刘钕镝 杨小梅 许小红 钟熠 黄桂珍
摘要 目的:探讨安全管理体系在医院信息化系统中的应用价值。方法:回顾性分析2020年1月—2022年2月我院信息化系统数据资料,以2020年1月—2021年1月安全管理体系实施前的数据资料作为对照组2021年2月—2022年2月安全管理体系实施后的数据资料为观察组。比较信息安全事件发生率、信息化系统保护能力及使用满意度。结果:观察组信息安全事件发生率为4.27%,低于对照组的12.34%,差异有统计学意义(P<0.05);观察组对信息化系统保护能力评价高于对照组,差异有统计学意义(P<0.05);观察组信息化系统使用满意度为98.45%,高于对照组的90.37%,差异有统计学意义(P<0.05)。结论:安全管理体系在医院信息化系统中的运用价值较高,能增强系统安全防护能力,减少信息安全事件发生,提高各个部门工作人员的信息化系统使用满意度。
关键词医院信息化系统;安全管理体系;信息安全事件;信息化系统保护能力
doi:10.12102/j.issn.2095-8668.2023.07.030
医院信息化系统利用计算机网络技术为各个部门、科室提供病人的就诊信息、行政管理信息,包括收集、提取、储存、处理、数据交换等多种功能,并具有实时性、共享性、全天运行性等多种特点,可提高医院的管理精确度与管理效率[1-2]。然而随着医院信息化系统的广泛使用,数据资料的安全问题也逐渐增多[3]。由于信息化系统牵涉到与其他医院、医疗机构的合作,与远程协助的医护人员、后勤等多方面信息,信息数据管理中,管理信息一旦被他人恶意攻击,有可能导致病人就诊及治疗数据丢失或被篡改,影响医疗服务的开展,甚至降低医疗服务质量,影响医院形象[4-5]。因此,临床加强医院信息化系统的安全管理,维持系统的安全运行,对保障医疗工作顺利进行尤为重要。为此,本研究就安全管理体系在医院信息化系统中的运用价值进行分析。
1 资料与方法
1.1 一般资料
回顾性分析2020年1月—2022年2月我院信息化系统数据资料,其中2020年1月—2021年1月的安全管理体系实施前的数据资料作为对照组,2021年2月—2022年2月安全管理体系实施后的数据资料为观察组。信息技术部门工作人员24名,其中男18名,女6名;年龄23~35(29.63±2.10)岁;工作年限1~6(3.06±0.31)年;学历均为本科及以上。安全管理体系实施前后无工作人员变动。
1.2 安全管理体系
1.2.1 安全問题分析
全面分析医院信息化系统的管理流程、管理制度是否完善,并对临床科室、医院领导等进行问卷调查,了解各个部门工作人员对医院信息化系统安全的重视程度。同时调查信息化系统技术情况,包括网络、数据、硬件、软件、机房等安全管理缺陷,最后归纳总结分析。了解医院信息化系统安全管理,包括安全技术层面、安全管理层面,安全技术层面包括信息化系统数据安全、物理安全。调查发现信息化系统的安全管理层面的主要问题有安全管理责任不明确、资金投入不足、考核制度不完善、工作人员对网络安全不够重视、系统补丁更新滞后、数据库安全审计定位不准、入侵检查系统失效等。
1.2.2 安全管理对策
基于安全问题分析结果,制定安全管理对策,主要包括软件或硬件优化、以最少人力实现网络安全维护最大化、实施分组明确责任、完善奖惩制度、工作人员分批次培训等。
1.2.3 完善管理制度
将网络安全相关工作人员进行分组,轮流负责安全管理工作;每组自选1名小组长,负责监督组员工作完成情况,并要求组员间相互监督;医院成立监管小组,监督各个小组的日常工作;监管小组组长组织相关人员参加网络安全维护技术培训,并强调网络安全的重要性,为期1周或2周;培训结束后进行考核,成绩不合格的人员继续培训,直至合格为止;每月根据各个组员的工作完成情况、完成效果等实施适当奖惩;医院方面则需加大信息安全维护的资金投入。
1.2.4 强化物理安全
