关于医院信息系统信息安全等级保护的思考

1、 关于医院信息系统信息安全等级保护的思考 李润启夏翃Summary：随着科学技术的发展，医疗行业逐渐走向信息化发展道路，提高医院的信息化水平已经成为了不可扭转的趋势，然而其中所存在的信息系统安全保护问题仍旧难以得到有效解决，对医院信息系统安全等级保护工作提出了更为严格的要求。该文在剖析医院信息系统的信息安全等级保护内涵及特征基础上，针对医院信息系统信息安全等级保护中存在的问题进行深入分析，最后针对性提出加强医院信息系统的信息安全等级保护策略及路径，以期能够通过研究以产生抛砖引玉之效，为实际提供参考借鉴之用。Key：医院;信息系统;安全等级;保护措施：G642 ：A：1009-3044（2022

2、）09-106-02在互联网、5G发展高速化的今天，网络上信息安全问题已经成为大众关注的重点问题，公民信息隐私问题逐渐引起了人们的关注，甚至对大众日常生活带来了较为严重的负面影响。在很大程度上对医院信息安全保护工作带来了一定的挑战和考验。如何在大众就医中加强信息安全保护质量，也成为摆在各大医院面前的重要难题。尽管我国政府针对该领域的问题颁布了许多互联网信息安全保护的相关政策法规文件，以提升对大众隐私数据的保护质量。然而在实践中发现存在着多种因素，无法真正发挥现有政策法规文件的约束作用，在大众就医中时常会出现隐私泄露问题，成为人们对医院的诟病之处。在我国医疗行业中，患者隐私数据安全质量关系到医院

3、的长远可持续发展，必须要加强对患者的信息安全等级保护工作，能够通过科学合理设置信息安全保护等级，切实提升医院的信息安全保护力度，对促进医院长远发展具有极其重要的发展意义。1 医院信息系统信息安全等级保护内涵和特征1.1 医院信息系统信息安全等级保护的内涵在医院信息系统信息安全等级保护工作中一般会涉及三方面内容，即临床服务信息数据、医疗管理信息数据、运维管理信息数据，这三个维度数据信息涵盖了当前医院信息安全等级保护的主要内容。在临床服务信息数据中包括门诊挂号、临床检查及患者病历档案资料的电子化建档;而医疗管理信息数据中涉及药材的进货厂家、医务人员的信息等;在运维管理信息数据中包括研究成果、医保资

4、料、财产管理、医院经营情况等基本资料。这些信息数据在发生严重泄露事件的情况下，极易影响医院未来的发展状况，所以落实信息系统信息安全等级的保护工作显得尤为迫切。1.2 医院信息系统信息安全等级保护具有的特征由于医院所涉及到的数据多，这就决定了医院信息系统安全等级保护工作具有工作难度大、涉及层次丰富等特征，甚至体现出牵一发而动全身的重要影响，因而在实际工作中需要统筹兼顾整体工作目标，以促进安全等级保护工作质量的有效提升。1）技术要求高。随着医院信息系统信息安全等级保护工作的升级与发展，对技术人员的专业要求变得越来越高。在以往的医院数据信息管理工作中，档案管理人员的工作素质普遍不高，实际工作难度相对

5、比较低，无法体现出应有的信息化特征。然而随着现代社会的发展与信息技术的进步，医院对于信息安全管理的专业人才提出了更為严格的要求，有越来越多医院在该工作岗位上开始聘用专业的计算机操作人才，从而有效提升信息安全指数。在实际工作中，要能够针对各类数据信息进行整合归类管理，而这些工作内容不仅对管理人员的实践操作能力具有较为严格的要求，更对管理人员所具备的信息素养具有一定的要求。2）涉及维度广。在医院信息系统信息安全等级保护工作中，由于所涉及的项目丰富、内容广泛，使信息安全管理所涉及的维度往往十分广泛。需要将各个环节、各个内容、各个部门的信息数据一并纳入数据信息管理系统中，从而构建数据信息管理的专业平台

6、，以促进管理变得更具专业性、集中性与综合性等管理特征。加上医院信息数据更存在着庞杂多冗的特点，使实际信息管理系统建设工作相对更具挑战性。2 当前医院信息系统安全等级保护存在问题的探析2.1 技术逻辑、资本逻辑站在了价值观的对立面在互联网的快速发展中，互联网内容管理普遍暴露出了诸多弊端现象。长期化的业务导向遵循资本运行逻辑，利用算法获取病人的个人信息，将不同的患者细化标签，导致患者信息逐渐被曝光在互联网平台。在不法分子的非法获取信息数据过程中，对患者精准推送各类广告内容，这些现象极大地损害了患者的合法权益。尤其在医院信息系统的建设过程中，由于深受技术逻辑和资本逻辑的影响，在很大程度上弱化了信息安

7、全保护价值观，导致医院信息系统的安全等级保护未能够真正贯彻落实到位。因此必须要重视这些问题的出现，能够要求医院在信息管理工作中，站在价值观的角度和高度上，强化信息系统安全等级管理质量，避免信息技术逻辑、资本逻辑站在了数据信息价值管理的对立面，对患者的个人隐私带来侵害影响。2.2 缺少专业化的信息安全管理人才尽管信息化技术发展具有数几十年的历史，但是在医疗领域中的发展起步相对比较晚，在医院信息安全领域中的建设工作始终存在着缺乏全面性和系统性的现象。尤其在个别医院的信息安全管理工作中，管理人员一般由医务人员所担任，但是这些人员普遍缺乏应有的信息安全管理专业能力，导致医院信息管理水平难以得到有效提升

