關于醫療信息化安全管理體系建設的探討

張榮幟

摘 要：信息化建設是任何一個企業必須重視的問題，因為信息化建設直接關系著企業的長遠發展，而信息安全更是為企業的發展提供了可靠保障。主要對醫療信息化安全管理體系的建設進行了簡單分析。

關鍵詞：醫療信息化；安全管理；網絡病毒；網絡癱瘓

中圖分類號：R197.3 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.13.041

1 企業信息安全管理體系分析

1.1 信息化網絡安全風險分析

網絡結構存在單點故障、設備性能不足以支撐業務系統需求等原因造成的網絡堵塞，導致業務丟包率較高；由于網絡互連引起越權訪問、惡意攻擊和病毒入侵等，導致網絡邊界存在安全隱患；缺乏必要的身份鑒別、安全防范和安全審計等技術手段，易造成設備的無權限訪問和惡意更改設備參數問題；缺乏必要的網絡安全檢測、主動防御設備，導致惡意攻擊、非法訪問、網絡病毒、DOS（拒絕服務）/DDOS攻擊和網頁篡改等時常發生，無法有效阻止網絡攻擊，進而造成網絡癱瘓。

1.2 主機安全風險分析

缺乏必要的身份鑒別、安全審計等手段，易造成設備的無權限訪問和惡意更改設備參數；系統中殘存有未及時刪除的過期賬號、測試賬號、共享賬號和默認用戶等，為非法入侵提供了賬戶信息；操作系統存在安全漏洞、安全設置不當和用戶權限設置不當等情況，導致文件信息、數據庫信息和敏感信息等被非法獲取；病毒入侵導致信息泄露、文件丟失和機器死機等不安全因素。

1.3 應用安全風險分析

用戶賬號被非法使用，冒用他人身份非法訪問信息系統，導致數據被非法竊取、非授權訪問和惡意篡改等；缺乏必要的操作行為記錄和審計手段，無法為查獲違法操作者提供必要的數據證據，使操作者逃避責任處罰；應用軟件存在漏洞或在開發過程中存在后門，為黑客留下了入侵的可操作性；軟件進程資源中未設置最大、最小限額和多重并發訪問限制，軟件資源被迅速占用，導致系統資源因被耗盡而無法訪問。

1.4 數據安全和備份恢復

在數據傳輸過程中，無法檢測到用戶數據和重要業務數據等在傳輸過程中是否受到破壞或被非法竊取；因數據泄露時未加密，而被非法解密后使用；因關鍵數據未及時備份，在主節點遭到破壞后無法及時進行數據恢復。

1.5 管理安全風險分析

不具備相應的安全管理組織，缺少安全管理人員，安全管理組織不健全會造成上、下級管理混亂，遇到突發情況時無法及時、有效地進行應急響應；缺少必要的安全運維管理系統，無法實時監控機房的工作狀態、網絡連接狀態、系統運行狀態，無法及時發現已發生的網絡安全事件；人員安全意識淡薄，在日常工作中無意泄露系統口令、隨意放置操作員卡、私接外網、非法拷貝系統信息、私自安裝、私自卸載程序、違規操作和擅離崗位等均會埋下安全隱患；人員分工和職責不明，缺乏必要的監督、約束和獎罰制度等，進而造成潛在管理風險；缺乏必要的人員安全培訓，缺少對系統故障、信息泄露等突發事件的及時應對措施，常錯過事件的最佳處置時間。

2 加快醫療信息化安全建設的對策

2.1 加強引導，轉變觀念

對醫療信息化進行管理的有效保障即充分運用現代管理制度，同時，應自上而下地強化信息安全管理意識和安全管理觀念，從而為醫療信息化安全建設提供思想上的保證。但目前我國大多醫療機構對信息安全管理的重視程度不足。為了轉變醫療機構的信息安全管理理念，上級主管部門可聘請本領域相關專家定期到各醫療機構進行相關的學習和培訓工作，不斷提高各醫療機構信息管理人員的綜合素質和技術水平，從而為醫療信息化安全體系的建設提供可靠的人才。

2.2 完善信息化建設標準

近年來，我國的醫療制度建設已經取得了很大進展，正不斷趨于完善，但信息化安全體系的建設還不具備有效的建設標準，所以，國家在對醫療機構制度進行統一要求的同時，還應對信息系統的安全體系建設加以重視。同時，制訂科學的信息化管理方案，有效協調軟件開發商與醫療機構之間的關系，并通過醫療經辦機構將需要報銷人員的信息進行上傳和有效反饋，實現在線審核，從而更好地推動醫療信息化安全建設體系的健康發展。

2.3 完善相應的法律法規體系

在國外，尤其是一些發達國家已經對醫療信息安全管理有了很完善的法律保障，我國可學習發達國家的成功經驗，結合我國醫療機構的具體情況制訂符合我國國情的醫療信息管理法律法規。尤其是對電力病例系統和醫療護理執行過程中的法律問題，都應獲得法律上的保障，并要求全體醫護人員嚴格遵守。

2.4 加大資金投入，調整投資結構

隨著科學技術的不斷發展，醫院信息系統的軟、硬件更新換代越來越頻繁，這在很大程度上增加了醫療機構信息安全管理的資金投入。因此，資金來源問題成為了醫療機構面臨的主要問題。在資金籌集方面，醫療機構可爭取中央、地方財政的支持，還可通過醫療機構自身的盈利增加信息安全體系建設的投入，通過社會捐贈、銀行貸款和重大項目的合作等方式對信息化建設增加投入。對于信息化安全建設投資機構，需要注意避免出現片面化的現象，既要對硬件設施增加相應的投入，還要注重人才的培養。

總而言之，醫療信息安全管理體系直接影響著醫療行業的健康發展，所以，醫療行業必須要對信息安全管理予以高度重視，以此為醫療行業的發展作出積極貢獻。

參考文獻

[1]劉啟望，馮超，劉敏，等.對醫療安全管理體系建設的幾點思考[J].中國衛生事業管理，2008（01）：20-21.

[2]程秀權.信息安全管理體系建設研究[J].電信網技術，2007（09）：8-12.

[3]姜春水.安全管理體系基本要義和基礎性要素的思考[J].中國民用航空，2009（08）：59-62.

[4]楊敏.企業信息安全管理體系建設的探討[J].電子技術與軟件工程，2013（24）：238-239.

〔編輯：張思楠〕