關于醫院信息系統信息安全等級保護的思考

李潤啟　夏翃

摘要：隨著科學技術的發展，醫療行業逐漸走向信息化發展道路，提高醫院的信息化水平已經成為了不可扭轉的趨勢，然而其中所存在的信息系統安全保護問題仍舊難以得到有效解決，對醫院信息系統安全等級保護工作提出了更為嚴格的要求。該文在剖析醫院信息系統的信息安全等級保護內涵及特征基礎上，針對醫院信息系統信息安全等級保護中存在的問題進行深入分析，最后針對性提出加強醫院信息系統的信息安全等級保護策略及路徑，以期能夠通過研究以產生拋磚引玉之效，為實際提供參考借鑒之用。

關鍵詞：醫院;信息系統;安全等級;保護措施

中圖分類號：G642? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）09-106-02

在互聯網、5G發展高速化的今天，網絡上信息安全問題已經成為大眾關注的重點問題，公民信息隱私問題逐漸引起了人們的關注，甚至對大眾日常生活帶來了較為嚴重的負面影響。在很大程度上對醫院信息安全保護工作帶來了一定的挑戰和考驗。如何在大眾就醫中加強信息安全保護質量，也成為擺在各大醫院面前的重要難題。盡管我國政府針對該領域的問題頒布了許多互聯網信息安全保護的相關政策法規文件，以提升對大眾隱私數據的保護質量。然而在實踐中發現存在著多種因素，無法真正發揮現有政策法規文件的約束作用，在大眾就醫中時常會出現隱私泄露問題，成為人們對醫院的詬病之處。在我國醫療行業中，患者隱私數據安全質量關系到醫院的長遠可持續發展，必須要加強對患者的信息安全等級保護工作，能夠通過科學合理設置信息安全保護等級，切實提升醫院的信息安全保護力度，對促進醫院長遠發展具有極其重要的發展意義。

1 醫院信息系統信息安全等級保護內涵和特征

1.1 醫院信息系統信息安全等級保護的內涵

在醫院信息系統信息安全等級保護工作中一般會涉及三方面內容，即臨床服務信息數據、醫療管理信息數據、運維管理信息數據，這三個維度數據信息涵蓋了當前醫院信息安全等級保護的主要內容。在臨床服務信息數據中包括門診掛號、臨床檢查及患者病歷檔案資料的電子化建檔;而醫療管理信息數據中涉及藥材的進貨廠家、醫務人員的信息等;在運維管理信息數據中包括研究成果、醫保資料、財產管理、醫院經營情況等基本資料。這些信息數據在發生嚴重泄露事件的情況下，極易影響醫院未來的發展狀況，所以落實信息系統信息安全等級的保護工作顯得尤為迫切。

1.2 醫院信息系統信息安全等級保護具有的特征

由于醫院所涉及到的數據多，這就決定了醫院信息系統安全等級保護工作具有工作難度大、涉及層次豐富等特征，甚至體現出牽一發而動全身的重要影響，因而在實際工作中需要統籌兼顧整體工作目標，以促進安全等級保護工作質量的有效提升。

1）技術要求高。隨著醫院信息系統信息安全等級保護工作的升級與發展，對技術人員的專業要求變得越來越高。在以往的醫院數據信息管理工作中，檔案管理人員的工作素質普遍不高，實際工作難度相對比較低，無法體現出應有的信息化特征。然而隨著現代社會的發展與信息技術的進步，醫院對于信息安全管理的專業人才提出了更為嚴格的要求，有越來越多醫院在該工作崗位上開始聘用專業的計算機操作人才，從而有效提升信息安全指數。在實際工作中，要能夠針對各類數據信息進行整合歸類管理，而這些工作內容不僅對管理人員的實踐操作能力具有較為嚴格的要求，更對管理人員所具備的信息素養具有一定的要求。

