淺析醫院網絡信息系統安全的要害崗位人員管理

◆黎慶嚴

?

淺析醫院網絡信息系統安全的要害崗位人員管理

◆黎慶嚴

（玉林市第三人民醫院 廣西 537001）

隨著醫院信息化的高速發展與醫療體制的深化改革要求，遠程醫療、區域醫療、互聯互通、移動支付、床邊結算等新技術、新業務的應用，使得醫院的日常工作和醫療業務與計算機網絡技術全面融合,醫院對網絡信息系統的依賴性越來越強，醫院的網絡信息系統也越來越復雜。因此，醫院的網絡信息系統是否安全、穩定、可靠將是決定醫院醫療業務工作能否正常開展的關鍵所在。本文結合多年來本人對醫院網絡信息系統的維護管理工作經驗,對網絡信息系統安全的要害崗位管理進行淺析。

網絡安全；要害崗位人員；管理

0 前言

隨著計算機網絡技術的高速發展和醫療體制深化改革的發展需要，信息化系統安全措施建設是否完善與醫院的生存發展已息息相關，緊密的結合在一起。醫院之間、醫院與上下級之間互聯互通、區域資源數據共享、網上預約、網上掛號、移動支付、床邊結算、遠程醫療、遠程會診、醫保結算等新業務、新技術應用使得醫院的日常工作和醫療業務也與計算機網絡技術全面融合，醫院對網絡信息系統的依賴性越來越強，醫院的網絡信息系統也越來越復雜。醫院網絡信息系統安全的重要性日益凸顯。近年來出現的針對醫院重要數據進行加密的勒索病毒事件、黑客攻擊等一些重大安全隱患以及系統設備故障的發生，致使某些醫院系統癱瘓，導致患者無法正常就診，醫院的業務、秩序受到影響，使得醫療界對醫院網絡信息系統的安全保障以及地位不得不重新定義。保障醫院的網絡信息系統安全、穩定、可靠的運行，成為醫院的一項重大工作和政治任務。網絡安全的信息系統，除了要有安全的網絡管理設備，還要有安全的網絡管理人員，因此人員的管理也是相當重要的，即要害崗位的管理要引以重視。本人以多年從事醫院信息網絡管理的經驗對要害崗位人員的管理進行淺述。

1 信息網絡管理的要害崗位

信息網絡管理的要害崗位包括了與醫院信息系統直接相關連的一系列崗位，具體有：醫院信息化系統管理崗位、重要應用開發崗位、系統后期維護、業務操作等多個崗位。而每個要害崗位負責人需承擔一系列的管理工作。

2 要害崗位人員的管理

2.1 重要崗位人員的選拔是由醫院人力資源部門根據應聘要求進行嚴格選擇，并且針對人員的專業技能、職業素養、工作實踐經驗等多方面進行了全方位的調查，不合格者不能上崗。用人原則“政治可靠，業務素質高，遵紀守法，恪盡職守”，是安全的第一關。管理人員不安全，談何網絡安全？對此，必須要制定針對要害崗位人員工作內容的相關規定，用于規范其在開展信息系統工作時可以承擔自己應負的責任。同時，在開展工作前需要依照規定簽署保密協議，保證醫院網絡信息系統的安全性。

2.2在賦予要害崗位人員權利時，可借助權限分散的方式，這樣既能夠保證在出現問題時可由多人進行商討，提高決策的可靠性，也能夠從根本上杜絕因一方權力獨大而出現違背職業道德、影響醫院網絡信息系統安全的行為。同時，在無明確書面文字批準的情況下，要害崗位工作人員不得兼任醫院網絡信息系統開發人員。在此基礎上，醫院還應當定期對要害崗位人員工作進行審核，為其提供專業技能提升機會，加強要害崗位人員風險防范意識。

2.3如果醫院信息網絡管理要害崗位人員需要調離其工作崗位時，必須要提前辦理調離手續，并做好工作的交接，同時需要簽署離崗保密協議。涉及對醫院網絡信息安全管理有著直接聯系的要害崗位人員在進行調離時，需要接受審計，并在脫密期結束后才可依照規定進行調離。如果是退休，則要及時將其工作期間應用的權限及帳號全部注銷。

2.4 要害崗位人員的工作必須要有日志，可追蹤，受審計監督。

3 要害崗位安全責任

3.1系統管理崗位安全責任：要害崗位工作人員在進行醫院網絡信息系統安全管理時，必須嚴格按照工作流程進行，同時要保證所有工作均在自己權限管理范圍內，使整個系統可正常工作。同時，要害崗位工作人員還應當悉心觀察網絡系統運行期間的事項，并做好詳細記錄。一旦發現安全隱患，需及時向信息安全管理人員早報告，做到早發現、早治理。除此之外，要害崗位工作人員還應當對其他運行系統的人員進行監督，保障醫院網絡信息管理的安全。

3.2網絡管理安全責任：要害崗位人員要保障醫院網絡信息系統運行的安全性，同時要嚴格按照規定來規范網絡日常訪問權限、運行模式、安全管理等。一旦發現安全隱患，應當及時請求信息安全人員的幫助。除此之外，需每天對網絡運行情況進行細致的記錄，以便后期進行查詢使用。

