新形勢下醫院信息安全管理

文/趙潔

隨著社會的進步和科學技術的發展，醫院信息化建設也不斷完善，形成了覆蓋全院、全醫療服務的醫院信息系統。同時，隨著醫療行業和網絡結合后，更多的互聯網技術也進入醫院信息系統：微信服務、APP、社保、銀行、區域醫療信息共享等，醫院的信息化建設不再是單一的模式，而是與外部網絡互接互連，醫院信息安全管理面臨著網絡、計算機病毒、信息保密等各方面的挑戰。新形勢下，醫院的信息安全管理，已成為當前醫院信息化建設的重要任務。

1 當前醫院信息安全管理的現狀

1.1 醫院信息安全管理涉及的范圍更加廣泛

近幾年，隨著醫院對網絡技術的應用和融合，提供了基于網站、微信、APP等醫療服務，預約掛號、預約檢查、電子化驗單、醫后付、一站式住院、在線咨詢等功能的推出，極大的方便了患者，節省了醫療資源，這些功能的實現，是基于醫院信息系統與互聯網、銀行等外部平臺建立接口，一旦發生網絡癱瘓或者數據丟失、泄露，將會給醫院和患者帶來難以彌補的損失。因此，為保證醫院信息系統的安全正常工作，必須采用必要的安全管理措施來保障醫院信息系統持久、穩定、安全地運行。

1.2 國家對醫院信息安全管理更加重視

為了保障網絡技術的安全開展，針對醫療衛生行業，國務院于2016年6月出臺《關于促進和規范健康醫療大數據應用發展的指導意見》，將醫療大數據正式納入國家發展，在醫療、醫藥、公共衛生、醫保、以及安全保障等方面進行全面規范；2017年3月，李克強總理在政府工作報告中首次提出，要制定“互聯網+”行動計劃，推動移動云計算、大數據、物聯網等與傳統行業相結合；2019年7月，國家層面出臺《健康中國行動（2019-2030年）》，解讀了醫院如何利用互聯網技術把“預防為主”的理念落到實處，提升居民健康水平。政策文件的出臺和完善，顯示了國家對醫院網絡信息的重視，信息安全問題也將進一步提升。

2 新形勢下醫院信息安全管理存在的問題

2.1 互聯網對醫院信息安全管理的挑戰

隨著計算機網絡技術的發展， 醫院的業務不再僅僅局限于“院內”，互聯網的APP、微信業務、移動辦公、遠程會診等新業務的進入，醫院網絡面臨著外部網絡的沖擊。計算機病毒、系統漏洞、黑客攻擊等為代表的諸多安全問題也日益暴露出來，一旦存在安全隱患的終端用戶接入互聯網，就會給潛在的安全威脅敞開了大門。同時，更多的移動、醫療新設備以有線或無線的方式接入，雖然這些設備有明顯的醫療優勢，但是也可能會遭遇一系列的安全問題。

2.2 患者對就診信息的保密要求

患者在醫院就診，所有的身份信息、病歷信息、就診記錄、檢查報告單、住院信息等，都在醫院信息系統中保存，這些病歷信息都是患者的隱私信息；同時，隨著互聯網業務的接入，銀行系統、醫療APP或微信服務等公司會與醫院信息系統存在合作，一旦病人的隱私信息被其他公司獲取，將會對病人隱私造成巨大影響。因此，醫院在實施APP或微信方案時，一旦要和合作方明確醫療數據的保護，保護患者的隱私信息，保護醫院的信息資產。

2.3 信息系統本身的不穩定因素

信息系統是根據醫院、用戶的需要而開發的系統，因此其開發、升級、完善的過程中，不可避免的會存在一定的不穩定因素，帶來一定的安全隱患。同時，現在開發的信息系統，除了需要與醫院內網的信息相結合，還需要與外網的眾多接口直接有數據連同，系統對安全問題的判斷就會存在紕漏，從而導致安全方面出現問題，甚至會對信息系統造成威脅。

