医院信息安全管理

医院信息安全管理

作者：姚恺恺

来源：《健康必读·下旬刊》2020年第09期

【摘 要】：医院的业务流程与信息安全密不可分，信息化的发展为信息安全管理带来挑战，本文着眼医院业务实际，探讨当今信息安全环境以及如何进行信息安全管理。 【关键词】：信息安全管理、挑战、信息安全环境

Abstract：The hospital business process is inseparable from information security. The development of informatization brings challenges to information security management .Focusing on the practice of the hospital business ，the paper probes into information security environment today and how to conduct information security management.

Keyword： information security management、 challenges、 information security environment 在信息化高速發展的今天，医院业务与信息化密不可分，为了提高患者的就诊效率，当下多数医院已建成HIS、LIS、PACS等系统，其范围覆盖全院的医疗业务。同时随着互联网行业和医疗行业的结合，越来越多的业务功能出现，例如：微信以及app上的挂号、缴费、取报告、预约检查、处方查询、费用查询、远程医疗等医疗活动[2]，线上线下就医实现了高效结合。这些业务的开展意味着医院信息系统与银行平台、互联网平台等开通了接口，以实现数据的交互。而医院信息系统存储着患者就医的门诊住院信息以及患者的个人信息。这些极具研究价值的信息，诱惑着外部人员通过入侵系统盗取资料获得勒索赎金，同时内部人员也可通过贩卖信息而获益。医院信息系统与外部网络的联通给医院的信息安全管理带来了很多的挑战，勒索病毒、信息安全保密、甚至是网络的不稳定性都会引发数据丢失、瘫痪等后果。因此，捍卫医院的信息安全不仅仅需要更加现代化的技术，更为紧迫的是制定严密的信息安全管理制度。 1 医院信息安全存在的问题 1.1 医院对信息安全重视程度低

当代快节奏的生活方式对于医疗服务的要求越来越高，医院面对这一现状，不断优化医院的业务系统。为提高医院的服务质量，医院系统开通微信支付宝支付，网上预约等方便患者的措施，但是忽视了业务系统与外部网络交互所带来的风险。相对于医院急迫地想提升医院的服务水平，信息安全明显不受重视。 1.2 信息安全考核制度不明确

在医院的长期发展中，信息安全一直没有受到应有的关注，一些信息安全考核制度只是纸上谈兵，落实到日常工作业务中力度就大打折扣。例如医院工作人员没有被强制要求遵守医院的信息安全考核制度，失去了严厉的惩罚制度，信息安全考核制度的效力自然不足。此外，针对日常对于信息查询有权限的工作人员的监控和监督仍存在较大的漏洞，这无疑又是增添了信息泄露的风险。

1.3 医院信息安全保障技术不到位

由于医院信息人员专业水平有限，针对专业的数据库安全维护、服务器安全维护缺少强有力的技术支撑。面对突如其然的机房事故，如果无法及时有效的处理，就会造成数据的流失，造成信息安全事故。

那么针对以上问题，当代医院如何进行信息安全管理呢？笔者将从以下几个方面进行分析讨论：

2 人员管理及权限设置

2.1 加强信息科工作人员的工作能力和管理

医院信息科工作人员需不断学习新技术，加强对新近病毒和信息安全实况的了解，善于运用新技术为管理机房、数据库、信息系统做好坚实的铺垫。 2.2 加强医务工作者的信息安全教育及权限设置

信息安全并不只是信息科工作人员的义务，应是每位医院工作人员的责任。每位医务工作者都可接触到患者的个人信息，由此更需要加强医务工作者的职业道德建设，为信息安全筑牢第一道防线。例如医院每年组织相关讲座，以此提高医务工作者的信息安全意识。此外，基于医生、护士、医技科室人员进行医院业务操作离不开医院信息系统的现实诉求，在使用过程中，以实际操作需要分为医生站、护士站、医技工作站等，再据岗位需要，合理分配用户权限。例如主任和护士长的权限相对加大，可对多个病区进行操作。 3 机房管理，制定安全制度

建立机房巡查制度，对于每次巡检进行记录。严格按照机房标准，每次巡查都对机房的温度、湿度、电磁、噪音、防尘、静电和震动[3]都进行检查记录。中心机房应配有双路供电，配有大型ups，保证机房在断电情况下还能继续供电。

对于机房的服务器医院可以聘请专业的技术公司，请他们有专业的技术人员，定期查看运行情况，备份服务器数据、及时安装系统补丁，发现问题及时处理[1]。对于备用服务器与主服务器，要及时升级系统，面对突发情况可及时切换服务器，保证医院业务的顺利进行。

对于机房的管理需要制定相关的安全制度来保证信息安全，实行制度上墙，每位信息科工作人员和相关技术人员应以该机房制度严格要求自己，完成机房的日常维护。 保证机房安全稳定的运行，在一定程度上也保护了医院的信息安全。 4 完善网络安全建设

网络是信息传输的通道，每台电脑通过网络进行数据调用和日常业务开展。因此，保证高速安全的网络体系是建设信息安全的重要一步。我院现实行内外网隔离，内网对于U盘等移动存储设备禁止使用，通过物理上网络的隔离来护航信息传输。对于与外部网络的交互则通过信息中心更为强大的网络安全设备进行，由更加专业的网络工程师进行管理，这样形式区域信息网络的建成为小医院的网络压力减轻不少。 5 完善信息安全管理制度

信息安全设计软硬件、网络、设备各个方面，涉及到每位科室成员，因此需要结合自身的情况，制定一套完善的信息安全管理制度，并监督落实。信息科需要制定机房管理制度，网络安全制度等，使得日常的工作有制度可依。制定应急预案，遇到信息安全问题时，每个科室采取什么行动都需了解并掌握。 结束语：

新的时代对于医院的信息化要求不断上升，这是场机遇，也是一个极大的挑战。面对日益复杂的网络世界，只有完善信息安全管理，着眼医院实际，才能为患者提供一个安全、便捷的就医环境。 参考文献

赵洁.“新形势下医院信息安全管理”[J].电子技术与软件工程，2019，24，168-169. 冯雅娴，杨顺心.““互联网+医疗”背景下的医院信息安全管理探析”[J].中国卫生产业，2019，06，167.

王晨旭，李刚荣，吴昊.“浅谈医院信息安全管理”[J]。中国卫生信息管理杂志，2011，05，33-35.