隨著“互聯(lián)網+醫(yī)療”及移動醫(yī)療的發(fā)展�����,基于互聯(lián)網的醫(yī)療服務軟件如雨后春筍��,越來越多�����。各種醫(yī)療創(chuàng)新應用從互聯(lián)網和電信網接入醫(yī)院信息網絡和系統(tǒng)����,逐漸打破醫(yī)院原來相對封閉的網絡。但目前所有的醫(yī)療服務改革和創(chuàng)新并沒有增加優(yōu)良醫(yī)療資源����,也就是說“互聯(lián)網+醫(yī)療”并未增加大醫(yī)院的有經驗的醫(yī)生數(shù)量��,類似于“九寨溝”這個著名景點�����,開始時路不好走�,修高速、機場��,使達到景區(qū)的路越來越多���、越來越快�����,但景點的最大接待能力是固定的��,不會隨著路的寬度增加而增加�。當路寬到一定程度,景區(qū)就要限制同時進入的人數(shù)��,人們就會想方設法進入景區(qū)����。當這些路變成獲取醫(yī)生資源的各種應用系統(tǒng),維護“道路”安全和“景區(qū)”安全的信息安全比封閉系統(tǒng)要難得多�����,面臨的風險要大的多��。
近年來���,大醫(yī)院預約掛號��、移動支付�、藥品配送�����、互聯(lián)網在線診療等方便患者就醫(yī)的醫(yī)療服務模式創(chuàng)新越來越多�����。醫(yī)院或第三方互聯(lián)網服務提供商通過搭建網站、移動APP等應用��,與銀行����、社保、藥品供應商���、應用服務提供商等單位互聯(lián)互通��,向患者提供遠程在線或離線醫(yī)療咨詢、診斷��,進而下達處方醫(yī)囑�����,提供病歷瀏覽�����、檢查檢驗報告查閱等應用��。這些應用服務均要求醫(yī)院向外打開原來相對封閉的信息之門,向醫(yī)院信息墻壁之外敞開大門��。
任何的安全事件所導致的醫(yī)院業(yè)務系統(tǒng)宕機���、信息泄露�、信息詐騙等都會降低患者的就醫(yī)滿意度�����,損害醫(yī)院的信譽����,處理不當則可能會引起醫(yī)患糾紛、法律問題甚至社會問題���。醫(yī)院物理安全做的相對較好���,但關鍵系統(tǒng)的網絡安全、主機安全���、應用安全���、數(shù)據(jù)安全等達到三級較難��。分析當前三甲醫(yī)院面臨的主要信息安全問題有:
1.大型三甲醫(yī)院擁有的醫(yī)療資源信息 ����、患者診療信息更加具有商業(yè)價值,越來約得到灰色產業(yè)鏈的覬覦�。
2.隨著醫(yī)院信息系統(tǒng)與外部道路連通的道路越來越多,越來越寬�,醫(yī)療信息安全已經不只是傳統(tǒng)的病毒、內部網絡和機房����、服務器、數(shù)據(jù)庫等���, 防范來自外部的威脅是醫(yī)院信息安全面對的一個極其嚴峻的挑戰(zhàn)�����。
3.醫(yī)院相對于銀行、大型企業(yè)安全意識淡薄��,管理制度不完善��,現(xiàn)有薄弱的安全管理制度落實欠到位�。同時來自于內部人為失誤�、蓄意破壞和信息竊取也難于防范���。
4.醫(yī)院基本上未明確設置可操作的信息安全管理部門�、信息安全崗位和崗位職責��,也缺乏專業(yè)的信息安全技術人員����,因此即使有信息安全管理制度, 也很難起到真正的作用���。
5.醫(yī)院信息安全保障的投入��、信息安全存在的隱患及可能造成的損失評估����,應簡單進行投入產出分析�,不是有信息安全崗位就要求不能出信息安全問題。類似于有了公安部門和醫(yī)院保衛(wèi)處�����,是否就不會發(fā)生違法事件?