①维护信息化系统相关硬件,发现损害或老化的及时更换;服务器、中心机房、工作站、硬件接口设备等是硬件保护的基本内容,其中中心机房是信息管理的核心,设备管理人员在信息系统安全建设的基础上对机房的门禁制度、湿度、温度、避雷、供电设备等进行维护,实施机房分区域管理,保持稳定湿度、温度、防静电、防尘;配备灭火系统与电子门禁系统,外人进入机房必须申请、登记。②针对服务器管理方面,做好多机容错、多机热备份方案、双服务器管理的使用维护;安排专人看护硬件,定期记录设备运动,发现异常立即处理,并制定24 h轮流值班制度。
1.2.5 数据安全管理
①维护网络完整性,将医院内网与外网适当连接,采取虚拟专用网络联合防火墙及防火墙联合网闸、防火墙过滤网公司和实时访问控制,并使用网闸保障数据按照摆渡的方式交换。②强化病毒防护,在拆除软盘光驱、隔离内外网、网络杀毒软件的基础上,在防火墙上添加杀毒软件以过滤病毒。③采取数据转折、服务器群集、双机热备等方式做好数据储存;定期全面检查系统漏洞,及时安装防护补丁,同时系统扫描过程中需要实施网络系统权限管理;建立网络应急服务体系,一旦发生网络故障,网络安全管理人员立即进行数据恢复。④为每位医生、护士设置专用用户账号,为病人开药、拿药、用药时需要登录账号;个人用户账号的信息安全从技术、管理2个层面着手,严格规定账号一人一号,禁止借用,技术层面上需要设置登录密码,核实身份,并设置用户口令、用户名,口令的难度随时更换,如医生或护士未按照规定操作,账号自动退出系统。⑤应用用户端桌面管理系统,每位工作人员的工作等级、工作内容、习惯等有所不同,桌面管理系统中的转移信息、储存信息也有所不同,容易导致数据储存信息紊乱,增加数据管理难度;因此,针对安装桌面管理系统的障碍实施监测,严格禁止私人移动设备接入医院网,预防病人隐私泄露。
1.2.6 安全管理应急预案
医院各个部门制定自身在紧急状况下的工作流程,然后上报至信息部门,信息部门由此制定信息化工作流程;如发生由紧急情况导致的信息化系统故障,发现者需立即上报部门管理人员,然后部门管理人员告知信息部,信息部安排专人进行排查处理;信息系统未恢复前按照之前制定的紧急措施维持工作正常运行。
1.2.7 系统对接管理
由于医院信息系统具有系统孤立性、信息共享不充分等特点,为此使用HL7标准来完善信息系统整体架构,实现各个系统的对接。
1.3 观察指标
①记录两组(安全管理体系实施前后)网络攻击、有害程序、信息破坏等信息安全事件发生情况,并计算在总安全事件中的占比;实施前共发生154件安全事件;实施后发生117件安全事件。②信息化系统保护能力:由24名信息技术部门工作人员评价安全管理体系实施前后医院信息化系统的安全保护能力,将保护等级分为高(信息系统受到破坏后不会影响正常工作开展)、中(信息系统受到破坏后影响工作开展,业务能力下降)、低(信息系统受到破坏后,工作无法开展,引起严重纠纷)3个等级;以问卷调查的形式开展,前后共发放48份,回收48份,问卷回收率为100%。③信息化系统使用满意度。使用自制信息化系统使用满意度调查问卷对医生、护士等使用者进行调查,包括非常满意、满意、一般满意、不满意。对照组(安全管理体系实施前)随机发放问卷135份,观察组(安全管理体系实施后)随机发放问卷129份,共发放问卷264份,回收问卷264份,问卷回收率为100%。
1.4 统计学方法
采用SPSS 20.0软件分析数据,符合正态分布的定量资料采用均数±标准差(x±s)表示,比较采用t检验,定性资料以频数、率(%)表示,比较采用χ2检验;等级资料采用秩和检验。以P<0.05为差异有统计学意义。
2 结果
2.1 信息安全事件发生情况(见表1)
2.2 信息化系统保护能力(见表2)
2.3 信息化系统使用满意度(见表3)
3 讨论
互联网时代下,医院的信息管理模式发生重大改变,在大数据的支持下,医院的人员、物资、财务、医疗设备等管理数字化信息系统得以构建[6-8]。但网络信息技术是一把双刃剑,信息化系统在为医院提供便利的同时,也带来诸多安全隐患问题。若信息化系统出现安全性问题,系统的各个模块就无法通信,也不能实现其他业务功能,严重影响医院各项工作的正常运行[9-10]。因此,医院在建设信息化系统体系的同时,还需要做好网络的安全管理与维护工作,保障数据的安全性,以进一步推动医院平稳发展。
