医院计算机信息安全风险管理控制分析

于金涛

【关键词】医院;计算机;信息安全;风险管理控制

当前信息技术发展迅速，计算机作为信息技术的分支已经成为人们日常工作和生活的重要组成部分，促进着社会各行各业的发展。目前在现代化医院中应用计算机技术可以改变传统医院中需要大量耗费人力的工作模式，从而在节约人力成本的同时，还大幅度提高医院的工作效率。与此同时，在利用计算机办公时也存在着一定的信息泄露风险，因此医院方面需加强计算机信息安全风险管理的控制，努力保障医疗信息安全，谨遵以患者为中心的宗旨[1]，保护患者的资料、信息。本文将从当前医院计算机信息安全风险管理存在的缺陷入手，提出相关的风险管理控制策略。

（一）医院整体忽视计算机网络安全的重要性

现阶段，我国大部分医院在建设过程中通常将建设重点放在医疗设备的优化以及医护人员的素质方面，而忽视了计算机网络安全在医院安全风险管理中的地位。因此，医院内部存在患者资料泄露、医疗信息被非法盗取等安全问题，在严重侵犯患者权益的同时，也对医院造成了巨大的损失。近年来，随着信息泄露问题频发，以及人们思想观念的提升，社会各行各业越来越关注计算机信息安全。医院存儲着大量患者隐私信息和医疗信息，更应提高医院整体对计算机信息安全的重视。

（二）信息安全管理缺乏明确落实

目前，大多数医院在信息安全管理方面并没有做出明确的指示，包括无明确的信息安全管理部门和信息安全管理人员。其中，在一些医院中，医护人员缺乏责任感，认为信息安全管理应当所属信息管理部门，与医护人员无直接联系，缺乏对信息安全管理的重视[2]。但实际上，医护人员与信息安全二者之间的关系是相辅相成，紧密相关的。信息安全对医护人员而言是有益的，同时医护人员也要努力承担起信息安全保护的义务，做好信息安全保护的守护者。然而现如今大多数医院仍然会忽视对医护人员的信息安全教育，从而进一步导致医护人员对信息安全知识的掌握不充分，信息安全管理并未落实到位。

（三）缺乏信息安全技术保障

通常计算机存在的信息安全问题大多都是以黑客入侵以及人为泄露信息为主，同时还伴随存在一些意外信息安全事故，如信息泄露。最常见的信息泄露主要出现在一些医院将用过的电池或者信息平台混合使用，造成信息安全的泄漏引发进一步的信息安全隐患。目前，随着信息技术的应用越来越广泛，医院的信息系统呈现多种集成网格结构，患者在手机终端就可以进行挂号、缴费等就诊步骤，而这些信息化的步骤就导致医院计算机信息网络环节增加，可以被攻击的渠道也会随之增加。而一些黑客想要成功进入医院网络系统内部就可以从多个环节入手，打入医院信息内部。并且，随着信息技术的普及，黑客所掌握的系统攻击也不断发展，病毒感染能力越来越强，而一些医院由于缺乏信息安全技术作为保障，一旦感染就会导致医院信息系统的全面瘫痪，破坏正常的工作流程，对医院造成严重的损失[3]。

（一）加强医院内部人员对信息安全的重视

医院要真正落实信息安全责任，首先要改变内部人员的思想，即信息安全并不是由信息管理部门单独负责的，而是医护工作者共同的责任和义务。为提高医护工作者对信息安全管理的重视，医院可以定期举办信息安全讲座，让专家学者为医护人员讲述信息安全的重要性，从而建立医院内部工作者的信息安全意识，将信息安全意识深深根植于医院内部工作者的内心。同时，为保证医院计算机信息安全风险管理顺利开展，还需要健全计算机信息安全管理制度作为保障。医院在管理过程中可以将医护人员进行分组并选取信息安全负责组组长，以此对全院医护人员进行管理，负责人需要做好领头羊的工作，自觉承担起信息安全管理责任，并定期对该阶段内出现的信息安全问题进行总结分析，做好后续的部署管理工作[4]。因此，医院内部要保证每一位医护人员都重视计算机信息安全管理，让每一位医护人员都提高对信息安全风险管理的重视，避免信息泄露问题的出现。

（二）强化信息安全技术保障

在计算机信息安全风险管理中，强化信息安全技术保障是信息安全风险管理的必要手段。为此，医院内部可以通过建立双核心网络结构强化信息安全保障。构建双核心网络架构之所以能够保证网络传输的效率，是因为双核心网络构架是由两台核心交换机进行工作，其优点在于当其中一台核心交换机出现故障时，另一台依然能够运转且不受影响，维持正常工作运行。因此，建立双核心网络架构能够在不影响医院信息系统正常运行的同时，为技术人员争取系统维修的时间，有效提升医院网络系统的稳定性。同时加强计算机软件维护，能够提高计算机系统的防御能力。因为随着计算机网络技术的发展，网络病毒的形式呈现多样化的发展趋势，只有加强信息安全技术保障来抵御病毒入侵才是最好的维护信息系统的办法。为此，医院内部应当建立数据档案，即在对数据进行日常分析的同时及时抵御所出现的病毒，从而有效防止病毒的入侵。

（三）建立健全信息安全管理制度

医院内部若想明确落实信息安全责任，应当建立信息安全管理制度。具体而言，建立信息安全管理制度前提在于建立专门的信息安全监察组，其中监察组内的成员是由医院各科室的相关负责人构成，他们的主要职责是监督信息系统操作是否规范，并定期与信息安全监督工作人员进行交流，对发现的问题及时进行处理和总结，从而提高信息系统的安全性[5]。信息安全管理制度在制定过程中还包括对操作规范的管理，有些医院出现信息安全泄露以及病毒入侵等问题多半是由于不按规范操作所致，因此需要加强对操作规范的管理。在健全信息安全管理制度时要对不同的数据进行分级管理，数据资料要严格按照操作规范进行整理，且专门安排专业的检查小组定期对服务器进行维护，判断服务器的运行状况，并对服务器中出现的问题进行记录。

综上所述，医院计算机信息安全风险管理控制工作并不是一个独立部门的工作，需要医院内部所有医务工作者共同合作，从根本上提高医院内部人员对信息安全管理的重视、同时建立健全一整套的信息安全管理制度，只有这样才能保护好患者的信息安全，进一步提高医院的工作效率，避免信息泄露风险的出现。