醫院信息系統安全應對

張海霞 史敬華 孔明軍

（山東省泰安市中心醫院信息中心，山東 泰安 271000）

1 威脅信息系統的安全因素

1.1 系統管理人員的操作錯誤；

1.2 第三方軟硬件維護造成系統停運；

1.3 維修（網絡維修、電力維修）導致主機停運或主網斷線；

1.4 有嚴重問題的軟件上線造成應用軟件整體或局部不能正常運行；

1.5 硬件故障導致。

2 樹立應對安全理念

管理決定質量，管理決定安全，俗話說三分技術七分管理，管理制度與技術解決方案相結合是應對醫院信息系統安全的基本原則。

2.1 要建立有效的安全管理組織架構，明確責任，理順流程，爭取領導的重視是做好信息系統安全的關鍵，以便在預算支持或人員落實方面有所保障。

2.2 要對現有信息系統進行全面的安全審計，必要時重新進行全面規化設計，以便逐步進行完善。

2.3 要制定完善的系統安全管理制度，包括計算機終端使用管理制度、數據中心機房管理制度、應用軟件使用管理制度、數據備份管理制度、信息系統運行管理制度、信息系統文檔與配置管理制度等。

2.4 要建立信息系統的應急預案，保證業務不間斷運行；事故發生時可按照預案以最短時間、最小損失來恢復系統，應急預案的制定要簡單明了，便于操作，要有啟動預案的相關流程規定，確保其正確性及可行性。

2.5 信息管理人員要加強對網絡中心的安全管理，嚴格按照等級保護的基本要求標準實施安全管理。

2.6 加強培訓，除加強信息系統管理人員的安全技術與管理知識培訓外，還要提高操作人員素質，操作人員素質決定安全程度。要加強操作人員的安全意識培訓、操作技能培訓、規章制度培訓。針對目前醫院信息系統已發生的故障大多出自內部人員非規范使用的特點，加強內部人員的培訓管理非常必要。

2.7 加強對財務數據、醫療過程數據、藥品信息等敏感數據進行保密管理、防止外泄。

3 幾項關鍵措施

3.1 門急診系統設立專門備份服務器。萬一主機系統停運，門急診系統保證5分鐘內投入運行。

3.2 準備一套測試系統。用于軟件維護及系統模擬測試。

3.3 關鍵操作做實戰演習，如門急診備份系統切換、主機備份系統切換、系統重啟等。

3.4 培養一至兩名服務系統管理員或數據庫維護人員，在非核心硬件故障時，保證在指定時間內將系統重新啟動而且數據不丟失。

3.5 給中心機房一個安全環境，包括電力設施、溫控設施、消防設施等。

3.6 異地備份，其中一個為主數據中心，用于日常操作，另一個為災難備份中心。第二個數據中心要保持與主數據中心運行系統完全同步，以支持災難恢復。

醫院信息系統沒有絕對的安全，不同醫院有不同情況，不能一要概而論，要看各個醫院對各種風險的承受能力，基于這種承受能力醫院信息系統管理中心才能做出相應的應對策略，通過應對策略實施來保障信息系統的可靠性和可用性。

[1]張正惠.淺談醫院信息系統的安全建設[J].現代醫院，2004-10-08.