8、。尽管现如今越来越多医院开始重视信息安全等级保护工作，并大量引进信息技术管理人才，然而整体上普遍缺乏专业化的信息技术安全等级保护的管理人才。因此在医院信息系统安全等级保护工作过程中，要能够重视专业化信息安全管理人员的重要性，能够规范招聘专业人才，为实际管理工作发挥应有的人才支持保障作用。3 关于医院信息系统信息安全等级保护策略与路径的探析3.1 合理设计信息保护计划方案、落实医院信息系统安全等级保护工作医院信息系统信息安全等级保护工作具有较强的系统性特征，这就要求在具体实践落实中，首先应当加强对信息保护设计方案的科学、合理制定。能够结合医院实际发展状况，构建严格的信息安全等级指标，从而确定各方

9、面的信息保护内容，在不断优化工作方向的同时，积极完善信息安全等级保护策略及方案。在此之间既要能够考虑信息等级保护工作的全面性与系统性，还要体现出分域而治原则，在整体管理中加强动态监管质量，促进实际管理工作变得更具可靠性，同时还要能够深度结合医院实际情况，加强推进信息安全等级保护工作，为后期的实践工作打下良好的基础和坚实的保障条件。3.2 结合信息安全保护管理流程规范制定信息安全保护方案为了避免医院信息安全等级保护策略缺乏应有的可操作性价值，就必须要严格结合信息安全保护管理流程，合理制定完善的信息安全保护方案。在规范化的信息等级安全保护管理流程中，需要遵循如下几个方面的内容，方可确保实际信息安全

10、等级保护策略与方案变得更具实效性和规范性。首先要能够合理确定信息安全等级保护内容，能够明确基本的等级对象，在找准关键定位的同时，促进保护工作变得更具精准性和针对性;其次要能够明确信息安全等级管理中存在的风险，加强信息安全保护工作。在这其中，要能够整合分类所收集的信息数据，并构建相应的等级保护指标，形成系统化的信息安全等级保护结构;最后要能够针对初步的信息等级保护方案进行深入探讨与研究，组织专业的研究者和资深的信息技术管理者商榷方案的可行性，能够针对性提出有价值的建议与指导策略，促进所制定的方案变得更具科学性与可行性，从而为后期工作开展打下坚实的基础。3.3 医院信息系统安全等级工作的落实在信息

11、安全保护方案制定完毕后，接下来需要部署落实信息等级安全保护工作，相关人员要积极展开地信息安全管理保护工作，充分发挥保护方案的管理价值，从而提升医院信息安全等级管理水平。从整体上来看，在落实医院信息系统安全等级工作中，可以从如下三个方面内容以加强信息系统安全等级保护管理工作质量：1）信息边界安全防护。在医院信息安全等级保护工作的落实中，要根据不同的信息安全内容和指标构建等级安全保护的边界，采取不同安全防护策略进行有效保护。这就要求信息技术管理人员重视对边界的构建过程，规范设计边界保护屏障，避免不法分子入侵信息安全系统。信息技术管理人员在这其中还要事后总结防范工作，以确保信息安全边界得以真正建立。

12、2）做好信息规划管理工作。在医院信息等级安全保护工作的落实和推进过程中，要能够做好基本的身份鉴定工作，规范采集相关工作人员的电子认证基本信息，严格按照标准要求及流程验证各个数据信息，以便于强化对电子认证基本信息的验证、加密以及保护工作。同时，信息技术管理人员在这其中还要合理设置信息访问权限，避免不法分子潜入医院信息管理系统窃取醫院数据信息，造成数据信息外泄的严重性后果，对保障医院信息安全平台的稳定运作具有极其重要的作用。3）做好数据的备份和恢复工作。在信息安全工作的推进中，要能够及时备份各类信息，同时落实信息系统恢复功能，确保信息数据在丢失的情况下能够完整恢复。这就要求医院招聘专业的计算机人才

13、，加强信息数据库建设工作，在合理设计数据备份与数据恢复的功能系统和操作命令中，加强核心交换设备和运行器上的冗余设计工作，以确保医院信息数据的安全性与可靠性得到进一步提升。4）保证信息系统的安全运维管理质量与水平。医院信息运维管理同样具有十分重要的作用，因而在医院信息安全等级保护工作推进中，信息技术管理人员需要结合PDCA的连续性原则展开运维管理工作，强化对信息系统安全等级保护的动态化监管工作，能够在这其中建立实时化安全预警机制、各类安全防护和应急系统的设置，确保能够在出现信息数据安全问题时，第一时间进行自动化干预工作，发挥应有的协调保护和整体联动优势，助力医院信息等级安全保护工作的可持续性发展。4 结束语医院信息系统信息安全等级保护工作的落实和推进，对医院的良性发展、提高对患者个人隐私权益保护具有十分重要的作用，所以需要高度重视信息系统的信息安全等级保护工作。能够在这其中深入分析现阶段的医院信息安全等级保护工作所存在的主要问题，并针对性采取解决措施以强化保护质量，以促进医院真正迎来长远、可持续发展愿景。Reference：1 黄捷，潘愈嘉，莫禹钧.基于安全感知平台的医院信息安全等级保护整改方案设计J.医学信息学杂志，2020，41（2）：6