、病毒防护、日志管理、文档管理也是运维保障工作不可忽视的组成部分。我国的《网络安全法》[4]已经就日志的留存问题给出了明确的要求。文献[5]已就安全设计、实施、管理实现、运行维护等多个方面给出指引，能为信息安全工作提供良好的标杆。

第四，做好监督与评审工作。近年勒索病毒层出不穷，业界的信息安全事件屡见不鲜，这不得不让我们对过去的服务方式作出反思。这里做好监督、评审是必不可少的一环。尽管医院信息化建设是为广大的患者、医护人员服务的，但是有求必应式的响应一定要叫停。作为一个专业的信息技术从业人员，应该对每一个信息化建设项目的分析报告、实施方案进行审核，从合规性的问题分析乃至应用层次、网络拓扑、中间件、数据库的选择都应严格把关，而不是草草“同意”二字了事。

第五，做好数据保护工作。一方面，由于医院数据有高度的真实性，所以历来受到社会各类人员的青睐。另一方面，医院数据能为医院科研工作提供必要的支持。现阶段医院的数据保护工作已经不仅限于传统的数据备份活动。如何有效保护医院数据安全是一个不得不思考的问题。这里可以分为对外的防御控制和对内使用的两个层面工作。对外，做好边界防护工作，并配合监督审计，严控数据非法外流。对内，1.建立数据使用的审批规程，做到数据使用要有依据；2.在满足科研需求的情况下，应遵循最少反馈原则；3.对于敏感信息，应该进行加密或降维处理，使其无法直接读取信息的物理意义，但又不影响分析工作；4.注意合规性的问题，依法依规严格控制数据流通活动。

第六，控制好信息安全工作的成本。有人认为对信息安全的投入是个无底洞，投入再多也未必有成效。虽然本人并不同意这些观点，但是医院的资源是有限的，任何一个项目都必须平衡成本效益。对于信息化建设项目，信息安全工作越早介入，项目成本越低。如果信息化建设项目在后期才关注安全问题必将导致开发成本或维护成本上升，而这些成本最终还是转嫁给医院自己。所以信息化建设项目要尽可能在可行性分析阶段就引入信息安全的工作，做到“同步规划、同步建设、同步使用”。

4 总结

在新时期，医院信息化建设工作应该在符合国家或上级部门对信息安全要求的前提下，围绕着服务广大的患者和满足医护人员工作需要进行开展。医院信息安全管理工作应以管理与技术相结合，为医院信息系统的实用、先进、开放、互联、可靠、稳定、安全提供另一个维度的保障。

[1]李小华.医疗卫生信息标准化技术与应用[M].人民卫生出版社，2016年12月第1版：86-91.

[2]注册信息安全专业人员培训教材[Z].中国信息安全测评中心，2018年10月试用版V4.1：99.

[3]黄家旺.医院信息系统的网络安全管理与维护[J].现代信息科技，2019，3（10）：162-163.

[4]中华人民共和国网络安全法[Z].2016年11月7日发布：第二十一条.

[5] GB/T 22239-2019，信息安全技术网络安全等级保护基本要求[S].