3.3系統開發崗位安全責任：開發醫院網絡信息系統時，需先將所有系統安全功能做好，并且進行反復運行檢驗后，方可進行應用，但在開發期間，不可泄漏有關醫院網絡信息系統相關的安全技術。

3.4系統維護崗位安全責任：做好醫院網絡信息的維護，在保障系統正常應用的情況下，做好安全保密功能。同時，系統維護崗位工作人員不得私自改變系統參數，發現軟件所存在的安全隱患時要及時請求信息安全人員幫助。

3.5 業務操作崗位安全責任：按照系統操作流程開展工作，同時做好安全保障，要害崗位工作人員不能向他人提供自己操作密碼，在發現系統異常情況時需及時報告系統安全管理人員。熟悉本崗位的業務操作流程和操作技能，能快速流暢完成各種業務操作。

所有重要崗位人員需嚴格依照醫院網絡信息系統安全管理條款條例及相關法律規定開展工作。

3.6 第三方服務安全責任管理

3.6.1醫院第三方服務主要是指：當外部組織人員因一些不確定的原因需要對醫院網絡信息系統進行訪問、操作時，對其所提供的服務項。

3.6.2管理目的：開展醫院網絡信息系統安全管理的主要目的便是保障其在被外部人員訪問時，不會因一些不確定因素的干擾而降低對系統安全性的管理。與此同時，在保障醫院網絡系統安全的過程中也能夠為外部訪問人員提供優質的服務。

3.6.3第三方服務安全管理主要內容（不限于）：

（1）嚴格規定第三方服務組織必須要簽署保密協議，保障醫院網絡信息系統的安全性，同時要將安全管理與服務的水平等內容寫入保密協議中；

（2）醫院網絡系統中要害信息不允許外部人員訪問，除非在得到相關審核與批準后，方可在技術人員的陪同下進行訪問。

（3）第三方人員不得將其自帶的設備與醫院信息系統進行相連，必要時應該得到有關領導特別審批授權，在陪同技術人員下操作，并對其操作進行審計。

（4）對第三方組織所訪問的內容要要進行權限限制、監控、跟蹤，進行安全和風險分析。

4 要害崗位的安全制度管理

完善的要害崗位制度建設，是保證要害崗位人員操作的規范，科學的管理，提高網絡信息系統安全性的重要保障，同時也是減少要害崗位人員的誤操作引起安全事故，保證要害崗位人員的人身安全重要措施。在制度面前人人平等，既可以提高要害崗位人員的工作積極性，提高工作效率的同時保證安全工作的順利開展。要害崗位人員管理制度建設應該包括（不限于）：

（1）系統管理崗位管理制度；

（2）網絡安全管理制度；

（3）開發人員管理制度；

（4）維護人員管理制度

（5）業務操作人員管理制度；

（6）第三方服務人員管理制度；

5 要害崗位人員培訓與教育

信息部門應定期組織要害崗位人員參加下列信息安全知識和技能培訓以及政策學習，培訓內容應該包括（不限于）以下內容：

（1）信息安全法律法規及行業規章標準的培訓；

（2）信息安全基本知識的培訓；

（3）信息安全專門技能的培訓；

（4）定期接受政治思想教育、職業道德教育和安全保密教育。

6 要害崗位人員的考核管理

考核是檢驗人員能力的重要手段，考核也是促進員工主動學習的手段。

（1）首先要建設安全管理考核領導小組，負責制訂考核辦法以及考核標準。

（2）崗位要害人員必須定期接受安全知識、業務能力、職業道德、政治思想素質、保密知識的考核。

（3）考核不合格的人員必須換崗位或離崗培訓，考核合格方可重新上崗，不合格者調離崗位。

7 結束語

完善的信息網絡系統要害崗位安全管理，是保證醫院信息網絡系統安全、可靠以及高效、穩定地運行，是網絡信息管理中心工作的關鍵。醫院信息系統建設過程中，實現整個信息系統及網絡的安全，保障信息系統安全、可靠、穩定運行是整個網絡信息化建設的根本。信息網絡安全防范不可能是一勞永逸的，信息網絡安全的建設也只是個逐漸完善的過程已而，安全建設永遠在路上。制定和完善科學的安全管理制度，提升要害崗位人員的業務素質和政治思想素質，是保證醫院網絡信息系統安全、可靠以及高效運行的手段，只有抓好了要害崗位的人員管理，才能構建一個安全、穩定、高效的醫院網絡信息系統。

[1]程兆生.影響醫院網絡安全的非技術性因素[J].網絡安全技術與應用，2017.

[2]盧長偉，趙浩宇，李景波.醫院網絡安全管理方案與措施[J].中國醫院管理，2017.

[3]朱曉慶.醫院網絡中的安全風險與防范措施探究[J].信息與電腦（理論版），2016.

[4]陳宏.醫院網絡管理技術分析[J].信息與電腦（理論版），2015.