信息安全管理的建设在医院信息化建设中的作用

王丽娜　赵利敏　张东军

摘要：介绍了卫生行业信息安全管理的相关政策，分析了医院信息系统安全管理需求，结合医疗卫生行业信息安全等级保护和医院评审的有关政策和标准，指出了医院信息安全管理的对策，为医院的信息安全管理提供参考。

关键词：医疗卫生行业；信息安全；等级保护；管理制度

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2017）02-0041-03

The Role of Information Security Management in the Construction of Hospital Information

WANG Li-na， ZHAO Li-min， ZHANG Dong-jun.

（Xinxiang Medical College， Xinxiang 453003， China）

Abstract：Introduced the related policy of informational security management in medical industry， analyzed the security management requirements of hospital information system. And then the countermeasures of hospital information security management were pointed out to provide reference for the information security management of the hospital.

Key words：medical industry； information security； hierarchy protection； management system

1 引言

隨着信息化、数字化、网络化的发展，大数据和换联网+也进入了医疗卫生行业，加快了医院信息化的发展。随着医院业务的发展，医院信息系统的应用也更加广泛，医院对其依赖性会越来越强，风险也随之会提高[1]。但医疗服务的特殊性决定了医院信息系统需要 24 小时不间断运行， 这就对医院的信息安全管理提出了更高要求[2]。信息安全管理是指导和控制组织关于信息安全风险相互协调的活动，它是了解体系安全状态、实现信息安全目标的重要关口，主要包括信息安全风险评估、风险管理和技术措施的控制[3]。如何更好地进行信息安全管理成为一个不可忽视的问题，因此，在医院信息化建设的同时加强信息安全管理建设是解决医院信息安全问题的必然选择。

2 我国卫生行业信息安全管理政策

2010年原卫生部制定的《卫生信息化建设指导意见与发展规划（2011-2015）》（“十二五”规划）明确提出了我国医疗信息化发展的蓝图和发展方向“35212工程”，建设信息安全体系即是最后一个“2”中的一项[4]。

按照《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号）的要求，三级甲等医院应于2015年12月30日前全部完成信息安全等级保护建设整改工作，并通过等级测评。这标志着我国卫生行业开始通过信息安全等级保护加强对医院信息安全的管理[5]。

原卫生部、国家中医药管理局在2012年6月15日发布的《关于加强卫生信息化建设的指导意见》指出，要加强卫生信息安全保障体系建设，落实国家信息安全等级保护制度。

国家卫生计生委规划信息司在2014 中国健康大会上也指出，医疗卫生信息化是国家信息化发展的重点，已纳入“十三五”国家网络安全和信息化建设重点[6]。

3 医院信息安全管理需求

据《南方都市报》报道，2008年5月以来，香港连续爆出泄密事件：先是医管局下属医院陆续发现患者资料遗失，共涉及1.6万名患者，此事立刻轰动了全港。 2010年5月23日，一张神秘的清单在网上曝光，其中列出了宁波市某医院45名医生的工号、名字和所属科室，后面还注明了他们使用药品氨曲南的数量和总价，虽然腐败得到惩戒，大快人心，但所暴露的医院的潜在威胁值得警惕[4]。2013年7月，宁波两家医院挂号系统瘫痪事件，同样也引起了社会各界对医院信息系统安全的高度关注[7]。2015年10月份的澳门山顶医院最大泄密事件，患者资料随街散落，也折射出医疗卫生行业信息安全问题的严峻性[8]。信息化在给医院带来便利的同时，也带来了医院信息安全的隐患，上述严重的信息安全事件给医院的信息安全管理敲响了警钟。医院信息系统承担着整个医院的内外各项业务，其安全状况直接关乎患者隐私和健康、社会秩序及稳定等。加强信息安全、消除信息安全隐患，已经成为医院当前必须要面对的问题。

4 医院信息安全管理制度的发展对策

在《信息系统安全等级保护基本要求》和医院评审的相关标准中都提到了信息管理部分，都强调了信息安全管理，并且都是对医院进行此两方面评审时的重要的评审部分。结合这两方面的评审要求，可以分别从安全管理制度、安全管理机构、人员安全管理、系统建设安全管理、系统运行安全管理五个方面，对医院信息安全进行管理。

4.1 建立完善的总体安全管理制度

医院应根据自身的实际情况制订总信息安全管理制度，总信息安全管理制度是一个医院的根本管理制度，规定医院信息安全管理的根本任务和根本制度，是医院信息安全工作的总体方针、总体目标、总体原则，是其他信息安全管理制度制订的依据和基本要求。总信息安全管理制度中应严格明确制度制定与发布的流程、方式、范围等，应定期组织相关部门对安全管理制度进行评审与修订，以满足医院信息化不断发展的需要。

