基于互聯網背景下的醫院檔案信息化安全管理實踐探索

周傳真

摘 要：互聯網技術已廣泛應用于當前新醫改智慧醫院，面對醫療數據應用信息化趨勢和信息共享平臺現狀，實施互聯網新醫改環模式下醫院信息系統運維安全、數據安全以及應用安全等數字化信息，面臨新的安全挑戰。醫療數據依法執行最高安全保護等級，深入研究互聯網背景下醫院檔案信息化安全問題，直面互聯網醫院檔案信息化安全挑戰，分析探討醫院檔案安全管理工作，以保障其檔案信息的安全性。

關鍵詞：互聯網；醫院檔案信息化；安全管理；解決途徑

一、醫院檔案信息化安全管理的重要作用

1.醫院檔案信息化安全管理是醫院業務發展的需要

互聯網技術、信息技術在醫院中作用越來越大，醫院的業務運營都是在辦公自動化系統和業務信息系統的支持下展開的，否則將無法開展正常的業務工作。因為網絡安全事件時有發生，全球檔案信息化安全管理面臨著安全隱患問題。所以，必須樹立醫院檔案信息化安全管理戰略思維，與時俱進，按照國家有關安全法律法規對網絡安全實行必要的管理，對檔案安全進行保護，以保證醫院經濟利益不受損失。

2.醫院檔案信息化安全管理是落實制度、法規政策的需要

在互聯網背景下醫院檔案信息化安全建設中，必須嚴格遵守網絡、信息化相關安全法律法規，執行網絡安全等級保護制度，貫徹安全網絡等級保護制度，履行網絡、信息化安全保護義務，并采取技術措施和其他必要措施，保障醫院網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性，落實安全保護責任，保護信息化網絡安全，以防數據被泄露或者被盜取、剽竊以及篡改。智慧互聯網醫院檔案信息的安全性和機密性需要得到安全保障。

3.醫院檔案信息化安全管理是提升智慧醫院檔案信息化建設水平的需要

在全國醫院分級管理質量精細化，“一把尺子量天下”的醫院管理模式下，智慧互聯網醫院會有百余種醫療相關的計算機網絡系統，是遵行《“十四五”全民健康信息化規劃》《全面提升醫療質量行動計劃（2023～2025年）》的要求，是智慧醫院高質量發展新形勢和新任務的需要，是健康大數據治理系統依法實現數據共享共用的需要，是保障健康醫療大數據質量，建立穩定、優質的健康醫療大數據環境的需要。提高檔案管理信息化安全建設水平，建立長效的檔案信息化安全管理標準體系，有助于提升醫院信息化水平，保證智慧醫院長足發展，讓醫院在合法合規的框架下，安全地開展醫院檔案管理信息化建設。

二、醫院檔案信息化安全面臨的風險挑戰

1.檔案信息化安全管理意識較弱，升級建設緩慢

雖然醫院信息化建設已有20余年的發展，但醫院檔案信息化起步較晚，檔案信息系統存在架構老舊、信息化建設不完善等問題。同時，醫院缺乏針對檔案信息化安全建設和升級改造，對檔案信息化安全管理意識較弱，升級建設緩慢。

2.醫院檔案信息化安全面臨較大的數據被泄露風險

在國家衛健委帶領下，醫院信息技術飛速發展，醫療數據應用逐步加深，醫療信息系統在方便醫療機構和患者使用的同時，也面臨著被非法利用的巨大安全隱患。信息數據被泄露、濫用已成社會問題，醫療信息被泄露事件頻頻發生，據《中國醫療行業網絡安全行業分析》報告顯示，通過對15339家醫療行業相關單位預測，絕大多數醫療信息系統在管理方面存在監管不力、制度不完善、人員意識較弱等問題，作為醫院重要資源的信息化檔案，同樣面臨嚴峻的風險和挑戰。

同時，醫院存在“重業務，輕安全”的現象。醫院重視臨床業務信息化系統安全建設，所以醫療電子病歷評級、互聯互通信息等業務系統的信息化及網絡安全建設，能夠緊跟國家衛健委的信息化建設，但對檔案信息化的安全管理與建設不夠重視，導致檔案信息化系統極易受到外部攻擊，面臨信息數據被泄露的風險。

3.醫療檔案信息系統缺乏必要的網絡安全防護措施

由國家衛健委統一領導下的醫院信息化發展迅速，醫院雖已經遵守國家及醫療行業的數據應用規范，還應加強醫療信息系統自身的安全防護措施，應用大量子系統網絡安全防護，提高抵御外部攻擊的基礎能力。在疾病診療、防疫抗疫和臨床用藥實驗等過程中，更是加強了患者信息安全防護的技術措施。但是，檔案信息化網絡安全建設一直處于滯后的發展狀態，缺乏必要的網絡安全防護措施。

