杨爱武
(1.滨州医学院烟台附属医院,山东 烟台 264100;2.滨州医学院第二临床医学院,山东 烟台 264100)
在医院信息化建设和管理的过程中,如何保障医院信息系统数据安全是一个热点问题。由于医院信息系统涉及到患者的健康信息、医疗服务质量、医疗费用结算等多方面的内容,其数据安全对于医院和患者都具有重要意义。一旦医院信息系统中的数据丢失或被篡改,将会导致医疗服务质量下降,影响患者利益。另外,如果医院信息系统中的数据被非法盗取或数据不可用,不仅会导致患者隐私泄露,还可能影响患者病情监测、医疗费用结算等工作的进展。因此,本文分析医院信息系统数据安全面临的挑战,并提出有效的防范措施,希望可以对医院信息系统的建设提供参考。
医院信息系统是指医院内部各个部门之间以及医院与外部机构之间进行信息交换和共享的一套综合性的信息管理系统。医院信息系统的功能包括:医疗业务管理、医疗质量管理、医疗资源管理、医疗费用管理、医疗决策支持、医疗科研教学等。医院信息系统建设的目的是提高医疗服务的效率和质量,降低医疗成本和风险,满足患者和社会的需求,促进医院的发展和提升市场竞争力[1]。
医院信息系统数据安全是指保护医院信息系统中数据存储、处理及传输时不受非法或恶意破坏、泄露、篡改等,保障数据完整性、可用性和保密性的一系列措施和技术。医院信息系统数据安全是医院信息化建设的重要组成部分,也是医院业务运行和管理的基础保障。医院信息系统数据安全涉及医院的各个业务领域,如患者诊疗、医疗质量、医疗费用、医疗保险、医疗资源、医疗监管等,医院信息系统数据安全对于维护医院的声誉、保障患者的权益、促进医疗行业的发展都具有重要意义[2]。
安全策略不合理是医院信息系统数据安全防范中常见的问题之一。安全策略过于粗放会导致某些用户进入系统时所获得的权限过大,出现数据损失或泄密事件。这主要是由于医院信息系统管理员在日常管理中未采用基于角色的安全模型,不能准确区分医院用户及其他网络用户,使得医院文件和数据经常会被随意访问,很多用户不经授权就可以访问医院的机密信息和数据。另外,医院信息系统安全密码强度不足,也可能会为医院信息系统带来新的隐患。比如,缺乏相应的多重身份验证及其他安全性措施,缺乏证明范例和访问日志分析等,也会影响到医院信息系统的安全性。
目前不少医院信息系统数据安全存在着很大的风险,且影响因素较多,以下对于信息风险展开具体论述[3]。目前我国医院的数据环境相对开放,很多自助终端、无线网络、信息服务、医疗服务等都是协同共享状态,开放的互联网接入环境为攻击者提供了便利,会加大医院信息系统数据安全风险。同时接触到数据协同共享信息系统的人员较多且部分人员权限较高,这使得医院信息系统在使用过程中容易出现运维人员和开发人员等使用同一个数据账号连接数据库,无法辨别操作人员是谁,加大违规行为、高危操作或误操作的风险。
除此之外,目前医院信息系统数据集中度较高,虽然这样便于数据的统一管理及分析,但是也加大了外部入侵及数据被攻击的风险,容易导致数据泄露。数据信息集中会在其交互过程中存在相应的风险,比如在数据采集过程中,存在采集源身份假冒和数据伪造、违规采集个人隐私或特种数据的风险;在数据存储过程中,存在遭受勒索加密,导致数据无法挽回的风险;数据在传输过程中被篡改、窃取,导致信息泄露的风险;数据在使用过程中出现内部人员越权访问,违规查询和下载,非授权终端违规接入访问数据,第三方使用数据泄漏风险等。总之,医院信息系统数据风险来自方方面面,稍有不慎就容易造成数据信息安全问题。
数据信息基础环境不完善是我国医院信息系统数据安全防范中存在的又一个问题,主要由于一些医院内相关部门从保护意识到具体实施,再到基础环境都不完善。医院信息系统数据来源错综复杂,不仅包括手写纸质记录,还包括电子记录、数字诊断仪器记录和其他医疗设备记录等。这些数据在不同的媒介之间交换,可能会出现数据处理方式不一致、数据丢失或数据损坏等问题。在缺乏数据信息基础环境的情况下,这些问题可能会影响医院信息系统数据的完整性、准确性和安全性。
医院数据信息基础环境不完善也体现在医院信息系统的硬件设备和软件平台落后,无法支持大数据等新技术的应用,制约着跨院区、跨地区、跨层级的数据共享和协同。具体来说,医院信息系统数据安全管理技术措施不够完善,没有实现数据的分类分级保护、加密传输、备份恢复、访问控制、审计监督等基本功能,也没有采用先进的数据安全技术和产品,如人工智能、区块链、云计算等;医院信息系统在数据安全管理中,数据安全体系建设不够规范,没有遵循国家相关法律法规和标准规范,没有明确数据安全的责任主体、管理流程、监督机制和应急预案,这都会导致医院信息系统数据安全问题的产生。
