醫院信息化系統中安全管理體系的應用價值探析

劉釹鏑 楊小梅 許小紅 鐘熠 黃桂珍

摘要 目的：探討安全管理體系在醫院信息化系統中的應用價值。方法：回顧性分析2020年1月—2022年2月我院信息化系統數據資料，以2020年1月—2021年1月安全管理體系實施前的數據資料作為對照組2021年2月—2022年2月安全管理體系實施后的數據資料為觀察組。比較信息安全事件發生率、信息化系統保護能力及使用滿意度。結果：觀察組信息安全事件發生率為4.27%，低于對照組的12.34%，差異有統計學意義（P＜0.05）；觀察組對信息化系統保護能力評價高于對照組，差異有統計學意義（P＜0.05）；觀察組信息化系統使用滿意度為98.45%，高于對照組的90.37%，差異有統計學意義（P＜0.05）。結論：安全管理體系在醫院信息化系統中的運用價值較高，能增強系統安全防護能力，減少信息安全事件發生，提高各個部門工作人員的信息化系統使用滿意度。

關鍵詞醫院信息化系統；安全管理體系；信息安全事件；信息化系統保護能力

doi：10.12102/j.issn.2095－8668.2023.07.030

醫院信息化系統利用計算機網絡技術為各個部門、科室提供病人的就診信息、行政管理信息，包括收集、提取、儲存、處理、數據交換等多種功能，并具有實時性、共享性、全天運行性等多種特點，可提高醫院的管理精確度與管理效率［1－2］。然而隨著醫院信息化系統的廣泛使用，數據資料的安全問題也逐漸增多［3］。由于信息化系統牽涉到與其他醫院、醫療機構的合作，與遠程協助的醫護人員、后勤等多方面信息，信息數據管理中，管理信息一旦被他人惡意攻擊，有可能導致病人就診及治療數據丟失或被篡改，影響醫療服務的開展，甚至降低醫療服務質量，影響醫院形象［4－5］。因此，臨床加強醫院信息化系統的安全管理，維持系統的安全運行，對保障醫療工作順利進行尤為重要。為此，本研究就安全管理體系在醫院信息化系統中的運用價值進行分析。

1 資料與方法

1.1 一般資料

回顧性分析2020年1月—2022年2月我院信息化系統數據資料，其中2020年1月—2021年1月的安全管理體系實施前的數據資料作為對照組，2021年2月—2022年2月安全管理體系實施后的數據資料為觀察組。信息技術部門工作人員24名，其中男18名，女6名;年齡23～35（29.63±2.10）歲；工作年限1～6（3.06±0.31）年；學歷均為本科及以上。安全管理體系實施前后無工作人員變動。

1.2 安全管理體系

1.2.1 安全問題分析

全面分析醫院信息化系統的管理流程、管理制度是否完善，并對臨床科室、醫院領導等進行問卷調查，了解各個部門工作人員對醫院信息化系統安全的重視程度。同時調查信息化系統技術情況，包括網絡、數據、硬件、軟件、機房等安全管理缺陷，最后歸納總結分析。了解醫院信息化系統安全管理，包括安全技術層面、安全管理層面，安全技術層面包括信息化系統數據安全、物理安全。調查發現信息化系統的安全管理層面的主要問題有安全管理責任不明確、資金投入不足、考核制度不完善、工作人員對網絡安全不夠重視、系統補丁更新滯后、數據庫安全審計定位不準、入侵檢查系統失效等。

1.2.2 安全管理對策

基于安全問題分析結果，制定安全管理對策，主要包括軟件或硬件優化、以最少人力實現網絡安全維護最大化、實施分組明確責任、完善獎懲制度、工作人員分批次培訓等。

1.2.3 完善管理制度

將網絡安全相關工作人員進行分組，輪流負責安全管理工作；每組自選1名小組長，負責監督組員工作完成情況，并要求組員間相互監督；醫院成立監管小組，監督各個小組的日常工作；監管小組組長組織相關人員參加網絡安全維護技術培訓，并強調網絡安全的重要性，為期1周或2周；培訓結束后進行考核，成績不合格的人員繼續培訓，直至合格為止；每月根據各個組員的工作完成情況、完成效果等實施適當獎懲；醫院方面則需加大信息安全維護的資金投入。