三、醫院檔案信息化安全管理工作途徑

1.重視檔案信息化安全建設，實施“三納入”“三同步”規劃

將檔案信息化安全管理提高到醫院發展戰略位置，依法將檔案信息化安全管理工作規劃納入醫院工作整體規劃，納入醫院工作計劃，納入院、科以及個人績效考核工作，與醫院整體業務工作同時部署，一同實施，共同發展。

2.構建檔案信息化安全管理體系，保證檔案信息化安全管理效果

首先，構建醫院檔案信息化網絡安全架構體系。醫院建立分管工作院長負責，院辦公室及全院各行政職能科室負責人、專兼職檔案員共同構建檔案信息化安全管理體系，明確職責，落實檔案信息化安全保護責任。以“檔案信息化安全管理”為核心，開展全員皆是檔案員，完善檔案信息安全管理制度，修正信息化安全管理流程，加強綜合規劃，提高管理效果，促使檔案信息化安全管理工作穩步有序開展。同時，解決檔案信息化安全制度建設滯后，檔案信息化管理制度與醫院信息化發展不匹配的問題。

3.加強檔案信息化安全管理設備設施配置及其維護

以醫院醫療業務工作作為出發點，配置檔案信息化安全管理設備設施，成立以信息部門技術指導下的醫院檔案信息中心，檔案管理的設備設施、自動化軟件的配置應與當前醫院業務發展相適應，強化檔案信息化安全技術的應用。在醫院局域網內，采取有效措施推進醫院檔案安全保障相關設備設施的推廣應用，重視對安全設備設施的日常維護和系統更新，打好網絡安全基礎，為醫院檔案信息化管理建設安全可靠的硬件環境。

4.加強醫院檔案信息化安全網絡技術的應用

互聯網模式下醫院檔案信息化安全管理是一個持續的過程，檔案信息安全需要關注檔案工作每個環節，以適應各項技術和法規的變化。網絡要匹配得當，信息化安全網絡技術也要同步跟進。安全網絡技術的應用包括網絡安全、數據保密性、系統穩定性、法規遵從性、風險評估和應急響應及審計和監控等多個方面。采取數據分類、重要數據備份和加密等措施，定期開展風險評估，識別可能的安全威脅，將安全隱患消滅在萌芽狀態。

5.重視風險管理與應急演練

圍繞“安全第一”的宗旨，以“預防為主”，事前預防、事中控制、事后改進的流程，梳理檔案信息化安全管理中普遍存在的、多發性的風險隱患，進行風險規避，把危害降至最低。醫院檔案管理部門應積極主動地開展風險管理，提高檔案管理信息化安全建設水平。在檔案信息化系統發生故障時能夠對突發情況緊急處理，及時解決突發問題。

同時，還應制定完整的應急預案，強化對檔案信息化安全制度的執行力，加大監管力度，逐項排查檔案信息化安全隱患，有針對性地對檔案安全管理標準制度實行優化調整，避免出現病毒入侵、網絡受攻擊等安全問題，防止檔案信息被盜取、被損毀等問題發生，既要重視開展檔案信息化管理安全防護應急演練，也要及時對檔案信息安全存在的問題查漏補缺，以便在發生安全事件時可以快速跟進應對，將損失降到最低。此外，加強審計和監控是檢查系統存在安全漏洞的有效措施。

6.加強對醫院檔案信息化安全管理人才的培養力度

重視檔案安全工作，在解決檔案人員在數據管理、數據分析及數據存儲能力技術方面問題的同時，要同步做好檔案信息化各個環節的安全，要樹立對醫療檔案信息數據及時歸檔與長期保存的安全意識，確保檔案信息數據安全。對醫療數字化系統管理人員開展專業培訓和技術指導，筑牢安全意識，主動出擊防范數據安全風險。要對醫院全體信息系統終端人員加強安全保密教育和對數據收集、管理、保護和利用的技能培訓，使其掌握基本的保密常識。讓員工參與數據保護和安全技防培訓，使員工知道如何降低安全風險。

醫院要認識到員工是保證檔案信息安全的第一道防線，也是最后一道防線。醫院應按需培訓，引進檔案信息化管理專業人才。除了檔案管理人員以外，信息系統終端醫務操作人員、行政管理人員也要正確處理檔案信息化數據，并提升專兼職檔案人員的管理能力，明白如何保護醫療數據，并在培訓中將注重數據保護與醫院發展的重要性聯系起來，滿足醫院大數據環境下應該具備的檔案信息化專業能力。

此外，要執行醫院人才培養計劃，提高醫院檔案隊伍整體素質，定期對員工開展網絡安全和數據保護的培訓，增強員工的檔案安全意識，建立檔案安全管理人才梯隊，保障醫院檔案信息化的安全。