面對外部網絡威脅的擔憂、醫(yī)院信息安全整體意識的薄弱以及醫(yī)療信息安全法律法規(guī)本身和對其依從性欠完備����,束縛了醫(yī)院信息部門對于醫(yī)院醫(yī)療服務互聯(lián)網化發(fā)展的創(chuàng)新性應用,遜色于電商����、銀行等其他行業(yè)。
2以醫(yī)院信息安全等級保護工作為抓手��,推進醫(yī)院信息安全體系建設
信息安全的外延和內涵有很多��,大部分醫(yī)院在建設信息系統(tǒng)的同時主要關注了物理安全和部分其他安全產品����,主要是網絡版防病毒、隔離外部網絡的防火墻�����、入侵檢測�����、終端準入控制�����、內網與互聯(lián)網數(shù)據(jù)交換的網閘等�������;旧夏鼙WC相對封閉的醫(yī)院信息網絡安全�。但面對新的挑戰(zhàn),為了系統(tǒng)性的有步驟��、有條理的開展信息安全工作��,可按照原國家衛(wèi)生部印發(fā)的衛(wèi)辦發(fā)〔2011〕85號《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(以下簡稱《指導意見》)開展信息安全體系建設���。
1.開展等級保護工作 《指導意見》中非常明確的說明定級備案�、整改�、整改后的測評工作和要求。由于定級備案��、整改方案需要熟知信息安全專業(yè)知識和有經驗的技術人員�,醫(yī)院可委托專業(yè)的信息安全服務商協(xié)助完成差距測評工作,一方面可以通過差距測評找出醫(yī)院需要測評的系統(tǒng)與所定級之間的差距�,同時服務商會提供整改方案,醫(yī)院可參考此方案進行后續(xù)整改工作。
2.醫(yī)院關鍵系統(tǒng)的選擇 《指導意見》中規(guī)定三甲醫(yī)院核心業(yè)務系統(tǒng)等級不能低于三級�����。醫(yī)院可以把對患者提供關鍵服務的和具有商業(yè)價值的系統(tǒng)�,如HIS、EMR定成三級���,醫(yī)院的門戶網站�����、APP等互聯(lián)網應用系統(tǒng)的定級級別可以根據(jù)在其上承載的為患者提供醫(yī)療服務的多少或重要程度確定二級或三級�����。
3. 安全服務外包 信息安全是非常專業(yè)的綜合學科�,需要計算機網絡��、計算機軟硬件���、通訊����、密碼��、互聯(lián)網等多學科知識�。醫(yī)院很難配備足夠的相應專業(yè)的信息安全人員。因此��,可以考慮將安全服務外包��,與安全服務商簽訂年度服務協(xié)議�����,彌補醫(yī)院專業(yè)安全技術人員的缺失�,最大程度保證醫(yī)院信息安全。
4.信息安全建設的PDCA PDCA持續(xù)改進質量環(huán)同樣適用于醫(yī)院信息安全工作����。醫(yī)院信息系統(tǒng)的軟硬件變更較為頻繁,信息安全的評估���、部署應用及分析整改的循環(huán)過程應納入信息化日常工作���。例如,原來信息系統(tǒng)中有收費系統(tǒng)���,當新增自助機收費����、支付寶微信移動自助收費,在制定實現(xiàn)技術方案時要有配套的安全方案�����,并在上線前進行安全評估�,安全評估通過后才能上線。系統(tǒng)安全方案和上線安全評估可由醫(yī)院信息安全管理員協(xié)調系統(tǒng)提供商和安全服務廠商一起完成���。如果是對已定級備案的系統(tǒng)更改�,可按照所定級別進行評估���;對于新上線的系統(tǒng)����,省衛(wèi)生計生委下發(fā)的文件粵衛(wèi)辦函[2016]71號《關于做好信息系統(tǒng)安全等級測評與備案工作的通知》中要求須經等級保護測評合格并進行報批備案后方可投入使用���。另外�����,醫(yī)院每年在對等保三級系統(tǒng)測評前也需要進行差評和整改���,以保證每個三級系統(tǒng)驗收通過�����。按照PDCA的做法可以提升并保持醫(yī)院安全防護能力。
