醫院信息安全管理

姚愷愷

【摘 要】：醫院的業務流程與信息安全密不可分，信息化的發展為信息安全管理帶來挑戰，本文著眼醫院業務實際，探討當今信息安全環境以及如何進行信息安全管理。

【關鍵詞】：信息安全管理、挑戰、信息安全環境

Abstract：The hospital business process is inseparable from information security. The development of informatization brings challenges to information security management .Focusing on the practice of the hospital business ，the paper probes into information security environment today and how to conduct information security management.

Keyword： information security management、 challenges、 information security environment

在信息化高速發展的今天，醫院業務與信息化密不可分，為了提高患者的就診效率，當下多數醫院已建成HIS、LIS、PACS等系統，其范圍覆蓋全院的醫療業務。同時隨著互聯網行業和醫療行業的結合，越來越多的業務功能出現，例如：微信以及app上的掛號、繳費、取報告、預約檢查、處方查詢、費用查詢、遠程醫療等醫療活動[2]，線上線下就醫實現了高效結合。這些業務的開展意味著醫院信息系統與銀行平臺、互聯網平臺等開通了接口，以實現數據的交互。而醫院信息系統存儲著患者就醫的門診住院信息以及患者的個人信息。這些極具研究價值的信息，誘惑著外部人員通過入侵系統盜取資料獲得勒索贖金，同時內部人員也可通過販賣信息而獲益。醫院信息系統與外部網絡的聯通給醫院的信息安全管理帶來了很多的挑戰，勒索病毒、信息安全保密、甚至是網絡的不穩定性都會引發數據丟失、癱瘓等后果。因此，捍衛醫院的信息安全不僅僅需要更加現代化的技術，更為緊迫的是制定嚴密的信息安全管理制度。

1 醫院信息安全存在的問題

1.1 醫院對信息安全重視程度低

當代快節奏的生活方式對于醫療服務的要求越來越高，醫院面對這一現狀，不斷優化醫院的業務系統。為提高醫院的服務質量，醫院系統開通微信支付寶支付，網上預約等方便患者的措施，但是忽視了業務系統與外部網絡交互所帶來的風險。相對于醫院急迫地想提升醫院的服務水平，信息安全明顯不受重視。

1.2信息安全考核制度不明確

在醫院的長期發展中，信息安全一直沒有受到應有的關注，一些信息安全考核制度只是紙上談兵，落實到日常工作業務中力度就大打折扣。例如醫院工作人員沒有被強制要求遵守醫院的信息安全考核制度，失去了嚴厲的懲罰制度，信息安全考核制度的效力自然不足。此外，針對日常對于信息查詢有權限的工作人員的監控和監督仍存在較大的漏洞，這無疑又是增添了信息泄露的風險。

1.3醫院信息安全保障技術不到位

由于醫院信息人員專業水平有限，針對專業的數據庫安全維護、服務器安全維護缺少強有力的技術支撐。面對突如其然的機房事故，如果無法及時有效的處理，就會造成數據的流失，造成信息安全事故。

那么針對以上問題，當代醫院如何進行信息安全管理呢？筆者將從以下幾個方面進行分析討論：

2 人員管理及權限設置

2.1 加強信息科工作人員的工作能力和管理

醫院信息科工作人員需不斷學習新技術，加強對新近病毒和信息安全實況的了解，善于運用新技術為管理機房、數據庫、信息系統做好堅實的鋪墊。

2.2 加強醫務工作者的信息安全教育及權限設置

信息安全并不只是信息科工作人員的義務，應是每位醫院工作人員的責任。每位醫務工作者都可接觸到患者的個人信息，由此更需要加強醫務工作者的職業道德建設，為信息安全筑牢第一道防線。例如醫院每年組織相關講座，以此提高醫務工作者的信息安全意識。此外，基于醫生、護士、醫技科室人員進行醫院業務操作離不開醫院信息系統的現實訴求，在使用過程中，以實際操作需要分為醫生站、護士站、醫技工作站等，再據崗位需要，合理分配用戶權限。例如主任和護士長的權限相對加大，可對多個病區進行操作。

3 機房管理，制定安全制度

建立機房巡查制度，對于每次巡檢進行記錄。嚴格按照機房標準，每次巡查都對機房的溫度、濕度、電磁、噪音、防塵、靜電和震動[3]都進行檢查記錄。中心機房應配有雙路供電，配有大型ups，保證機房在斷電情況下還能繼續供電。

對于機房的服務器醫院可以聘請專業的技術公司，請他們有專業的技術人員，定期查看運行情況，備份服務器數據、及時安裝系統補丁，發現問題及時處理[1]。對于備用服務器與主服務器，要及時升級系統，面對突發情況可及時切換服務器，保證醫院業務的順利進行。

對于機房的管理需要制定相關的安全制度來保證信息安全，實行制度上墻，每位信息科工作人員和相關技術人員應以該機房制度嚴格要求自己，完成機房的日常維護。

保證機房安全穩定的運行，在一定程度上也保護了醫院的信息安全。

4 完善網絡安全建設

網絡是信息傳輸的通道，每臺電腦通過網絡進行數據調用和日常業務開展。因此，保證高速安全的網絡體系是建設信息安全的重要一步。我院現實行內外網隔離，內網對于U盤等移動存儲設備禁止使用，通過物理上網絡的隔離來護航信息傳輸。對于與外部網絡的交互則通過信息中心更為強大的網絡安全設備進行，由更加專業的網絡工程師進行管理，這樣形式區域信息網絡的建成為小醫院的網絡壓力減輕不少。

5 完善信息安全管理制度

信息安全設計軟硬件、網絡、設備各個方面，涉及到每位科室成員，因此需要結合自身的情況，制定一套完善的信息安全管理制度，并監督落實。信息科需要制定機房管理制度，網絡安全制度等，使得日常的工作有制度可依。制定應急預案，遇到信息安全問題時，每個科室采取什么行動都需了解并掌握。

結束語：

新的時代對于醫院的信息化要求不斷上升，這是場機遇，也是一個極大的挑戰。面對日益復雜的網絡世界，只有完善信息安全管理，著眼醫院實際，才能為患者提供一個安全、便捷的就醫環境。

參考文獻

趙潔.“新形勢下醫院信息安全管理”[J].電子技術與軟件工程，2019，24，168-169.

馮雅嫻，楊順心.““互聯網+醫療”背景下的醫院信息安全管理探析”[J].中國衛生產業，2019，06，167.

王晨旭，李剛榮，吳昊.“淺談醫院信息安全管理”[J]。中國衛生信息管理雜志，2011，05，33-35.