1.2.4 強化物理安全

①維護信息化系統相關硬件，發現損害或老化的及時更換；服務器、中心機房、工作站、硬件接口設備等是硬件保護的基本內容，其中中心機房是信息管理的核心，設備管理人員在信息系統安全建設的基礎上對機房的門禁制度、濕度、溫度、避雷、供電設備等進行維護，實施機房分區域管理，保持穩定濕度、溫度、防靜電、防塵；配備滅火系統與電子門禁系統，外人進入機房必須申請、登記。②針對服務器管理方面，做好多機容錯、多機熱備份方案、雙服務器管理的使用維護；安排專人看護硬件，定期記錄設備運動，發現異常立即處理，并制定24 h輪流值班制度。

1.2.5 數據安全管理

①維護網絡完整性，將醫院內網與外網適當連接，采取虛擬專用網絡聯合防火墻及防火墻聯合網閘、防火墻過濾網公司和實時訪問控制，并使用網閘保障數據按照擺渡的方式交換。②強化病毒防護，在拆除軟盤光驅、隔離內外網、網絡殺毒軟件的基礎上，在防火墻上添加殺毒軟件以過濾病毒。③采取數據轉折、服務器群集、雙機熱備等方式做好數據儲存；定期全面檢查系統漏洞，及時安裝防護補丁，同時系統掃描過程中需要實施網絡系統權限管理；建立網絡應急服務體系，一旦發生網絡故障，網絡安全管理人員立即進行數據恢復。④為每位醫生、護士設置專用用戶賬號，為病人開藥、拿藥、用藥時需要登錄賬號；個人用戶賬號的信息安全從技術、管理2個層面著手，嚴格規定賬號一人一號，禁止借用，技術層面上需要設置登錄密碼，核實身份，并設置用戶口令、用戶名，口令的難度隨時更換，如醫生或護士未按照規定操作，賬號自動退出系統。⑤應用用戶端桌面管理系統，每位工作人員的工作等級、工作內容、習慣等有所不同，桌面管理系統中的轉移信息、儲存信息也有所不同，容易導致數據儲存信息紊亂，增加數據管理難度；因此，針對安裝桌面管理系統的障礙實施監測，嚴格禁止私人移動設備接入醫院網，預防病人隱私泄露。

1.2.6 安全管理應急預案

醫院各個部門制定自身在緊急狀況下的工作流程，然后上報至信息部門，信息部門由此制定信息化工作流程；如發生由緊急情況導致的信息化系統故障，發現者需立即上報部門管理人員，然后部門管理人員告知信息部，信息部安排專人進行排查處理；信息系統未恢復前按照之前制定的緊急措施維持工作正常運行。

1.2.7 系統對接管理

由于醫院信息系統具有系統孤立性、信息共享不充分等特點，為此使用HL7標準來完善信息系統整體架構，實現各個系統的對接。

1.3 觀察指標

①記錄兩組（安全管理體系實施前后）網絡攻擊、有害程序、信息破壞等信息安全事件發生情況，并計算在總安全事件中的占比；實施前共發生154件安全事件；實施后發生117件安全事件。②信息化系統保護能力：由24名信息技術部門工作人員評價安全管理體系實施前后醫院信息化系統的安全保護能力，將保護等級分為高（信息系統受到破壞后不會影響正常工作開展）、中（信息系統受到破壞后影響工作開展，業務能力下降）、低（信息系統受到破壞后，工作無法開展，引起嚴重糾紛）3個等級；以問卷調查的形式開展，前后共發放48份，回收48份，問卷回收率為100%。③信息化系統使用滿意度。使用自制信息化系統使用滿意度調查問卷對醫生、護士等使用者進行調查，包括非常滿意、滿意、一般滿意、不滿意。對照組（安全管理體系實施前）隨機發放問卷135份，觀察組（安全管理體系實施后）隨機發放問卷129份，共發放問卷264份，回收問卷264份，問卷回收率為100%。

1.4 統計學方法

采用SPSS 20.0軟件分析數據，符合正態分布的定量資料采用均數±標準差（x±s）表示，比較采用t檢驗，定性資料以頻數、率（%）表示，比較采用χ2檢驗；等級資料采用秩和檢驗。以P＜0.05為差異有統計學意義。