2）涉及維度廣。在醫院信息系統信息安全等級保護工作中，由于所涉及的項目豐富、內容廣泛，使信息安全管理所涉及的維度往往十分廣泛。需要將各個環節、各個內容、各個部門的信息數據一并納入數據信息管理系統中，從而構建數據信息管理的專業平臺，以促進管理變得更具專業性、集中性與綜合性等管理特征。加上醫院信息數據更存在著龐雜多冗的特點，使實際信息管理系統建設工作相對更具挑戰性。

2 當前醫院信息系統安全等級保護存在問題的探析

2.1 技術邏輯、資本邏輯站在了價值觀的對立面

在互聯網的快速發展中，互聯網內容管理普遍暴露出了諸多弊端現象。長期化的業務導向遵循資本運行邏輯，利用算法獲取病人的個人信息，將不同的患者細化標簽，導致患者信息逐漸被曝光在互聯網平臺。在不法分子的非法獲取信息數據過程中，對患者精準推送各類廣告內容，這些現象極大地損害了患者的合法權益。尤其在醫院信息系統的建設過程中，由于深受技術邏輯和資本邏輯的影響，在很大程度上弱化了信息安全保護價值觀，導致醫院信息系統的安全等級保護未能夠真正貫徹落實到位。因此必須要重視這些問題的出現，能夠要求醫院在信息管理工作中，站在價值觀的角度和高度上，強化信息系統安全等級管理質量，避免信息技術邏輯、資本邏輯站在了數據信息價值管理的對立面，對患者的個人隱私帶來侵害影響。

2.2 缺少專業化的信息安全管理人才

盡管信息化技術發展具有數幾十年的歷史，但是在醫療領域中的發展起步相對比較晚，在醫院信息安全領域中的建設工作始終存在著缺乏全面性和系統性的現象。尤其在個別醫院的信息安全管理工作中，管理人員一般由醫務人員所擔任，但是這些人員普遍缺乏應有的信息安全管理專業能力，導致醫院信息管理水平難以得到有效提升。盡管現如今越來越多醫院開始重視信息安全等級保護工作，并大量引進信息技術管理人才，然而整體上普遍缺乏專業化的信息技術安全等級保護的管理人才。因此在醫院信息系統安全等級保護工作過程中，要能夠重視專業化信息安全管理人員的重要性，能夠規范招聘專業人才，為實際管理工作發揮應有的人才支持保障作用。

3 關于醫院信息系統信息安全等級保護策略與路徑的探析

3.1 合理設計信息保護計劃方案、落實醫院信息系統安全等級保護工作

醫院信息系統信息安全等級保護工作具有較強的系統性特征，這就要求在具體實踐落實中，首先應當加強對信息保護設計方案的科學、合理制定。能夠結合醫院實際發展狀況，構建嚴格的信息安全等級指標，從而確定各方面的信息保護內容，在不斷優化工作方向的同時，積極完善信息安全等級保護策略及方案。在此之間既要能夠考慮信息等級保護工作的全面性與系統性，還要體現出分域而治原則，在整體管理中加強動態監管質量，促進實際管理工作變得更具可靠性，同時還要能夠深度結合醫院實際情況，加強推進信息安全等級保護工作，為后期的實踐工作打下良好的基礎和堅實的保障條件。

3.2 結合信息安全保護管理流程規范制定信息安全保護方案

為了避免醫院信息安全等級保護策略缺乏應有的可操作性價值，就必須要嚴格結合信息安全保護管理流程，合理制定完善的信息安全保護方案。在規范化的信息等級安全保護管理流程中，需要遵循如下幾個方面的內容，方可確保實際信息安全等級保護策略與方案變得更具實效性和規范性。首先要能夠合理確定信息安全等級保護內容，能夠明確基本的等級對象，在找準關鍵定位的同時，促進保護工作變得更具精準性和針對性;其次要能夠明確信息安全等級管理中存在的風險，加強信息安全保護工作。在這其中，要能夠整合分類所收集的信息數據，并構建相應的等級保護指標，形成系統化的信息安全等級保護結構;最后要能夠針對初步的信息等級保護方案進行深入探討與研究，組織專業的研究者和資深的信息技術管理者商榷方案的可行性，能夠針對性提出有價值的建議與指導策略，促進所制定的方案變得更具科學性與可行性，從而為后期工作開展打下堅實的基礎。