4.2 应建立稳固的安全管理机构

医院应根据总体安全管理制度的基本要求设置安全管理机构和安全管理岗位，并制定《岗位设置与职责管理制度》，应明确“三员”（系统管理员、网络管理员、安全管理员）岗位与职责。例如某医院信息安全管理机构如下。

图1 某医院信息安全管理机构

医院信息安全管理不是某一个部门的职责，而是全医院相关部门都要参与，从自身做起，从上述某医院的信息安全管理机构图来看，信息安全领导小组对医院信息安全管理进行定期评审，再由医院最高领导的支持，然后直到一线的人员，每个岗位都有明解的岗位职责，达到稳固的管理，责任到人，能满足医院信息化不断发展的需要。

4.3 配备专业的信息化人员，制定完善的员工信息安全管理制度

医院人事主管部门，应针对医院的实际情况例如可制定《人员录用制度》、《人员离岗制度》、《人员考核制度》、《安全教育和培训制度》、《外部人员参观访问制度》等人员工信息安全管理制度。在人员录用方面应按照制度流程对被录用人员进行资格审查，对于在医院从事关键岗位的人员应当签署保密协议等，在离职时应按照制度流程办理离职手续，例如应回收医院发放的各种身份证件、钥匙、秘钥并注销一切其所拥有的信息系统账号等；在人员考核方面应定期对各个岗位的人员进行信息安全技术及信息安全认知的考核，确保在岗人员都有维护医院信息安全的义务；在人员的安全教育和培训方面，应对各类人员定期进行信息安全教育和培训，提高其安全意识，明确责任和奖惩措施；在外部人员来医院参观访问方面，应用按照制度进行授权和审批，确保医院运行安全。

4.4 完善医院各类信息系统的建设，制定切实可行的信息系统安全管理制度

信息化数字化医院建设只有起点没有终点[9]，医院在各类信息系统建设方面应根据自身的实际情况，制定完善可行的信息系统建设规章，可保障医院相关部门在信息系统建设过程有据可依、有规可循。例如医院可制定如下关于医院信息系统建设的管理制度：《医院信息系统定级管理制度》、《医院信息系统安全方案设计管理制度》、《医院信息系统产品采购和使用制度》、《医院信息系统自行软件开发制度》、《医院信息系统外包软件开发制度》、《医院信息系统工程实施管理制度》、《医院信息系统测试验收管理制度》、《医院信息系统交付管理制度》等。

4.5 制定切实可行的医院各类信息系统运行管理制度，满足医院各类业务的适时访问需求

医院各类信息系统建设的目的是为了更好地满足各类业务的需求，保障建设好的各类信息系统更好的运行。医院信息系统管理者应从管理方面制定切实可行的管理制度，同时针对不同的医院使用人员，制定不同的使用操作手册，让医院的使用者达到规范操作，这样可以大大减少人为误操作导致的系统故障，方便运维人员对系统的维护。例如医院可根据信息系统的实际情况制定如下运行管理制度：《医院信息系统环境管理制度》、《医院信息系统资产管理制度》、《医院信息化介质管理制度》、《设备管理制度》、《医院网络安全管理制度》、《医院信息系统安全管理制度》、《医院恶意代码防范管理制度》、《医院信息系统密码管理制度》、《医院信息系统备份与恢复管理制度》、《医院信息系统安全事件处置制度》、《医院信息系统应急预案管理制度》等。

5 总结

信息化、数字化医院建设只有起点没有终点，医院信息系统安全伴随着信息化数字化医院建设同样没有终点[9]。医院需要高度重视信息安全管理，制定一套切实可行的信息安全管理制度和措施，才能更好地保证医院信息系统安全、高效、稳定的运行。

参考文献：

[1] 蔡文涛.浅谈医院信息系统网络安全[J].中国现代医生，2009 （32）： 116-117.

[2] 李剛.医院信息系统安全管理问题浅析[J].中国管理信息化，2013 （1）： 39.

[3] 杨栋，刘立辉，任志刚.医院信息安全管理与措施[J].中国医疗设备，2011， 26（6）： 70-72.

[4] 相海泉.等级保护促进信息安全[J].中国信息界：e医疗，2013（10）：81-82.

[5] 王丽娜，张东军.医疗卫生行业信息安全等级保护的现状与对策[J].医疗卫生装备，2013， 34（6）：87-88.

[6] 孙杨.卫计委：医疗卫生信息化将成为“十三五”最强音[J].吉林医学信息， 2014 （11）： 94.

[7] 吴宁.由“携程泄密”事件反观医院信息系统安全[EB/OL]. http：//www.cn-healthcare.com/article/20140324/content-437762-all.html， 2014-03-24.

[8] 南方都市报.澳门山顶医院最大泄密事件病人资料随街散落[EB/OL]. http：//gd.sina.com.cn/zh/social/2015-10-16/075237815.html， 2015-10-16 .

[9] 王晨旭，李刚荣，吴昊.浅谈医院信息安全管理[J].中国卫生信息管理杂志，2011 （5）： 33-35.