基于等級保護要求加強醫院信息安全管理

謝同玲

【摘? 要】伴隨信息網絡技術的不斷發展，計算機與互聯網日益向醫療衛生事業滲透，信息化成為醫院創新發展的必然趨勢。在這一背景下，信息安全問題也日漸成為醫院面臨的嚴峻挑戰。伴隨《中華人民共和國網絡安全法》的出臺與實施，醫院必須增強思想認識，形成對于信息安全管理體系的全面認知，重視掌握加強信息安全管理的科學策略。為此，論文主要對信息安全管理技術體系的五個維度進行分析，在此基礎上，探討醫院提升信息安全管理水平的具體策略，以供參考。

【Abstract】With the continuous development of information network technology， computer and internet are increasingly infiltrating into the medical and health services. Informatization has become the inevitable trend of hospital innovation and development. Under this background， the problem of information security has become a serious challenge faced by hospitals day by day. With the promulgation and implementation of the "Cybersecurity Law of the People's Republic of China"， hospitals must enhance their ideological understanding， form a comprehensive understanding of the information security management system， and attach importance to mastering the scientific strategies of strengthening information security management. Therefore， this paper mainly analyzes the five dimensions of the information security management technology system. Based on this， this paper discusses the specific strategies to improve the level of hospital information security management， for reference.

【關鍵詞】等級保護要求;醫院信息安全管理;措施

【Keywords】classified protection requirements; hospital information security management; measures

【中圖分類號】R197.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2020）06-0028-02

1 引言

“互聯網+”時代，醫療衛生機構的信息化程度正呈現不斷提高態勢。在此背景下，醫院的信息安全也面臨著前所未有的挑戰，出現了一系列信息安全問題，如黑客入侵破壞信息系統、數據遭遇竊取和破壞、數據庫安全審核工作落實不到位等，造成在實際管理過程中，很難取得良好的管理效果，這也對醫院各項日常工作的正常運轉制造了嚴重的負面影響[1]。

針對這一情況，我國出臺了《中華人民共和國網絡安全法》，且在其中提出了“網絡安全等級保護制度”，要求不同的主體按照登記保護要求履行信息安全保護義務，切實保障網絡免受外部干擾因素的負面影響，杜絕未經授權的網絡訪問行為避免重要的信息被竊取或者遭遇篡改。具體而言，醫院信息安全等級保護體系主要由安全技術體系和安全管理體系兩方面共同構成，在展開信息安全管理實踐的過程之中，醫院既需要對安全技術形成全面的認知，又要掌握科學展開信息安全管理的措施，從而全方位保障自身網絡信息安全，實現長遠可持續發展。

2 信息安全管理技術體系

醫院的信息安全管理技術體系主要由以下五個維度構成：①物理層安全：指做好中心機房的物理安全保障，包括防火、防盜、防災、防水、防靜電等，這是保障醫院信息安全系統穩定運行的基礎性前提條件;②網絡層安全：指應用防火墻和網閘等技術對網絡進行實時監控和檢測，從而有效避免外部入侵行為和攻擊行為出現，同時，也包括應用網絡審計系統監控和記錄網絡行為;③主機安全：指應用密碼系統和殺毒軟件避免主機受到各類網絡病毒和惡意密碼入侵;④應用層安全：指對用戶登錄進行身份驗證、對用戶行為和操作進行記錄、對與主機系統相連的服務器進行身份標志與鑒別等，同時，還包括使用安全協議進行遠程加密管理;⑤數據層安全：指應用信息安全技術保障數據安全并做好數據備份。

3 有效加強醫院信息安全管理的具體策略

3.1 健全信息安全管理制度

完善的信息安全管理制度是醫院有效展開信息安全管理實踐的根本保障，為此，醫院應認真學習《中華人民共和國網絡安全法》，在此基礎上制定一系列具體的制度規定，構建由多項規定共同構成的完備制度體系，以制度的形式明確信息安全管理過程中各個方面應注意的基本事項與應遵循的基本原則，從而推動信息安全管理工作走向規范化和有序化。與此同時，醫院應成立專門的信息安全管理領導小組，由這一小組對于整體信息安全管理工作進行統籌規劃，監督制度的執行情況，從而最大限度地保障制度的各項細節性要求在信息安全管理實踐之中得到有效落實，促進醫院信息安全管理水平的提升[2]。

3.2 增強醫護人員安全意識

由于醫院信息系統收錄的信息數量眾多且種類復雜，所以使用人員群體廣大，覆蓋全體醫護人員，包括數據庫管理與維護人員、醫生、護士即各部門工作人員等。因此，必須著力增強醫護人員的信息安全保護意識，對其信息數據庫訪問行為進行嚴格規定、記錄和監督，明確不同工作人員的具體信息系統訪問權限，同時，做好信息訪問行為的權限審核工作，重視在工作人員登錄和訪問數據庫的過程中，記錄好其登錄情況和訪問情況。與此同時，應嚴格禁止醫院員工在醫院的計算機中安裝和使用與工作無關的軟件或訪問無關網頁，以此避免在此過程中將網絡病毒引入醫院的信息系統[3]。