5.提高全員安全意識 信息安全產品可以用家里的防盜門來比喻��,首先要在每個出入口安裝防盜門��,其次���,人員進出要確保關好防盜門���。再安全的防盜門,如果沒有關好�,也是形同虛設。也需要防范正常進入的外人從內部進行破壞��。因此�,醫(yī)院信息安全不是哪個人或哪個部門的事,醫(yī)院日常信息系統(tǒng)管理�����、建設、使用�、運維和對信息安全制度的依從,都是信息安全的一部分����,信息系統(tǒng)的每個建設者、使用者���、管理者都是信息安全的守護者�����。要對醫(yī)院系統(tǒng)使用者加強安全教育��,
1.何時需要重新定級��。醫(yī)院信息系統(tǒng)隨著業(yè)務需求的變化而變化���,因此醫(yī)院信息系統(tǒng)安全等級按照國家《信息系統(tǒng)安全保護等級定級指南》GB-T22240-2008中“6 等級變更”的要求,隨著信息系統(tǒng)所處理的信息和業(yè)務狀態(tài)的變化進行適當?shù)淖兏��,尤其是當系統(tǒng)改變可能影響其安全保護等級時����,應根據(jù)《定級指南》的定級方法重新定級���。
2.制定可操作的信息安全制度,并配備信息安全管理崗位��。《信息系統(tǒng)安全等級保護基本要求》(GBT22239-2008)第一級中安全管理機構的崗位設置要求除網絡管理員����、系統(tǒng)管理員崗位之外�,設立安全管理員崗位,但并未要求不同人不同崗���。即使是一人多崗����,也要遵守不同崗位制度����。第二級安全管理機構條款要求安全崗位分設安全主管、安全管理等各方面負責人崗位��,并且要求安全管理員不能兼任網絡管理員����、系統(tǒng)管理員�、數(shù)據(jù)庫管理員等�。第三級安全管理機構要求成立指導和管理信息安全工作的委員會或領導小組,并制定文件明確安全管理機構各部門和崗位的職責����、分工和技能要求。同時應聘請信息安全專家作為常年的安全顧問��,指導信息安全建設����,參與安全規(guī)劃和安全評審。同時各級對最基本的人員的錄用�����、離崗����;產品采購、自行軟件開發(fā)���、外包軟件開發(fā)等都有明確要求����。
目前醫(yī)院定級最高基本為三級。因此醫(yī)院要按照系統(tǒng)所定級別要求�����,制定符合醫(yī)院實際運行的有效的各種類信息安全制度����,使得醫(yī)院網絡建設、信息系統(tǒng)建設����、終端設備部署等都有實際可依從的可操作的流程�,信息安全管理機構各部門和各責任人能夠按照制度執(zhí)行。
3.安全服務商的選擇����。隨著醫(yī)院信息系統(tǒng)對外逐漸開放,醫(yī)院信息安全面臨的挑戰(zhàn)越來越嚴峻�����,醫(yī)院需要可信的信息安全服務商提供咨詢和安全保障。對于安全服務商的選擇��,《信息系統(tǒng)安全等級保護基本要求》針對不同等級有明確的安全服務商選擇條款���,醫(yī)院可根據(jù)系統(tǒng)定級遵照對應的要求執(zhí)行��。此外�����,醫(yī)院在與安全服務商簽訂服務協(xié)議時要根據(jù)醫(yī)療信息安全的行業(yè)特點�����,如患者隱私����、醫(yī)藥信息等�,與安全服務商約定保密和安全責任。
信息安全永遠在路上�。醫(yī)院要將信息和信息系統(tǒng)歸類,從制度��、人員���、安全產品等各方面�,做到事前、事中��、事后循環(huán)持續(xù)改進的信息安全多級管控�。
作者:嚴靜東 單位:南方醫(yī)科大學南方醫(yī)院
|
