基于等級保護要求加強醫院信息安全管理

◆李大鵬

?

基于等級保護要求加強醫院信息安全管理

◆李大鵬

（六安市中醫院 安徽 237000）

近年來，我國各大醫院都開始加大了對信息化建設的投入，從而給患者及醫院自身帶來了一定的便利。但隨著信息系統及其相關信息的不斷增加，相應的信息安全問題也開始浮出水面。本文主要針對基于等級保護要求加強醫院信息安全管理的內容進行探討，首先介紹了醫院信息安全等級保護的基本內容，然后對信息等級保護的重要性進行了分析，最后對加強醫院信息安全建設的有效策略進行了討論與總結。

等級保護；醫院；信息安全；管理

1 醫院信息安全等級保護的基本內容

隨著信息科學技術的不斷發展，各大醫院也紛紛開始朝著信息化的方向進行發展，但是在信息技術的應用過程中，極有可能會出現某些信息安全問題，從而造成院內重要信息被破壞甚至被竊取的情況。作為醫院信息安全防護的關鍵方式，信息系統等級保護可以根據相應的等級保護要求，對醫院的信息化特點進行分析，并將其安全防護過程中的難點逐一進行解決，從而達到對醫院信息安全的保障。

1.1 信息等級保護的基本概念

信息安全等級保護制度的實行使我國的信息安全防護能力得到了一定程度的提高，同時也促進了我國各方面建設的正常進行，使社會的安全性與穩定性得到了相應的保障。在2016年，我國正式頒布并實施了相關的網絡安全等級保護制度，其中明確規范了相關的網絡安全等級保護制度。醫院相應的信息等級保護體系主要包括兩個內容：第一，信息安全管理體系，即安全事件管理、安全管理策略和人員安全管理，以及系統運維管理與系統建設管理；第二，信息安全技術，即保證相應的數據、應用、主機、網絡、物理安全。

1.2 信息等級保護體系的基本內容

1.2.1 信息安全管理體系的內容

信息安全管理體系的內容主要分為三部分：第一，人員培訓規范化。信息安全等級保護工作需要長時間來持續進行，且需要絕對專業的技術人員來進行，然而目前我國各大醫院內的相關工作人員在這方面的工作經驗很少，且無法短期內做到對相關技術的掌握及熟練操作，因此就要求醫院內部做到對相關人員定期進行集中的培訓，使他們能夠盡快掌握相應的信息安全等級保護技能，從而使醫院信息的安全性得到一定的提高。第二，加大對安全管理方面的投入。隨著經濟的不斷發展，大部分醫院都已經明顯加大了對信息化發展的資金投入，但是目前來看，這些資金通常都投入到了新項目中或是用于維護網絡系統的過程中了，在信息安全防護方面投入的資金少之又少甚至部分醫院并沒有對其的資金投入，從而造成了安全隱患的產生。第三，安全意識的強化。信息安全意識主要指工作人員在信息化的工作過程中時刻保持警戒狀態的一種心理，在醫院的日常工作中，也應要求全體人員加強自身的信息安全意識，做到對安全問題的時刻戒備，從而有效避免或減少相關問題的發生。

1.2.2 信息安全技術的內容

信息安全技術主要包括五部分內容：第一，數據安全。隨著網絡信息技術在醫院內的廣泛應用，目前醫院內最主要的財富與資源就是其日常運行的相關數據，因此醫院應該針對相關的重要數據進行重點保護工作，并對其進行詳細的備份，不斷完善相應的備份恢復機制，采取有效的數據安全保障方法，確保數據能夠快速進行恢復，同時對相應的信息技術進行利用，做到數據的異地備份以解決各種干擾因素帶來的問題，從而避免因數據的丟失對院方的正常工作造成一定的影響。第二，應用安全。目前在應用安全方面最主要的問題就是系統整合后的用戶同步。為了解決這一問題，可以通過對系統進行整合，再對相應的用戶管理系統進行統一的建立與健全，即設立相應的用戶數據庫，將系統內的用戶信息共同進行儲存，并對相對應的用戶進行授權，從而使存儲統一及逐一授權的目標得到實現。第三，主機安全。即要求院方對所有的服務器進行密碼的設置，并定期對其進行網絡殺毒，將沒有必要的服務端口關閉，并進行科學合理的權限設置，開啟相應的安全審計功能，對服務器及管理終端進行監控，從而做到對惡意代碼的有效防范。第四，網絡安全。作為醫院信息化工作的基本內容，網絡通信具有覆蓋面積較廣和端點較為分散的特點，因此成了醫院進行等級保護工作過程中的重中之重。通常情況下，等級保護工作都會以當前存在的網絡為基礎來進行，其基礎設施通常都比較固定，在這個過程中主要應該對網絡的高效性與合理性進行考慮，從而使網絡的安全性與其運行效率能夠得到一定程度的提升，從而有效達成信息安全保護工作的目標。同時，還應進行網絡安全訪問策略的合理制定，并對相應的網絡安全設備進行增設，將網絡通訊單點等問題盡可能進行消除，從而使網絡的高可用性得到一定程度的保障。第五，物理安全，即做好中心機房的防水、防火及防盜等工作，確保其場所的安全性。作為整個醫院信息系統的中心區域，中心機房內的物理環境應該進行嚴格控制，要求其做到雙路進行供電，遠離水源與電磁干擾等，并嚴設相應的門禁，對不同人員的進出進行監管及控制，從而避免不法分子隨意進出的現象。