2 結果

2.1 信息安全事件發生情況（見表1）

2.2 信息化系統保護能力（見表2）

2.3 信息化系統使用滿意度（見表3）

3 討論

互聯網時代下，醫院的信息管理模式發生重大改變，在大數據的支持下，醫院的人員、物資、財務、醫療設備等管理數字化信息系統得以構建［6－8］。但網絡信息技術是一把雙刃劍，信息化系統在為醫院提供便利的同時，也帶來諸多安全隱患問題。若信息化系統出現安全性問題，系統的各個模塊就無法通信，也不能實現其他業務功能，嚴重影響醫院各項工作的正常運行［9－10］。因此，醫院在建設信息化系統體系的同時，還需要做好網絡的安全管理與維護工作，保障數據的安全性，以進一步推動醫院平穩發展。

現階段醫院對計算機網絡的依賴性雖逐漸增強，但對網絡安全的管理與維護卻不夠重視，大部分管理工作仍然停留在表面，沒有深入開展網絡安全管理工作［11］。由于醫院工作人員對于計算機知識了解不足，日常工作多停留在使用計算機其中一項操作技能上，對于網絡安全的認知不深入，且多數醫院的管理者只重視醫療水平的發展，而忽視信息系統的安全管理，僅配置數名計算機相關技術人員來負責系統的運行，專業知識水平不樂觀。加之網絡病毒的類型復雜繁多等，醫院的信息化系統容易受到攻擊而發生信息泄露、網絡癱瘓，致使病人隱私泄露，進而導致不必要的醫療糾紛［12］。臨床制定一種安全可靠的信息化系統管理體系，降低信息安全風險尤為重要。本研究結果顯示，觀察組信息安全事件發生率低于對照組，信息化系統保護能力及信息化系統使用滿意度高于對照組，表明將安全管理體系用于醫院信息化系統中，能夠降低信息安全事件發生率，提高系統的保護能力，進而提升信息化系統使用滿意度。史海波等［13］研究顯示，安全管理體系在醫院信息化系統中的應用效果顯著，能降低信息安全事件發生風險，提高系統安全保護能力，與本研究結果具有一致性。醫院信息化系統涵蓋醫囑信息、藥品出庫、無菌物品發放、病人床位及病案信息等，通過計算機技術這些信息進行收集處理，能有效優化醫療工作流程，提升醫療服務質量。安全管理體系通過分析了解影響網絡信息安全因素，歸納總結并結合實際情況制定針對性管理措施，有效提升醫院信息系統安全性，維持系統正常運行，從而保障醫療服務順利開展。安全管理體系從安全管理、技術層面兩個方面入手，安全管理主要針對的是系統硬件、外界環境、人為因素所帶來的安全隱患。其中加強系統硬件維護，可及時發現并更換老化硬件，避免因硬件損害引起信息、數據丟失，并在一定程度上維持設備運行［14］。優化設備環境也是維護網絡安全的重要方式之一，可確保環境溫度濕度適宜、防靜電、防塵，能預防水、灰塵、靜電等引起計算機短路，有效避免突然短路損害主板等部件。多機容錯、雙服務器管理等手段進行交叉控制，能使醫院信息系統24 h持續穩定運行，提高系統的使用滿意度。采取責任分工制度加強有關人員的管理，使每位工作人員明確自身工作內容、工作范圍，配合一定的獎懲制度，可增強工作積極性、責任心，減少工作隨意性，從而在日常工作過程中主動規范個人行為，保障管理措施的落實，提升安全管理效果［15］。開展計算機知識培訓則能夠提高工作人員專科知識水平、操作技術、安全防護意識，及時發現網絡安全隱患，盡早采取應對措施，消除安全隱患，維持系統的安全運行，降低安全事件發生風險。技術層面主要針對的是病毒、網絡防護、賬號應用等帶來的安全隱患。其中病毒攻擊是網絡管理中不可忽視的問題，重視網絡安全管理，提高防病毒軟件管理，并通過增加殺毒軟件達到雙向過濾病毒的作用，預防病毒攻擊，增強信息化系統的安全性，降低信息安全事件發生風險。嚴格規定賬號一人一號，禁止借用、亂用，預防黑客入侵發生病人信息泄露。桌面客戶端的應用能夠實時監測賬號使用情況，及時發現異常，嚴格禁止私人移動設備接入醫院網則可避免人為因素引起的數據泄露，進一步保障信息安全。即使醫院制定多種信息化系統安全防護措施，仍不可避免各種緊急狀況，影響系統運行。安全管理體系還制定相應的安全管理應急預案，以防范突發狀況，減少相關損失。信息部門根據各個部門上報的在緊急狀況下的工作流程制定針對性應對應急預案，一旦發生突發狀況，信息技術人員排查故障的同時立即啟動應急預案，使部門仍能有序開展醫療工作。HL7標準集合各個醫療信息系統，如管理、保險、檢驗、臨床等，同時匯集不同廠商用來設計應用軟件間接口的標準格式，允許各個醫療機構不同應用系統間進行資料溝通；使用HL7標準通過完善醫院各個系統對接，完成系統間數據共享與交換，形成整體醫院數字化系統，保證信息化建設的先進性與實用性；同時以HL7標準為核心實施各系統對接，還能實現各種醫療與管理業務的優化，并為醫院、病人、醫護人員及管理者提供一個方便、統一、快捷的信息支撐平臺，從而更好地完成醫院診療服務。

