醫(yī)療衛(wèi)生行業(yè)信息安全等級保護的現狀與對策

王弢

摘 ?要：隨著我國基本邁入信息化時代，信息技術已滲透到了人們生活的方方面面。在醫(yī)療衛(wèi)生領域，各類信息系統早已取代了原始的紙質辦公深入醫(yī)療單位的運行。隨之而來的一個重要問題是如何確保相關信息安全日漸突出。一旦某些重要的信息遭到泄露，將會牽涉甚廣，給社會帶來重大的不利影響。因此，保障醫(yī)療衛(wèi)生行業(yè)的信息安全迫在眉睫。基于此現狀，衛(wèi)生部于2011年11月印發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》通知，明確提出了衛(wèi)生行業(yè)信息安全等級保護工作的指導意見，由此相關的信息安全工作有文可依，有據可循。隨著衛(wèi)生行業(yè)等級保護工作已經開展數年，該文將結合筆者自身工作情況就當前行業(yè)等保工作的現狀以及可行對策進行分析和闡述，希望能夠對行業(yè)相關工作人員起到幫助。

關鍵詞：醫(yī)療衛(wèi)生 ?等級保護 ?現狀 ?對策

中圖分類號：R197.1 ? 文獻標識碼：A 文章編號：1672-3791（2019）06（b）-0220-02

信息安全事件分為4個等級，分別為：特別重大事件、重大事件、較大事件和一般事件，不同等級的安全事件將帶來不同程度的后果，從而產生不同程度的影響。譬如：特別重大事件是指能夠產生特別重大影響以及破壞的信息安全事件。一旦這種級別的醫(yī)療信息遭到破壞或泄露，不僅僅關系著個人隱私，而且在醫(yī)患矛盾十分突出的今天可能造成惡劣的社會影響，甚至還可能影響到國家的醫(yī)療政策及應對措施。因此在醫(yī)療衛(wèi)生行業(yè)開展信息安全等級保護并堅決貫徹落實是相當重要的，下面將具體地介紹當前等保工作存在的問題并且將就這些問題提出合理的解決措施。

1 ?當前醫(yī)療衛(wèi)生行業(yè)信息安全等級保護的現狀

1.1 缺乏專職專業(yè)管理人員

盡管目前許多醫(yī)院尤其是三甲醫(yī)院對信息安全等級保護工作已經十分重視，但就實際情況來看，仍然存在著諸多管理上的漏洞。基本上各級醫(yī)院目前都配備有專門的信息部門來管理等級保護方面的工作，但礙于部門規(guī)模、專業(yè)技能等因素專職的信息安全管理人員為數不多，具有較高相關職業(yè)水準的人員更是鳳毛麟角。這導致與信息安全等級保護相關的工作缺乏連續(xù)性，嚴重影響管理進程和貫徹落實。久而久之將會不可避免的產生一些問題，譬如等保評測檢查出的問題卻未有后續(xù)跟進，每次評測每次都是那些老問題。因此，缺乏專職專業(yè)的信息安全管理人員對信息安全等級保護工作危害巨大。

1.2 缺乏系統的管理標準

常言道：沒有規(guī)矩無以成方圓。這句名言所隱含的道理同樣可以適用到醫(yī)療衛(wèi)生行業(yè)的信息安全等級保護當中。盡管醫(yī)療工作者們已經不斷加強了信息安全保護的意識，但是缺乏系統的信息安全等級保護的管理標準同樣會嚴重影響信息安全保護工作的有效開展和進行。因此，為了能夠更好地保障醫(yī)療衛(wèi)生領域的信息安全問題，管理者必須制定一套詳細的管理制度，這樣可以使信息安全管理工作有條不紊地進行，從而減少隨意的、自由的、不按規(guī)定的“亂管理”現象頻繁發(fā)生。并且制定系統的管理制度還可以提高管理效率，避免管理人員走彎路，有效確保安全管理工作的有序進行。

1.3 臨床人員缺乏信息安全保護意識

即使醫(yī)療行業(yè)信息系統管理人員對信息安全等級保護的意識已經逐步建立并且不斷加強，但是許多的臨床部門醫(yī)護人員依舊沒有意識到信息安全保護工作的重要性。在他們看來，現有的保護措施已經足夠保障信息的安全，沒有必要再花費更多的人力、物力和財力在這些方面。“過度”的安全保障措施只會使工作流程更加復雜，降低工作效率，對某些安全管理措施甚至有抵觸情緒。因此，為了能夠更好地開展相關的管理落實工作，信息系統管理者首先必須加強醫(yī)護人員對信息安全的認識，使他們認識到貫徹落實信息安全保護工作才能有效地保障信息安全。