7.要做好醫院檔案信息化安全管理宣傳工作

在對醫院檔案信息化開展安全宣傳工作時，要樹立政治意識，牢記檔案宣傳職責，主動參與檔案安全宣傳工作，扎實開展檔案信息化安全法治宣傳教育。利用多種有效方式開展安全教育宣傳，將檔案安全工作重點和亮點更好更快地宣傳出去。

8.安全開發和利用醫院檔案信息化資源

在對醫院檔案信息化開發利用時，要采用科學的方法，安全地促進檔案信息化數據的利用，醫院檔案信息化利用工作有診療使用、管理利用和科研利用、法律證據利用四個方面。醫院檔案信息化利用工作必須圍繞醫院醫療、教學、科研、預防以及管理等業務為中心開展，要保證檔案數據資源的安全開發利用。

四、解決檔案信息數據必須長久安全儲存的難題

1.攻堅檔案信息數據長久存儲的課題

檔案信息數據能夠安全長久儲存是當前醫院檔案信息化建設需要攻堅的課題。醫院應確保作為重要醫療數據的安全系數為最高等級，是檔案工作中責無旁貸的一環。在磁存儲載體、光存儲載體、電存儲載體以及膠片存儲載體存儲的每個物理環節，都需嚴格把關，安全部署好數據備份、系統容災等物理載體的保護方案，同時，更要重視系統數據歸檔信息化的安全維護管理。

2.規范檔案數字化成果管理

建立醫療數據定期歸檔、長期保管的安全保存管理機制，完善存儲數字化檔案的信息存儲設備、系統后臺管理機制，重點做好醫院歸檔數據存儲，滿足數字化檔案信息海量數據存儲容量大、保存期長、綠色節能、便捷的保存特點，平衡容量、性能、成本方面。還要根據醫院自身數據量及數據類別，采用三級結構的存儲體系，解決好醫療數據長期保存歸檔問題。此外，還可以制定電子檔案備份、轉換和遷移方案，并按照備份策略對電子檔案實行在線、離線和近線備份。對于涉密檔案資料的存儲設備必須專機專用，嚴禁隨意插入移動存儲介質，對數據的使用和調取要嚴格履行審批流程，確保檔案信息化數據安全。

3.做好涉密檔案資源備份工作

在互聯網背景下，對檔案信息管理的保密工作必須高度重視，檔案部門和涉密員工一定要提高警惕，把握好檔案信息化管理關鍵環節與重要節點，并采取有效措施切實筑牢安全防線，依法統籌開展重要檔案信息化管理的安全保密工作，制定醫院檔案信息化保密措施和制度。工作中要做好交接手續，盤點好文件資料，確保不丟件、不錯件。完成加工的數字化檔案資料要認真整理，登記后及時存入專用存儲設備中，要專機單用。同時，數字化檔案信息存儲設備、系統要建立健全后臺管理機制，涉密數字化資料的查閱、復制、打印等操作要控制范圍，要有記錄，并做到“有賬可查”。

此外，還應開展檔案信息化專項保密教育。在完成數據分類定級的基礎上，依據國家及行業領域的安全保護要求，建立數據分類分級保護策略，備份好檔案數字資源。

4.定期實行歸檔數據安全檢查

要加強對數字檔案的安全防護，并《按照電子文件歸檔與管理規范》定期檢查，保證歸檔檔案的數據安全。

5.重視對檔案數字化外包服務的全程管理

要嚴格審查外包公司資質，合約中明確簽訂安全與保密協議服務安全要求、運行維護要求以及評估與驗收等，多方舉措，確保檔案信息化過程中數據的安全。

五、結論

檔案信息化建設作為醫院管理工作的重要部分，在新醫改模式下，醫院檔案信息化安全建設的水平與醫院的快速發展關系緊密。

面對檔案信息化建設中存在的各種安全問題，醫院應當認真開展相關的安全研究與分析，科學規劃，不斷改進和完善醫院檔案信息化安全管理工作，使之滿足醫院管理多樣化的數據安全需求，將針對性、高效性、規范性及科學性融為一體，并提供常態化、一體化的數據安全管理能力支撐，使醫院檔案管理信息化安全建設水平能夠與高速發展的智慧醫院相匹配。讓檔案信息資源在醫院發展、行業建設、提質增效中發揮重要作用，為醫院精細化、高質量發展提供服務。

參考文獻：

[1]互聯網資源.國家檔案局中華人民共和國網絡安全法 [CP].中華人民共和國國家主席令第53號，2016（11）：7.

[2]互聯網資源.國家檔案局：檔案檢查工作辦法 [CP].檔發

〔2020〕5號，2022（12）：11.

[3]陳志偉.《信息化環境下醫院檔案安全管理的對策》[J].黑龍江檔案，2015（5）：103.

（作者單位：棗莊市立醫院）