等级保护促进信息安全

随着网络应用的深入发展，信息安全日益成为一个重要而紧迫的问题，对关乎公众健康和生命的医疗机构来说更是如此。2011年底，原卫生部《卫生行业信息安全等级保护工作的指导意见》和《关于全面开展卫生行业信息安全等级保护工作的通知》，要求三级甲等医院在2015年12月30日前完成信息安全等级保护建设整改工作，并通过三级等级测评。此次政策的出台，对于医疗机构改进信息化建设、加强信息安全有着重要意义。

安全风险

2008年6月，深圳市忽然出现了12万一张的光盘，而且是一口价销售，拒绝还价。光盘之所以卖得如此之贵，是因为光盘里存有当年深圳市预产期在3月～8月、共4万多条孕产妇的信息。其时，已有多名孕产妇受到商家“阶段性”推销的骚扰：怀孕3个月后孕妇学校会来联系，接着是家政服务商，而宝宝快到百日时，儿童摄影的推销电话又……让孕产妇不胜其烦。事后的调查发现，是深圳市一家保健医院的内部人员利用职务之便，将该院信息系统中所有孕妇和婴儿的信息盗取一空，整个过程只用了5分钟。然后，便有了市场上天价光盘的出现。

信息化在给医疗机构带来便利的同时，也存在着数据安全隐患，上述严重的信息泄露事件给医院的信息安全敲响了警钟。

除了信息泄露，威胁医院信息安全的问题还有网络病毒。随着网络的迅速发展，蠕虫病毒引发的安全事件此起彼伏，且有愈演愈烈之势。某医院由于内网病毒泛滥，带宽被病毒数据包占用，不仅上网速度慢，更影响到了服务器的正常工作。

医院内部人员统方是另一个威胁。2010年5月23日，一张神秘的清单在网上曝光，其中列出了宁波市某医院45名医生的工号、名字和所属科室，后面还注明了他们使用药品氨曲南的数量和总价。6月3日，宁波市卫生局向媒体公布了处罚决定：19名收受药品回扣的医生中，两名医生停止执业活动6个月，6名医生受到警告处分。虽然腐败得到惩戒，大快人心，但所暴露的潜在统方威胁值得警惕。

加强信息安全、消除安全隐患，已经成为医院必须要面对的课题。

政策安排

在信息化建设过程中，与业务性系统相比，信息安全并没有得到足够的重视。在2012年8月举办的中国医院论坛“数字化建设”分论坛上，著名医疗IT专家李包罗说：“这段时间，我参加了7个信息系统的技术规范的制订会，我发现，有的系统跟安全性毫不搭界，技术规范里面没有跟技术、安全有关系的话语，哪怕有，也只是一两句话带过。制订技术规范的人，应该说已经是业界比较有经验、比较有水平的专家，如果他们都不对安全问题给予足够的重视，那将是非常可怕的。”

在同一个会议上，国家卫计委统计信息中心主任孟群直言：“我国卫生信息化建设还存在信息安全保障建设的滞后。”

在政府层面，2007年公安部印发《信息安全等级保护管理办法》，决定“在全社会范围推行‘信息安全等级保护’政策”，2009年公安部印发《关于开展信息安全等级保护安全建设整改工作的指导意见》，对信息安全等级保护工作提出了要求。

在医疗领域，2010年原卫生部制定的《卫生信息化建设指导意见与发展规划（2011-2015）》（“十二五”规划）明确提出了我国医疗信息化发展的蓝图和发展方向“35212工程”，建设信息安全体系即是最后一个“2”中的一项。

医疗卫生系统的相关政策相继出台。2011年12月，“为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作”，原卫生部相继了《卫生行业信息安全等级保护工作的指导意见》和《关于全面开展卫生行业信息安全等级保护工作的通知》，明确指出，“三级甲等医院的核心业务信息系统”等五类卫生信息系统等保原则上不低于三级，要求“卫生行业各单位……要于2015年12月30日前完成信息安全等级保护建设整改工作，并通过等级测评。”

原卫生部、国家中医药管理局在2012年6月15日的《关于加强卫生信息化建设的指导意见》指出，要加强卫生信息安全保障体系建设，落实国家信息安全等级保护制度。加强卫生信息系统安全风险评估工作，确保信息安全和系统运行安全。继续完善居民电子健康档案、电子病历等涉及居民隐私的信息安全体系建设，建设以密码技术为基础的信息安全保障和网络信任体系，推广数字证书和电子签名应用，实现信息共享与隐私保护同步发展。

据悉，国际卫计委一直在推进这方面的工作，包括制度设计、级别保护等相关的概念和边界已经逐步建立起来。

国家卫计委统计信息中心副主任王才有表示，首先，政府层面制定了统一信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对信息安全产品的使用分等级实行管理，对等级保护工作的实施进行监督和指导。

其次，在用户层面，公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护的监督、指导，保障信息系统安全。

最后，在社会层面，关于信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，应依据国家有关管理规定和技术标准开展相应工作，并接受国家信息安全职能部门的监管。

在政策逐步建立的过程中，医疗机构自身建设亦十分重要。王才有说：“信息安全是专门的技术，但医院应该培养自己的安全人才，我看到许多医院还没有这样做，存在很大的风险。”

先进经验

目前，信息安全已经引起了医疗机构的高度重视，也有医院早早成为信息安全建设方面的先行者。

2012年11月初，中国医学科学院阜外心血管病医院信息中心主任赵接到通知，其医院信息系统的安全保护能力“基本符合等级保护三级要求，符合项为87.8%”。按照规定，符合项超过80%即为通过了等级保护三级。也就是说，阜外医院完成了国家卫生行政部门要求2015年底完成的工作。赵介绍，据他了解，目前除了阜外医院外，国内还没有其他医院通过等保三级。

在接受《e医疗》采访时，赵表示，之所以能提前通过等保三级，跟医院自主研发信息系统密不可分。他说：“我院从2008年就按照ISO/IEC27001（信息安全管理实用规则）的标准在做，2009年公安部有关信息安全等保要求的《指导意见》出台后，我院就开始按照等保要求进行改造。”

赵透露，2011年阜外医院的信息系统基本达到了公安部要求的二级水平，在卫生部三甲医院信息系统安全要达到三级等保的规定后，阜外医院就现有系统进行了改造升级，因为之前一直在做相关的工作，所以通过三级等保基本上是“一件水到渠成的事”。