3.3 加強信息安全管理培訓

高水平的信息安全管理工作，必須依托一支具備高度專業素養與較強綜合實踐能力的管理隊伍才能得以實現[4]。為此，醫院必須重視組織管理工作人員參與信息安全管理主題培訓，通過培訓幫助其形成對于信息安全管理的全方位認知，增進其對于《中華人民共和國網絡安全法》的了解與掌握，幫助其掌握科學開展信息安全管理的方法，提高其信息安全管理能力。在此方面，醫院尤其應重視培養工作人員形成良好的保密意識，提高其職業素養水平，嚴格保證其在管理實踐之中落實好管理制度的各項要求，切實提高管理實效。與此同時，醫院需要提高對于信息安全管理人才招聘工作的重視程度，嚴格執行管理人員錄用與管理人員離崗制度，簽署相應保密協議，做好網絡訪問權限回收工作。

3.4 做好安全信息系統建設

安全信息系統建設是醫院加強信息安全管理的一項核心措施，主要包括安全系統等級確定、信息安全保護方案設計、信息安全保護產品采購與應用、信息安全管理軟件開發、信息安全工程建設驗收與實施交付、信息安全服務商選擇等一系列工作[5]。由于這些工作具備較強的專業性，因此，醫院在展開安全信息系統建設的過程之中，需要與專業的計算機安全管理企業展開廣泛而深刻的合作，從自身實際管理需求出發，科學展開安全信息系統建設工作，確保安全信息系統符合《中華人民共和國網絡安全法》的相關要求以及自身的實際情況，切實保障各方面信息的安全，同時，有效避免網絡黑客入侵與攻擊行為出現。

3.5 加強安全信息系統維護

完成安全信息系統建設工作之后，醫院需要做好這一系統的維護工作，以此確保其能夠長時間發揮各方面作用[6]。醫院應定期使用專業付費殺毒軟件對安全信息系統進行查殺，有效化解安全信息系統的內部風險，保障安全信息系統穩定運行。與此同時，醫院應協同做好網絡環境管理、網絡設備管理、系統安全管理、重要信息備份與恢復管理、重大安全事件處理、風險防范與應急預案制定與管理等各個方面的工作，形成完備的信息安全管理體系。在此過程中，醫院需樹立信息安全風險防范意識，重視根據各類可能出現的風險性因素，合理地制定風險緊急應對預備方案，從而在安全風險發生時及時采取措施化解風險，避免風險的危害擴大。此外，醫院還需要組織工作人員展開安全風險防范與應對演練，以此提高工作人員的風險應對能力，進一步增強信息安全管理的實效性。

4 結語

總而言之，基于等級保護要求加強醫院信息安全管理對于增強醫院重要信息安全性、提高醫院整體信息化水平具有重要價值。醫院應按照《中華人民共和國網絡安全法》的要求，加強思想認識，形成對于信息安全管理技術體系的全面認知，重視在管理實踐之中做好物理層、網絡層、主機、應用層及數據層等各個方面的安全管理工作，進而形成對于信息安全全方位的保護和管理。具體而言，在展開信息安全管理實踐的過程中，醫院應健全信息安全管理制度，以此為管理實踐提供根本保障;應增強醫護人員安全意識，形成良好的管理氛圍;應加強信息安全管理培訓，提高管理人員的專業素養與實踐能力;應做好安全信息系統建設，有效落實各項信息安全管理措施;應加強安全信息系統維護，確保系統能夠穩定運行;應形成良好的信息安全風險防范意識，提高應對和化解風險的能力。

【參考文獻】

【1】孫巍，王玉珍，陳韜.基于等級保護要求 加強醫院信息安全管理[J].中國衛生信息管理雜志，2017（06）：843-845.

【2】唐江波.基于醫院信息安全等級保護的整改實踐[J].中國數字醫學，2018（11）：83-86.

【3】任格.基于等級保護的醫院信息安全防護策略[J].中華醫學圖書情報雜志，2018（03）：61-64.

【4】邵博倫.關于醫院信息系統信息安全等級保護的實施探討[J].數字化用戶，2019（10）：159.

【5】李大鵬.基于等級保護要求加強醫院信息安全管理[J].網絡安全技術與應用，2019（07）：103-104.

【6】鄭雪鋒.信息安全管理的建設在醫院信息化建設中的作用[J].電腦迷，2018（35）：51.