信息安全管理在醫院信息化建設的作用范文

本站小編為你精心準備了信息安全管理在醫院信息化建設的作用參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：介紹了衛生行業信息安全管理的相關政策，分析了醫院信息系統安全管理需求，結合醫療衛生行業信息安全等級保護和醫院評審的有關政策和標準，指出了醫院信息安全管理的對策，為醫院的信息安全管理提供參考。

關鍵詞：醫療衛生行業；信息安全；等級保護；管理制度

1引言

隨著信息化、數字化、網絡化的發展，大數據和換聯網+也進入了醫療衛生行業，加快了醫院信息化的發展。隨著醫院業務的發展，醫院信息系統的應用也更加廣泛，醫院對其依賴性會越來越強，風險也隨之會提高。但醫療服務的特殊性決定了醫院信息系統需要24小時不間斷運行，這就對醫院的信息安全管理提出了更高要求。信息安全管理是指導和控制組織關于信息安全風險相互協調的活動，它是了解體系安全狀態、實現信息安全目標的重要關口，主要包括信息安全風險評估、風險管理和技術措施的控制。如何更好地進行信息安全管理成為一個不可忽視的問題，因此，在醫院信息化建設的同時加強信息安全管理建設是解決醫院信息安全問題的必然選擇。

2我國衛生行業信息安全管理政策

2010年原衛生部制定的《衛生信息化建設指導意見與發展規劃（2011-2015）》（“十二五”規劃）明確提出了我國醫療信息化發展的藍圖和發展方向“35212工程”，建設信息安全體系即是最后一個“2”中的一項。按照《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》（衛辦綜函〔2011〕1126號）的要求，三級甲等醫院應于2015年12月30日前全部完成信息安全等級保護建設整改工作，并通過等級測評。這標志著我國衛生行業開始通過信息安全等級保護加強對醫院信息安全的管理。原衛生部、國家中醫藥管理局在2012年6月15日的《關于加強衛生信息化建設的指導意見》指出，要加強衛生信息安全保障體系建設，落實國家信息安全等級保護制度。國家衛生計生委規劃信息司在2014中國健康大會上也指出，醫療衛生信息化是國家信息化發展的重點，已納入“十三五”國家網絡安全和信息化建設重點。

3醫院信息安全管理需求

據《南方都市報》報道，2008年5月以來，香港連續爆出泄密事件：先是醫管局下屬醫院陸續發現患者資料遺失，共涉及1.6萬名患者，此事立刻轟動了全港。2010年5月23日，一張神秘的清單在網上曝光，其中列出了寧波市某醫院45名醫生的工號、名字和所屬科室，后面還注明了他們使用藥品氨曲南的數量和總價，雖然腐敗得到懲戒，大快人心，但所暴露的醫院的潛在威脅值得警惕。2013年7月，寧波兩家醫院掛號系統癱瘓事件，同樣也引起了社會各界對醫院信息系統安全的高度關注。2015年10月份的澳門山頂醫院最大泄密事件，患者資料隨街散落，也折射出醫療衛生行業信息安全問題的嚴峻性。信息化在給醫院帶來便利的同時，也帶來了醫院信息安全的隱患，上述嚴重的信息安全事件給醫院的信息安全管理敲響了警鐘。醫院信息系統承擔著整個醫院的內外各項業務，其安全狀況直接關乎患者隱私和健康、社會秩序及穩定等。加強信息安全、消除信息安全隱患，已經成為醫院當前必須要面對的問題。

4醫院信息安全管理制度的發展對策

在《信息系統安全等級保護基本要求》和醫院評審的相關標準中都提到了信息管理部分，都強調了信息安全管理，并且都是對醫院進行此兩方面評審時的重要的評審部分。結合這兩方面的評審要求，可以分別從安全管理制度、安全管理機構、人員安全管理、系統建設安全管理、系統運行安全管理五個方面，對醫院信息安全進行管理。

4.1建立完善的總體安全管理制度

醫院應根據自身的實際情況制訂總信息安全管理制度，總信息安全管理制度是一個醫院的根本管理制度，規定醫院信息安全管理的根本任務和根本制度，是醫院信息安全工作的總體方針、總體目標、總體原則，是其他信息安全管理制度制訂的依據和基本要求。總信息安全管理制度中應嚴格明確制度制定與的流程、方式、范圍等，應定期組織相關部門對安全管理制度進行評審與修訂，以滿足醫院信息化不斷發展的需要。