4 小結

綜上所述，安全管理體系用于醫院信息化系統建設中，能夠提高安全管理效果及系統保護能力，更好地預防信息安全事件，從而保障醫療服務順利進行，提高系統的使用滿意度。

參考文獻：

［1］ QIAO L，WU H，WU Y，et al.A Lightweight internet sharing scheme for sectional medical images according to existing hospital network facilities and basic information security rules［J］.Journal of Healthcare Engineering，2020，2020：8838390.

［2］ CHOI S J，JOHNSON M E.The relationship between cybersecurity ratings and the risk of hospital data breaches［J］.Journal of the American Medical Informatics Association，2021，28（10）：2085－2092.

［3］ 吳云蘭.終端安全管理系統在醫院信息化的應用［J］.中國數字醫學，2019，14（10）：92－94.

［4］ 楊利謙，李琪，王天俊.基于醫務管理信息系統的醫院、科室、醫師三級質控體系建設［J］.中國醫院，2019，23（10）：7－9.

［5］ 杜俊.醫院信息化建設中計算機網絡安全管理與維護［J］.中國藥物與臨床，2020，20（12）：2046－2047.

［6］ MOEHRING R W，YARRINGTON M E，DAVIS A E，et al.Effects of a collaborative，community hospital network for antimicrobial stewardship program implementation［J］.Clinical Infectious Diseases，2021，73（9）：1656－1665.

［7］ 汪暉，尹世玉，王穎，等.保護性約束信息化管理系統的構建及應用［J］.中華護理雜志，2019，54（6）：850－854.

［8］ SIMSEKLER M，QAZI A.Adoption of a data－driven bayesian belief network investigating organizational factors that influence patient safety［J］.Risk Analysis，2020，18（136）：130－136.

［9］ 章俊航，王軼群，王卉，等.B/S模式下的醫院網絡信息安全防護系統設計與應用［J］.中國醫學裝備，2020，17（5）：181－185.

［10］ 秦涵書，肖明朝，胡磊，等.互聯網醫院信息安全風險及應對策略［J］.中國衛生信息管理雜志，2022，19（2）：238－242.

［11］ 牛光宇，紀淑君，陳潔.“互聯網+醫療健康”的信息安全［J］.中國衛生質量管理，2020，27（3）：9－11;14.

［12］ 王淑平，劉杉.服務器虛擬化在醫院信息化系統中的研究與應用［J］.微型電腦應用，2019，35（3）：111－113.

［13］ 史海波，姚鋒.安全管理體系在醫院信息化系統中的應用研究［J］.中國醫學裝備，2019，16（1）：128－131.

［14］ 郭雨晨，雷行云，陳荃，等.三級醫院信息化發展水平評價體系的構建與指標篩選［J］.中國數字醫學，2019，14（5）：79－81.

［15］ 汪君，郭雪清，金紅軍，等.醫院信息網絡故障應急處置管理系統設計與實現［J］.中國衛生信息管理雜志，2019，16（6）：708－712.

（收稿日期：2022－07－26；修回日期：2023－02－22）

（本文編輯王雅潔）