部分工作人员安全意识较低,在发生紧急情况时,不能及时采取可行的应急方案。相关部门对工作人员缺乏信息化运用的有效培训和教育,导致信息系统的使用者不熟悉信息系统操作,信息系统的使用规范和数据安全意识不强,数据安全责任不明确,数据安全行为不规范。同时,很多医院缺乏相应的信息安全管理人员,部分医院即使配备了信息安全管理人员,也存在职责不清晰、专业能力不强等问题。医院相关安全管理工作人员不能发现问题并做到及时防御,导致医院信息系统数据安全防范工作无法正常开展、信息系统的优化和升级滞后,严重影响了医院信息系统的性能。
医院信息系统是医院的重要组成部分,涉及患者的个人信息、诊疗记录、医疗费用、药品库存等敏感数据,一旦遭到泄露、篡改或破坏,将给医院和患者带来严重的损失和风险。因此,加强医院信息系统的安全性是医院的重要责任和义务,需要从技术、管理和法律三个方面进行综合防范和策略制定。
在技术方面,需要建立完善的信息安全体系,要及时开展数据加密,合理设置访问权限,还要做到信息系统的及时更新。医院相关工作人员要对存储和传输的数据进行加密处理,防止数据被窃取或篡改。医院信息系统要对不同级别的用户分配不同的权限,限制无关人员对敏感数据的访问和操作;对信息系统的使用情况进行实时记录和监控,及时发现和处理异常行为。定期对信息系统进行维护和升级,修复漏洞和缺陷,增强系统的稳定性和可靠性。
在管理方面,需要建立健全信息安全制度,首先要制定信息安全策略,明确信息安全的目标、原则、责任和措施,形成统一的制度和规范。加强医院相关工作人员的培训,提高信息安全人员的专业水平和意识,增强他们的责任心和能力。医院相关管理人员还要不定期宣传信息安全知识,提升医院员工和患者对信息安全的认识和重视程度,争取他们的合作和配合。制定应对各种信息安全事件的预案和流程,确保系统发生故障时能及时有效地处置并使其恢复。
在法律方面,需要贯彻落实相关的法律法规,包括《网络安全法》《个人信息保护法》《数据安全法》等,履行相应的义务和责任。尊重患者的知情权、同意权、选择权等,保护患者的隐私权、知识产权等,不得擅自收集、使用或泄露患者的个人信息。建立有效的信息安全合同制度,与合作方签订完善的信息安全协议,明确双方的权利和义务,防止发生纠纷或损失。
加强医院人才培养是提高医院信息系统数据安全防范能力的重要途径。培养医院人才可以基于医院的信息化发展规划和目标,评估医院信息化人才的需求量,建设结构、人员水平等,制定相应的计划,根据评估结果及时加强信息化人才的培养。医院可以通过组织各种形式的学术交流、技术交流、经验交流等活动,促进医院信息化人才之间的知识共享和技能提升,增强医院信息化人才之间的团队协作和沟通能力。
医院还要加强对安全管理人员的培训,提升其工作能力。培训要以岗位职责要求为出发点,结合员工实际工作内容,提升安全管理人员安全意识和行为准则,防止内部人员的低级和错误操作。
数据信息的完整性是指数据信息在创建、存储、传输、处理和使用的过程中,不被非法修改、删除或破坏,保持其原始的状态和含义。数据信息的完整性是数据安全的重要组成部分,也是医院信息系统正常运行和提供高质量服务的基础。为了保护数据信息,提升其完整性,可以从其技术上、管理上入手。从技术方面入手,要加强数据信息的加密技术,采用合适的加密算法和密钥管理机制,对敏感数据信息进行加密处理,防止数据信息在传输和存储过程中被窃取或篡改;引入数据信息的校验技术,利用数字签名、哈希函数等方法,对数据信息进行校验和验证,确保数据信息的来源、内容和完整性没有被破坏;从管理方面入手,可以增强数据信息的备份和恢复能力,定期对关键数据信息进行备份,并存储在安全可靠的介质上,以防止数据信息因意外或恶意攻击而丢失或损坏。
医院信息系统数据安全是医疗卫生信息化建设的重要组成部分,也是保障医疗质量和患者隐私的基础。随着医院信息系统的不断发展和应用,数据安全面临着越来越多的挑战。因此,加强医院信息系统数据安全防范及策略研究,具有重要的理论意义和实践价值。文中提出了医院信息系统数据安全防范策略的建议,包括完善法律法规体系、建立数据安全管理制度、加强数据技术安全保障、提高数据安全意识和能力等。这些建议旨在从不同层面和角度,构建一个综合性、系统性、动态性的医院信息系统数据安全防范体系,为保障医院信息系统数据安全提供参考。■