2 ?改善現狀的措施建議

2.1 設立專職專業(yè)的管理人員

醫(yī)療衛(wèi)生機構等保工作管理部門應當設立專職管理人員，由此保證信息安全等級保護工作的有效性、連續(xù)性。專職人員一方面對等保工作起到管理監(jiān)督作用，另一方面也可以督促相關人員積極參與配合，保證工作的落實。為了能夠更好地執(zhí)行管理工作，信息安全管理部門應當為專職人員安排定期的相關專業(yè)技能培訓及定期的業(yè)務考評制度，由此保障提高管理人員的專業(yè)技能水平。部門內要進行分工合作，不同人員負責專門的職責，讓每個人都有明確的工作對象和目標，這樣可以調動員工的工作積極性，提高工作熟練度，提升效率。因此，設立信息安全等級保護工作專職專業(yè)管理人員是確保信息安全等級保護工作能貫徹落實的關鍵因素之一。

2.2 制定規(guī)范的管理標準

要想保障信息安全等級保護工作的有效進行，除了人員因素外還必須要制定一套系統的管理標準，這樣可以使整個等級保護工作執(zhí)行起來有制度可循，更有序、更高效。即使負責等級保護工作的管理人員時有更迭，還是可以根據規(guī)范標準的管理制度貫徹落實等級保護工作。制定出一整套這樣的規(guī)范標準的管理制度起步階段雖然有不小的困難，但是一旦規(guī)范標準完成，并堅持不斷完善，對之后的等級保護工作將受益無窮。因此，制定規(guī)范的管理標準是確保信息安全等級保護工作的另一個關鍵因素。

2.3 加強臨床人員信息安全意識

為了能夠更有效開展信息安全等級保護工作，保障等保工作的有效性、持續(xù)性，有一個重要的方面是提高臨床醫(yī)護人員的信息安全意識。加強臨床醫(yī)護人員信息安全意識可以從以下諸多方面開展，例如：可以定期開展臨床醫(yī)護人員關于信息安全方面知識的簡單培訓，讓他們從最基礎的層面上了解到有關信息安全的重要性，認識到等級保護工作對醫(yī)療信息安全起到的關鍵作用。其次，可以在基礎培訓同時對臨床醫(yī)護人員進行培訓相關的簡單考核，使他們對信息安全基礎信息能有更加深刻的認知，填補他們在這方面的空白。同時可設置相應的獎懲制度，確保考核工作的順利有效進行。最后，可激發(fā)醫(yī)護人員的工作熱情，請他們根據之前的培訓和考核對自身所服務的醫(yī)療機構的信息安全等級保護工作提出不同方面的意見和建議。因此，加強臨床醫(yī)護人員信息安全意識和對等級保護工作的認知是也是一個非常重要的因素。

3 ?結語

信息安全目前在各個領域都是重中之重，醫(yī)療衛(wèi)生行業(yè)的信息安全等級保護工作對于醫(yī)療信息安全的建設和發(fā)展同樣是重中之重。一旦重要醫(yī)療信息遭到泄露破壞將會對社會產生很大的不良影響。因此保障醫(yī)療信息安全，堅決貫徹等級保護工作是當前行業(yè)相關執(zhí)業(yè)人員的重中之重。這不僅需要深刻認識到當前醫(yī)療行業(yè)信息安全等級保護工作開展的現狀，還需要提高本身的專業(yè)技能水平，不斷完善規(guī)范標準的管理制度。未來隨著等級保護工作的持續(xù)和深入，將從政府、國家的層面自上而下地為等保工作貫徹落實提供更好的保障。

參考文獻

[1] 衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知[J].中國衛(wèi)生信息管理雜志，2011（6）.

[2] 肖革新，馬家奇，周立平，等.公共衛(wèi)生信息系統安全等級保護建設相關問題思考[J].醫(yī)學信息學雜志，2012，33（2）：2-8.

[3] 江杰波.醫(yī)療衛(wèi)生行業(yè)信息安全等級保護的現狀與對策研究[J].中國新通信，2018，20（11）：138.

[4] 王麗娜，張東軍.醫(yī)療衛(wèi)生行業(yè)信息安全等級保護的現狀與對策[J].醫(yī)療衛(wèi)生裝備，2013（6）：87-88.

[5] 蔡雨蒙，朱一新，劉云，等.醫(yī)療衛(wèi)生行業(yè)信息安全等級保護探討[J].醫(yī)學信息學雜志，2014，35（9）：12-15.