为医疗行业信息系统保驾护航

近年来，医疗行业的信息化水平越来越高，与之相对应的信息系统的安全风险也越来越明显。阜外医院作为隶属于国家卫计委下的三级甲等医院，始终主动地推动医院医疗信息化及信息安全保障工作，经过多年的技术建设，已经取得了一些成就，积累了一些建设经验。

近年来，国家对信息安全高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。根据原卫生部的《关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函[2011]1126号文）指示精神，阜外医院作为卫生行业开展信息安全等级保护工作的试点单位，依据国家相关信息安全政策及技术标准，对医院的重要信息系统进行等级保护整改建设，切实提高了自身的信息安全防护水平。

通过对阜外医院的信息系统业务流程的梳理，并根据业务数据的重要程度和业务安全需求，准确划分系统边界，阜外医院信息系统共有6个定级对象，其定级情况如下：HIS系统为第三级信息系统，LIS系统、PACS系统、电子病历系统、阜外医院网站和财务为第二级信息系统。由于信息系统彼此间业务关联较大，所以总体上按照第三级进行整体防护体系建设。

本次阜外医院的信息系统安全等级保护工程的建设，主要是根据四部委的《信息安全等级保护管理办法》（公通字[2007]43号文）以及卫生部 [2011]1126号文的指示精神，从信息安全技术体系、信息安全管理体系、信息安全运行体系等三个方面入手，建设完整的医疗行业信息安全等级保护保障体系：

1. 建立阜外医院信息安全技术体系，从物理安全、网络安全、主机安全、应用安全、数据安全等方面进行整改建设。通过对内外网网络层面的安全整改建设，达到等级保护第三级信息系统的基本技术要求；

2. 建立阜外医院信息安全管理体系，通过安全管理策略和制度、人员安全管理、安全事件管理、系统建设管理以及系统运维管理等五个方面的建设，达到了等级保护第三级信息系统的安全管理要求；

3. 建立阜外医院安全运维体系，通过综合运维系统、安全管理中心、信息安全服务等内容的建设，实现了日常安全运维管理，使阜外医院的信息系统安全保障体系能够有效落实。

信息安全等级保护保建设，使阜外医院信息安全保障体系成功通过了等级保护第三级信息系统的安全测评。因此，本次阜外医院信息安全保障工程的建设，具有以下三个方面的重大意义：

一、有效落实了国家政策要求。首先是完成了国家信息安全等级保护的的工作部署，使阜外医院重要信息系统安全防护能力达到规定要求，确保业务工作有效开展。

通过本次工程建设，确保阜外医院重要信息系统安全防护工作符合国家等级保护制度要求，确保方向正确、方法得当、结果合规，使信息安全建设工作不偏离国家监管的大方向，这是阜外医院作为国家三甲级医疗机构的地位决定的，是确保阜外医院的权威性、严肃性的有力保障，具有重要的政治意义。

二、能够有效推动行业安全建设。有利于形成阜外医院信息安全工作统一规划、统一指导、统一要求的工作机制，为国家卫计委指导各医疗单位进行等级保护建设方面起到试点示范效应。

通过本次工程建设，可以分析清楚阜外医院信息系统数量、分布、安全防护程度等基本情况，研究清楚系统信息安全的各自特点，通过调研和分析，提出全院信息安全工作“一盘棋”的管理思路，统一管理、统一指导、统一具体要求，实质性推动行业信息安全建设工作。

三、提高了服务国家社会能力。有利于提高全院信息系统运行效率，提升阜外医院服务国家、社会的能力。

阜外医院是国家级三甲医院，是首都乃至全国人民的生命守护者，是全国心血管病患者的福音，地位相当重要。将数量众多的业务应用系统服务于全院医疗信息化建设的各个层面，一定程度上关系到社会稳定和公众利益。通过等级保护建设，满足了国家监管要求，也确保了重要信息系统可信防护，增强了服务国家和社会的能力。（阜外医院供稿）