4.2應建立穩固的安全管理機構

醫院應根據總體安全管理制度的基本要求設置安全管理機構和安全管理崗位，并制定《崗位設置與職責管理制度》，應明確“三員”（系統管理員、網絡管理員、安全管理員）崗位與職責。醫院信息安全管理不是某一個部門的職責，而是全醫院相關部門都要參與，從自身做起，從上述某醫院的信息安全管理機構圖來看，信息安全領導小組對醫院信息安全管理進行定期評審，再由醫院最高領導的支持，然后直到一線的人員，每個崗位都有明解的崗位職責，達到穩固的管理，責任到人，能滿足醫院信息化不斷發展的需要。

4.3配備專業的信息化人員，制定完善的員工信息安全管理制度

醫院人事主管部門，應針對醫院的實際情況例如可制定《人員錄用制度》、《人員離崗制度》、《人員考核制度》、《安全教育和培訓制度》、《外部人員參觀訪問制度》等人員工信息安全管理制度。在人員錄用方面應按照制度流程對被錄用人員進行資格審查，對于在醫院從事關鍵崗位的人員應當簽署保密協議等，在離職時應按照制度流程辦理離職手續，例如應回收醫院發放的各種身份證件、鑰匙、秘鑰并注銷一切其所擁有的信息系統賬號等；在人員考核方面應定期對各個崗位的人員進行信息安全技術及信息安全認知的考核，確保在崗人員都有維護醫院信息安全的義務；在人員的安全教育和培訓方面，應對各類人員定期進行信息安全教育和培訓，提高其安全意識，明確責任和獎懲措施；在外部人員來醫院參觀訪問方面，應用按照制度進行授權和審批，確保醫院運行安全。

4.4完善醫院各類信息系統的建設，制定切實可行的信息系統安全管理制度

信息化數字化醫院建設只有起點沒有終點，醫院在各類信息系統建設方面應根據自身的實際情況，制定完善可行的信息系統建設規章，可保障醫院相關部門在信息系統建設過程有據可依、有規可循。例如醫院可制定如下關于醫院信息系統建設的管理制度：《醫院信息系統定級管理制度》、《醫院信息系統安全方案設計管理制度》、《醫院信息系統產品采購和使用制度》、《醫院信息系統自行軟件開發制度》、《醫院信息系統外包軟件開發制度》、《醫院信息系統工程實施管理制度》、《醫院信息系統測試驗收管理制度》、《醫院信息系統交付管理制度》等。

4.5制定切實可行的醫院各類信息系統運行管理制度，滿足醫院各類業務的適時訪問需求

醫院各類信息系統建設的目的是為了更好地滿足各類業務的需求，保障建設好的各類信息系統更好的運行。醫院信息系統管理者應從管理方面制定切實可行的管理制度，同時針對不同的醫院使用人員，制定不同的使用操作手冊，讓醫院的使用者達到規范操作，這樣可以大大減少人為誤操作導致的系統故障，方便運維人員對系統的維護。例如醫院可根據信息系統的實際情況制定如下運行管理制度：《醫院信息系統環境管理制度》、《醫院信息系統資產管理制度》、《醫院信息化介質管理制度》、《設備管理制度》、《醫院網絡安全管理制度》、《醫院信息系統安全管理制度》、《醫院惡意代碼防范管理制度》、《醫院信息系統密碼管理制度》、《醫院信息系統備份與恢復管理制度》、《醫院信息系統安全事件處置制度》、《醫院信息系統應急預案管理制度》等。

5總結

信息化、數字化醫院建設只有起點沒有終點，醫院信息系統安全伴隨著信息化數字化醫院建設同樣沒有終點。醫院需要高度重視信息安全管理，制定一套切實可行的信息安全管理制度和措施，才能更好地保證醫院信息系統安全、高效、穩定的運行。

參考文獻：

[1]蔡文濤.淺談醫院信息系統網絡安全[J].中國現代醫生,2009(32):116-117.

[2]李剛.醫院信息系統安全管理問題淺析[J].中國管理信息化,2013(1):39.

[3]楊棟,劉立輝,任志剛.醫院信息安全管理與措施[J].中國醫療設備,2011,26(6):70-72.

[4]相海泉.等級保護促進信息安全[J].中國信息界:e醫療,2013(10):81-82.

作者：王麗娜；趙利敏；張東軍 單位：新鄉醫學院