2 信息安全等級保護的重要性

隨著對信息化的不斷利用，醫院相關的工作效率得到一定的提高，給醫院帶來了極大的便利，但同時也帶來了相應的信息安全方面的隱患問題，例如2015年10月的澳門山頂醫院泄密事件造成了患者的個人資料遍地散落，隱私受到嚴重的威脅，從而造成了極壞的社會影響，由此可見信息安全等級保護的重要性。從整體的角度來看，醫療服務行業的穩定發展關系到了人民的生活，也對社會的穩定性起到了至關重要的作用，而相應的醫療信息系統則是目前保證醫療服務穩定運行的核心，因此醫院信息安全管理的加強對推進我國的信息化建設十分重要。

3 加強醫院信息安全建設的有效策略

3.1 建全相應的信息安全管理制度

信息安全管理制度作為信息安全工作總的目標、方針及原則，其建立要求醫院結合自身信息安全方面的主要特點來進行，并對醫院今后的基本制度以及主要任務作出了規定。同時，要將制度從建立到發布的整個過程的內容進行明確，并定期組織相關的修訂及評審工作，從而確保相應信息安全管理制度的完善性，使醫院在不斷進行信息化發展過程中的需求能夠得到相應的滿足。

3.2 加強工作人員的專業化考核與培訓

信息安全管理工作要求其操作人員具有一定的專業技術水平，因此院方在工作人員的錄用與培訓等方面要做到以下幾點：首先，在錄用相關的工作人員時要嚴格對被錄用者進行相應的資格審查，在決定錄用后，要求其與院方簽訂相應的保密協議，且在其離職時，應嚴格按照相關的流程要求及時收回其在醫院內的鑰匙、重要證件及賬號等；第二，醫院應定期對工作人員進行考核，考核的基本內容包括對信息安全認知及技術的考核，從而保證每位工作人員在工作過程中都能履行其保護醫院信息安全的責任；第三，醫院應定期組織工作人員進行培訓，從而使他們的安全意識能夠得到一定的提高，同時，應制定并實行科學合理的獎罰制度，從而在一定程度上促進員工的工作積極性并提高他們的安全意識；最后，當外來人員進行訪問及參觀考察活動時，院方也應嚴格按照流程來對其審批及授權，從而使醫院的順利運行能夠得到相應的保障。

3.3 完善相應的安全管理機構

醫院的信息安全管理工作不是單個人或部門能夠獨立完成的，而是全體在職人員共同努力達到的。因此，醫院應該對相關的安全管理機構進行完善，首先應該成立信息化領導小組對院長與書記進行監督管理，接著依次是副院長和信息科科長，然后由信息科科長對系統、網絡及安全管理組長進行管理，并分配給各個管理組長相應的管理任務，對普通的員工進行監督管理。由此可見，安全管理機制明確了每個崗位的相應職責，要求在崗人員從自己做起，從而能夠有效保證醫院內的每個人都能參與進來，進而使醫院信息化發展過程中的要求能夠得到相應的滿足。

3.4 建立健全醫院的信息系統

隨著科學技術的不斷發展，信息化逐漸深入人們的工作與生活中，為了更好地順應時代發展的要求，使各類業務的需求得到滿足，醫院也應該結合自身的實際情況來進行信息系統的建設，與此同時還要制定相應合理的建設管理制度，從而作為信息系統建設的根本依據，確保信息系統能夠順利完成建設。此外，院方的管理人員還應該制定相應的管理制度，并根據人員的不同進行操作手冊的分類發放，確保使用者能夠規范地進行有關操作，從而使因人為操作失誤造成的故障次數得到減少，使相關的系統運行維護人員能夠順利進行系統的維護操作。

3.5 加強信息安全應急管理措施

做到對應急預案的完善制定，就能夠及時對醫院信息系統出現的各種問題進行處理。其中應急預案的主要內容應該包括對各部門職責任務的明確規定，從而對黑客攻擊等突發事件做到妥善的處理，并且還要求工作人員對該應急預案做到熟練掌握。同時，醫院還應定期展開相應的模擬演練，并將整個過程進行記錄分析與總結，從而在后期能夠針對不足進行改正和彌補。除此之外，醫院還應保留一支能夠進行應急救援的專業人才隊伍，并將各種備件等物資配備齊全，以防不備之需。

4 小結

綜上所述，隨著信息化技術的不斷發展壯大，人們對信息網絡技術的應用也逐漸廣泛起來。目前的醫療行業也正在朝著信息化的方向迅速發展，但在醫院進行信息化發展的同時，也面臨了相應的信息安全方面的重大挑戰。因此，人們也逐漸開始加強對醫院信息安全等級保護的重視，并建立了相應的信息安全等級保護制度，使我國的信息安全保障水平得到了絕對的提高，從而使醫療衛生服務的質量水平及其工作效率能夠得到一定的保障，進而使社會的穩定性、國家的安全性得到了明顯的提高。

[1]劉白璐，楊雅輝，沈晴霓.網絡入侵早期檢測方法的研究與實現[J].計算機工程，2013(7)：1-6.

[2]朱圣才，徐御，金銘彥.基于等級保護策略的云計算安全風險評估[J].計算機安全，2013(5)：39-42.

[3]陳雪秀，任衛紅，謝朝海.信息系統安全等級保護能力構成框架研究[J].信息網絡安全，2008(9)：30-32.

[4]楊棟，劉立輝，任志剛.醫院信息安全管理與措施[J].中國醫療設備，2011，26(6)：70-72.

[5]曹利峰，陳性元，杜學繪.多級安全網絡區域邊界訪問控制模型研究[J].計算機工程與應用，2011，47(32)：118-122.