医院信息安全建设信息化发展

摘要:

随着医疗行业的信息化发展水平的逐步发展，信息系统的安全风险越明显，本文就天津市医院核心业务信息系统等级保护建设工作的管理体系建设提供一些基本的思路、方法和步骤。

关键词:

医院；安全等级；管理体系建设

一、引言

根据上级部门三级甲等要求，为了促进和规范天津市医院信息化建设我院于2014年启动了围绕医院核心业务系统：门诊信息系统、住院信息系统、HIS信息系统，深入开展信息安全等级和统计管理系统，为后续各兄弟医院等级保护建设工作提供一些基本建设和方法。

二、医院信息化建设存在的安全现状分析

大型综合性医院信息系统的安全保障体系建设是一个极为复杂的工程，医院的信息系统应用众多，结构复杂，覆盖广泛，涉及的部门和人员众多，医院信息系统的角色越来越重要。信息系统任何风险都有可能带来巨大的损失。医院信息系统故障，会造成门诊大量排队，业务科室投诉，临床业务停顿，每次引发的问题都给医院管理人员造成巨大压力，社会舆论和声音受到严重影响，不同程度也给医院造成了较大经济损失。医院信息系统面临极大的安全风险。具体有以下几点：

(一)物理环境安全风险

医院的物理安全具备环境安全、设备安全及介质安全等物理支撑环境，保护网络设备、设施、介质和信息免受大自然，环境事故以及误操作导致的破坏和丢失。

(二)网络安全风险

医院的临床、财务系统和物流已经全部纳入IT系统，业务网中各业务应用是其信息系统的核心，同时也需要与外部发生业务联系。因此业务应用面临的任何风险，都会产生严重后果。

(三)管理层安全风险

对医院信息系统的管理尤为重要，责任不明，管理混乱，安全管理制度不健全等都有可能引起管理安全风险。

三、信息安全管理体系建立的作用

信息安全管理体系必须满足等级保护标准，同时也要满足政策的要求，还要贯彻执行，不断进步。一个健全的、正常运行的医疗信息安全管理体系的主要作用体现在以下方面；(1)能够有效增强行政和技术上的安全管理，将解决网络设计缺陷，威胁网络安全的问题，制定出信息系统规范和安全标准。(2)信息安全管理体系的建设，更加重视和执行对安全知识、法规、标准的宣传和培训，考核实现了信息安全的动态管理过程。(3)全方位的保护医院的核心业务系统，在核心数据和信息受到袭击时，要确保各项工作正常开展，并尽量把损失降到最低。(4)满足医疗行业和监督机构要求，保护国家或区域医疗信息安全，维护社会医疗秩序稳定。

四、安全保管体系建设的主要思路

我院从安全管理机构、安全管理制度、系统建设管理、系统运维管理及人员安全管理等五个方面着手开展安全等级保护建设。

(一)安全管理机构的设立

组建安全管理领导团队，由院领导和各科室骨干出任第一责任人，把具体的办公地点设定在信息所。

(二)安全管理制度

根据《公安信息安全等级保护基本要求》，制定《网络安全息安全管理制度》，等9个信息安全管理制度，定期进行内部检查和管理评定，不断优化和持续改进。我院在实施安全等管理体系建设工作中，采取分级、分类、分阶段的策略，根据我院各系统的不同特点，采取不同的安全等级。

(三)系统运维管理

根据最高等级的保护要求，制定多种信息安全方法：一是机房定时巡查，二是增加视频监控，减少视频盲区，三是建立智能监控系统，对全院网络运维情况监控，减低网络故障。

(四)人员安全管理

我院坚持在风险评估的基础上，采取适当和管用、足够的措施来加强信息安全，大大降低系统故障。

五、安全等保的实施过程

实现等级保护，应该采取分级，分类，分阶段的策略坚持分级实施保护，加强安全，突出关注重点，要害部位，根据信息化发展阶段的不平衡，须根据信息资产的规模大小，依赖程度的深浅，按阶段分步骤逐步实现等级保护的各项要求。(1)信息安全管理体系第一阶段主要是做好建立信息安全管理系统的前期工作及安全管理人力资源配置。(2)信息安全工作团队结合等级保护的基本要求，对HIS，LIS,RACS等核心业务信息系统进行处理，对在传输和存储的过程中，信息的机密性，完整性等重要特性进行调研和评价，结合等级保护基本要求差距项汇总，分析差距项目涉及的安全事件一旦发生对医院信息系统造成的影响。(3)制定安全管理策略、安全管理制度和信息安全管理体系等各方位保护措施，计划和建成符合三级等保系统基本要求的信息安全管理框架。(4)落实安全管理制度，根据安全管理体系的具体要求，进行全面的信息安全牢固与整改工作，充分发挥安全体系的各项功能。(5)自查和调整。深入分析问题，找出问题根源，查出不完善的过程记录文件并进行完善，调整不合理管理流程，进一步完善信息安全管理体系。

六、结束语

至2014年初，在我院领导的直接关心和指导下，通过各部门通力合作使信息安全通过了等级保护测评的三甲医院，为地区三甲医院信息安全等级保护建设工作开启良好的开端，展现了我院信息化建设的先进成果。

作者：杨静 单位：天津市中心妇产科医院行政楼

参考文献:

[1]王升宝.信息安全等级保护体系研究及应用[J].通信技术，2009

[2]朱建平，李明.信息安全等级保护标准体系研究[J].信息技术与标准化，2005（5）：21-24

[3]胡勇.网络信息系统风险评估方法研究网络安全技术与应用.2007