现阶段医院对计算机网络的依赖性虽逐渐增强,但对网络安全的管理与维护却不够重视,大部分管理工作仍然停留在表面,没有深入开展网络安全管理工作[11]。由于医院工作人员对于计算机知识了解不足,日常工作多停留在使用计算机其中一项操作技能上,对于网络安全的认知不深入,且多数医院的管理者只重视医疗水平的发展,而忽视信息系统的安全管理,仅配置数名计算机相关技术人员来负责系统的运行,专业知识水平不乐观。加之网络病毒的类型复杂繁多等,医院的信息化系统容易受到攻击而发生信息泄露、网络瘫痪,致使病人隐私泄露,进而导致不必要的医疗纠纷[12]。临床制定一种安全可靠的信息化系统管理体系,降低信息安全风险尤为重要。本研究结果显示,观察组信息安全事件发生率低于对照组,信息化系统保护能力及信息化系统使用满意度高于对照组,表明将安全管理体系用于医院信息化系统中,能够降低信息安全事件发生率,提高系统的保护能力,进而提升信息化系统使用满意度。史海波等[13]研究显示,安全管理体系在医院信息化系统中的应用效果显著,能降低信息安全事件发生风险,提高系统安全保护能力,与本研究结果具有一致性。医院信息化系统涵盖医嘱信息、药品出库、无菌物品发放、病人床位及病案信息等,通过计算机技术这些信息进行收集处理,能有效优化医疗工作流程,提升医疗服务质量。安全管理体系通过分析了解影响网络信息安全因素,归纳总结并结合实际情况制定针对性管理措施,有效提升医院信息系统安全性,维持系统正常运行,从而保障医疗服务顺利开展。安全管理体系从安全管理、技术层面两个方面入手,安全管理主要针对的是系统硬件、外界环境、人为因素所带来的安全隐患。其中加强系统硬件维护,可及时发现并更换老化硬件,避免因硬件损害引起信息、数据丢失,并在一定程度上维持设备运行[14]。优化设备环境也是维护网络安全的重要方式之一,可确保环境温度湿度适宜、防静电、防尘,能预防水、灰尘、静电等引起计算机短路,有效避免突然短路损害主板等部件。多机容错、双服务器管理等手段进行交叉控制,能使医院信息系统24 h持续稳定运行,提高系统的使用满意度。采取责任分工制度加强有关人员的管理,使每位工作人员明确自身工作内容、工作范围,配合一定的奖惩制度,可增强工作积极性、责任心,减少工作随意性,从而在日常工作过程中主动规范个人行为,保障管理措施的落实,提升安全管理效果[15]。开展计算机知识培训则能够提高工作人员专科知识水平、操作技术、安全防护意识,及时发现网络安全隐患,尽早采取应对措施,消除安全隐患,维持系统的安全运行,降低安全事件发生风险。技术层面主要针对的是病毒、網络防护、账号应用等带来的安全隐患。其中病毒攻击是网络管理中不可忽视的问题,重视网络安全管理,提高防病毒软件管理,并通过增加杀毒软件达到双向过滤病毒的作用,预防病毒攻击,增强信息化系统的安全性,降低信息安全事件发生风险。严格规定账号一人一号,禁止借用、乱用,预防黑客入侵发生病人信息泄露。桌面客户端的应用能够实时监测账号使用情况,及时发现异常,严格禁止私人移动设备接入医院网则可避免人为因素引起的数据泄露,进一步保障信息安全。即使医院制定多种信息化系统安全防护措施,仍不可避免各种紧急状况,影响系统运行。安全管理体系还制定相应的安全管理应急预案,以防范突发状况,减少相关损失。信息部门根据各个部门上报的在紧急状况下的工作流程制定针对性应对应急预案,一旦发生突发状况,信息技术人员排查故障的同时立即启动应急预案,使部门仍能有序开展医疗工作。HL7标准集合各个医疗信息系统,如管理、保险、检验、临床等,同时汇集不同厂商用来设计应用软件间接口的标准格式,允许各个医疗机构不同应用系统间进行资料沟通;使用HL7标准通过完善医院各个系统对接,完成系统间数据共享与交换,形成整体医院数字化系统,保证信息化建设的先进性与实用性;同时以HL7标准为核心实施各系统对接,还能实现各种医疗与管理业务的优化,并为医院、病人、医护人员及管理者提供一个方便、统一、快捷的信息支撑平台,从而更好地完成医院诊疗服务。