3.3 醫院信息系統安全等級工作的落實

在信息安全保護方案制定完畢后，接下來需要部署落實信息等級安全保護工作，相關人員要積極展開地信息安全管理保護工作，充分發揮保護方案的管理價值，從而提升醫院信息安全等級管理水平。從整體上來看，在落實醫院信息系統安全等級工作中，可以從如下三個方面內容以加強信息系統安全等級保護管理工作質量：

1）信息邊界安全防護。在醫院信息安全等級保護工作的落實中，要根據不同的信息安全內容和指標構建等級安全保護的邊界，采取不同安全防護策略進行有效保護。這就要求信息技術管理人員重視對邊界的構建過程，規范設計邊界保護屏障，避免不法分子入侵信息安全系統。信息技術管理人員在這其中還要事后總結防范工作，以確保信息安全邊界得以真正建立。

2）做好信息規劃管理工作。在醫院信息等級安全保護工作的落實和推進過程中，要能夠做好基本的身份鑒定工作，規范采集相關工作人員的電子認證基本信息，嚴格按照標準要求及流程驗證各個數據信息，以便于強化對電子認證基本信息的驗證、加密以及保護工作。同時，信息技術管理人員在這其中還要合理設置信息訪問權限，避免不法分子潛入醫院信息管理系統竊取醫院數據信息，造成數據信息外泄的嚴重性后果，對保障醫院信息安全平臺的穩定運作具有極其重要的作用。

3）做好數據的備份和恢復工作。在信息安全工作的推進中，要能夠及時備份各類信息，同時落實信息系統恢復功能，確保信息數據在丟失的情況下能夠完整恢復。這就要求醫院招聘專業的計算機人才，加強信息數據庫建設工作，在合理設計數據備份與數據恢復的功能系統和操作命令中，加強核心交換設備和運行器上的冗余設計工作，以確保醫院信息數據的安全性與可靠性得到進一步提升。

4）保證信息系統的安全運維管理質量與水平。醫院信息運維管理同樣具有十分重要的作用，因而在醫院信息安全等級保護工作推進中，信息技術管理人員需要結合PDCA的連續性原則展開運維管理工作，強化對信息系統安全等級保護的動態化監管工作，能夠在這其中建立實時化安全預警機制、各類安全防護和應急系統的設置，確保能夠在出現信息數據安全問題時，第一時間進行自動化干預工作，發揮應有的協調保護和整體聯動優勢，助力醫院信息等級安全保護工作的可持續性發展。

4 結束語

醫院信息系統信息安全等級保護工作的落實和推進，對醫院的良性發展、提高對患者個人隱私權益保護具有十分重要的作用，所以需要高度重視信息系統的信息安全等級保護工作。能夠在這其中深入分析現階段的醫院信息安全等級保護工作所存在的主要問題，并針對性采取解決措施以強化保護質量，以促進醫院真正迎來長遠、可持續發展愿景。

參考文獻：

[1] 黃捷，潘愈嘉，莫禹鈞.基于安全感知平臺的醫院信息安全等級保護整改方案設計[J].醫學信息學雜志，2020，41（2）：68-71.

[2] 王崇民.醫院信息安全要外防黑客，內防病毒——訪安徽省立醫院信息中心副主任宗寧[J].中國數字醫學，2020，15（11）：143-144.

[3] 郭樂.基于網絡安全等級保護2.0版本的法院信息安全存在的隱患及要求[J].網絡安全技術與應用，2020（4）：150-151.

[4] 余俊杰.筑牢網絡安全之基 保護人民群眾信息安全——新時代我國網絡安全發展成就綜述[J].公民與法（綜合版），2020（9）：10-11.

【通聯編輯：李雅琪】