2.4 傳統安全制度的安全漏洞

醫院信息系統自投入使用醫療，其定義就是為醫療過程服務，因此，傳統的信息系統管理將注意力主要放在了醫療救治工作中，對信息的安全重視程度較低。現階段，很多醫院雖制定了安全管理制度，但沒有很好的得到落實與遵守；很多情況下，醫院方面往往默認為信息的安全是醫院信息管理部門的職責，對醫生、護士以及其他的信息系統使用者的信息安全教育缺乏、防范理念不夠，安全職責的劃分也不明確，加之互聯網上黑客越來越專業，因此日常信息安全的保障壓力越來越大。

3 形勢下醫院信息安全管理的探討

3.1 提升信息安全管理技術

提升自身的信息安全管理技術，關鍵是提升機房的硬件和服務器的管理技術。因為機房是幾乎所有服務器的放置地，是醫院信息系統的核心，機房服務器每天24小時運行，一旦出現中斷，數據就會丟失，影響醫院業務的開展。機房安全管理，首先應保障其物理環境，嚴格控制機房內的溫度、濕度，做好防塵、防靜電、防磁場干擾，安裝UPS電源，保障機房電源供電持續性。其次，對機房的服務器應有專業技術人員管理，定時查看運行情況、備份服務器數據、及時安裝系統補丁，發現問題及時處理，同時，嚴格做好主服務器、備用服務器的安全軟件升級，確保在突發事件中，能迅速啟動備用服務器，保障醫療業務的正常開展，等解決故障后，能將數據完整的傳送到主服務器上，保證數據的完整性。

3.2 重視網絡安全體系建設

網絡是醫院信息系統的傳輸通道，醫院的每一臺主機每一個終端都依靠網絡進行數據交換與通訊，所以高速、安全的網絡體系是保障信息系統正常運行的重要載體。醫院網絡一般分為醫院內網和醫院外網，內網的信息系統是是醫院的核心業務系統，外網是能連入互聯網的局域網，內網和外網的隔離是保障網絡安全的一個趨勢。物理上的隔離技術，保障了內網數據的安全傳輸、共享，應嚴格控制內網客戶端的U盤、醫療設備的準入機制。同時，由于醫院業務發展需要，微信預約、APP等系統的外網數據與內網數據交換越來越頻繁，建立內外網數據交換區，嚴格監控數據交換的安全性。

3.3 做好信息數據保護工作

數據信息是醫院的核心信息，其真實性、隱私性導致了數據的珍貴性，具有非常大的商業價值。如果醫院的數據信息泄露，首先將無法保證醫療業務的正常開展，其次也將失去患者對醫院的信任，讓醫院遭受經濟損失。

做好數據保護工作：

（1）要做好數據的備份，可以采用定時完整備份數據庫，以防發生數據丟失時可以迅速恢復。

（2）做好異地數據備份，為數據安全做雙重保護。

（3）定期檢查備份數據的完整性、可用性，因為一旦備份數據出現故障，一切數據保護工作都無法保證。

3.4 加強信息安全人員管理工作

醫院信息系統，人是使用者，是信息安全的保護者，也可能是信息安全問題的制造者。在人員管理中，首先需要加強對信息專業技術人員的技術考核和深度培訓，提升其安全防范意識和專業技術能力；其次，加強普通職工的信息安全宣傳教育和培訓。很多時候，普通職工防范理念不夠，無意識的訪問不安全的網絡、連接U盤等外部設備，將會給網絡帶來病毒等影響，通過信息安全宣傳，養成良好的客戶端電腦使用習慣，培養全院職工的信息安全意識。

3.5 完善信息安全管理制度

新形勢下，信息安全工作包括了硬件、軟件、網絡、設備等各個技術活動，涉及全院各個科室，因此，首先需針對自身情況，形成一套全院的、相對完善的規范制度，并能真正落實到實際工作中；其次，信息科需制定具體的網絡維護制度、信息安全管理制度、機房管理制度等，使信息安全管理有據可依；第三，結合臨床科室和醫院信息管理實際情況建立信息安全應急預案，并在科室內進行詳細的登記，科室成員要對應急預案熟練掌握。

4 結束語

新的計算機網絡發展技術給醫院帶來了新的發展機遇，但也帶來了新的安全挑戰。新形勢下，醫院信息安全管理工作應著眼實際，從多個方面著手加強監管，力爭為患者提供高效、便捷、安全、優質的服務。