4 小结
综上所述,安全管理体系用于医院信息化系统建设中,能够提高安全管理效果及系统保护能力,更好地预防信息安全事件,从而保障医疗服务顺利进行,提高系统的使用满意度。
参考文献:
[1] QIAO L,WU H,WU Y,et al.A Lightweight internet sharing scheme for sectional medical images according to existing hospital network facilities and basic information security rules[J].Journal of Healthcare Engineering,2020,2020:8838390.
[2] CHOI S J,JOHNSON M E.The relationship between cybersecurity ratings and the risk of hospital data breaches[J].Journal of the American Medical Informatics Association,2021,28(10):2085-2092.
[3] 吴云兰.终端安全管理系统在医院信息化的应用[J].中国数字医学,2019,14(10):92-94.
[4] 杨利谦,李琪,王天俊.基于医务管理信息系统的医院、科室、医师三级质控体系建设[J].中国医院,2019,23(10):7-9.
[5] 杜俊.医院信息化建设中计算机网络安全管理与维护[J].中国药物与临床,2020,20(12):2046-2047.
[6] MOEHRING R W,YARRINGTON M E,DAVIS A E,et al.Effects of a collaborative,community hospital network for antimicrobial stewardship program implementation[J].Clinical Infectious Diseases,2021,73(9):1656-1665.
[7] 汪晖,尹世玉,王颖,等.保护性约束信息化管理系统的构建及应用[J].中华护理杂志,2019,54(6):850-854.
[8] SIMSEKLER M,QAZI A.Adoption of a data-driven bayesian belief network investigating organizational factors that influence patient safety[J].Risk Analysis,2020,18(136):130-136.
[9] 章俊航,王軼群,王卉,等.B/S模式下的医院网络信息安全防护系统设计与应用[J].中国医学装备,2020,17(5):181-185.
[10] 秦涵书,肖明朝,胡磊,等.互联网医院信息安全风险及应对策略[J].中国卫生信息管理杂志,2022,19(2):238-242.
[11] 牛光宇,纪淑君,陈洁.“互联网+医疗健康”的信息安全[J].中国卫生质量管理,2020,27(3):9-11;14.
[12] 王淑平,刘杉.服务器虚拟化在医院信息化系统中的研究与应用[J].微型电脑应用,2019,35(3):111-113.
[13] 史海波,姚锋.安全管理体系在医院信息化系统中的应用研究[J].中国医学装备,2019,16(1):128-131.
[14] 郭雨晨,雷行云,陈荃,等.三级医院信息化发展水平评价体系的构建与指标筛选[J].中国数字医学,2019,14(5):79-81.
[15] 汪君,郭雪清,金红军,等.医院信息网络故障应急处置管理系统设计与实现[J].中国卫生信息管理杂志,2019,16(6):708-712.
(收稿日期:2022-07-26;修回日期:2023-02-22)
(本文编辑王雅洁)