◆黎慶嚴(yán)

?

淺析醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全的要害崗位人員管理

◆黎慶嚴(yán)

（玉林市第三人民醫(yī)院 廣西 537001）

隨著醫(yī)院信息化的高速發(fā)展與醫(yī)療體制的深化改革要求，遠(yuǎn)程醫(yī)療、區(qū)域醫(yī)療、互聯(lián)互通、移動(dòng)支付、床邊結(jié)算等新技術(shù)、新業(yè)務(wù)的應(yīng)用，使得醫(yī)院的日常工作和醫(yī)療業(yè)務(wù)與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)全面融合,醫(yī)院對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴(lài)性越來(lái)越強(qiáng)，醫(yī)院的網(wǎng)絡(luò)信息系統(tǒng)也越來(lái)越復(fù)雜。因此，醫(yī)院的網(wǎng)絡(luò)信息系統(tǒng)是否安全、穩(wěn)定、可靠將是決定醫(yī)院醫(yī)療業(yè)務(wù)工作能否正常開(kāi)展的關(guān)鍵所在。本文結(jié)合多年來(lái)本人對(duì)醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的維護(hù)管理工作經(jīng)驗(yàn),對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全的要害崗位管理進(jìn)行淺析。

網(wǎng)絡(luò)安全；要害崗位人員；管理

0 前言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展和醫(yī)療體制深化改革的發(fā)展需要，信息化系統(tǒng)安全措施建設(shè)是否完善與醫(yī)院的生存發(fā)展已息息相關(guān)，緊密的結(jié)合在一起。醫(yī)院之間、醫(yī)院與上下級(jí)之間互聯(lián)互通、區(qū)域資源數(shù)據(jù)共享、網(wǎng)上預(yù)約、網(wǎng)上掛號(hào)、移動(dòng)支付、床邊結(jié)算、遠(yuǎn)程醫(yī)療、遠(yuǎn)程會(huì)診、醫(yī)保結(jié)算等新業(yè)務(wù)、新技術(shù)應(yīng)用使得醫(yī)院的日常工作和醫(yī)療業(yè)務(wù)也與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)全面融合，醫(yī)院對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴(lài)性越來(lái)越強(qiáng)，醫(yī)院的網(wǎng)絡(luò)信息系統(tǒng)也越來(lái)越復(fù)雜。醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全的重要性日益凸顯。近年來(lái)出現(xiàn)的針對(duì)醫(yī)院重要數(shù)據(jù)進(jìn)行加密的勒索病毒事件、黑客攻擊等一些重大安全隱患以及系統(tǒng)設(shè)備故障的發(fā)生，致使某些醫(yī)院系統(tǒng)癱瘓，導(dǎo)致患者無(wú)法正常就診，醫(yī)院的業(yè)務(wù)、秩序受到影響，使得醫(yī)療界對(duì)醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全保障以及地位不得不重新定義。保障醫(yī)院的網(wǎng)絡(luò)信息系統(tǒng)安全、穩(wěn)定、可靠的運(yùn)行，成為醫(yī)院的一項(xiàng)重大工作和政治任務(wù)。網(wǎng)絡(luò)安全的信息系統(tǒng)，除了要有安全的網(wǎng)絡(luò)管理設(shè)備，還要有安全的網(wǎng)絡(luò)管理人員，因此人員的管理也是相當(dāng)重要的，即要害崗位的管理要引以重視。本人以多年從事醫(yī)院信息網(wǎng)絡(luò)管理的經(jīng)驗(yàn)對(duì)要害崗位人員的管理進(jìn)行淺述。

1 信息網(wǎng)絡(luò)管理的要害崗位

信息網(wǎng)絡(luò)管理的要害崗位包括了與醫(yī)院信息系統(tǒng)直接相關(guān)連的一系列崗位，具體有：醫(yī)院信息化系統(tǒng)管理崗位、重要應(yīng)用開(kāi)發(fā)崗位、系統(tǒng)后期維護(hù)、業(yè)務(wù)操作等多個(gè)崗位。而每個(gè)要害崗位負(fù)責(zé)人需承擔(dān)一系列的管理工作。

2 要害崗位人員的管理

2.1 重要崗位人員的選拔是由醫(yī)院人力資源部門(mén)根據(jù)應(yīng)聘要求進(jìn)行嚴(yán)格選擇，并且針對(duì)人員的專(zhuān)業(yè)技能、職業(yè)素養(yǎng)、工作實(shí)踐經(jīng)驗(yàn)等多方面進(jìn)行了全方位的調(diào)查，不合格者不能上崗。用人原則“政治可靠，業(yè)務(wù)素質(zhì)高，遵紀(jì)守法，恪盡職守”，是安全的第一關(guān)。管理人員不安全，談何網(wǎng)絡(luò)安全？對(duì)此，必須要制定針對(duì)要害崗位人員工作內(nèi)容的相關(guān)規(guī)定，用于規(guī)范其在開(kāi)展信息系統(tǒng)工作時(shí)可以承擔(dān)自己應(yīng)負(fù)的責(zé)任。同時(shí)，在開(kāi)展工作前需要依照規(guī)定簽署保密協(xié)議，保證醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全性。

2.2在賦予要害崗位人員權(quán)利時(shí)，可借助權(quán)限分散的方式，這樣既能夠保證在出現(xiàn)問(wèn)題時(shí)可由多人進(jìn)行商討，提高決策的可靠性，也能夠從根本上杜絕因一方權(quán)力獨(dú)大而出現(xiàn)違背職業(yè)道德、影響醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全的行為。同時(shí)，在無(wú)明確書(shū)面文字批準(zhǔn)的情況下，要害崗位工作人員不得兼任醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)開(kāi)發(fā)人員。在此基礎(chǔ)上，醫(yī)院還應(yīng)當(dāng)定期對(duì)要害崗位人員工作進(jìn)行審核，為其提供專(zhuān)業(yè)技能提升機(jī)會(huì)，加強(qiáng)要害崗位人員風(fēng)險(xiǎn)防范意識(shí)。

2.3如果醫(yī)院信息網(wǎng)絡(luò)管理要害崗位人員需要調(diào)離其工作崗位時(shí)，必須要提前辦理調(diào)離手續(xù)，并做好工作的交接，同時(shí)需要簽署離崗保密協(xié)議。涉及對(duì)醫(yī)院網(wǎng)絡(luò)信息安全管理有著直接聯(lián)系的要害崗位人員在進(jìn)行調(diào)離時(shí)，需要接受審計(jì)，并在脫密期結(jié)束后才可依照規(guī)定進(jìn)行調(diào)離。如果是退休，則要及時(shí)將其工作期間應(yīng)用的權(quán)限及帳號(hào)全部注銷(xiāo)。

2.4 要害崗位人員的工作必須要有日志，可追蹤，受審計(jì)監(jiān)督。

3 要害崗位安全責(zé)任

3.1系統(tǒng)管理崗位安全責(zé)任：要害崗位工作人員在進(jìn)行醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全管理時(shí)，必須嚴(yán)格按照工作流程進(jìn)行，同時(shí)要保證所有工作均在自己權(quán)限管理范圍內(nèi)，使整個(gè)系統(tǒng)可正常工作。同時(shí)，要害崗位工作人員還應(yīng)當(dāng)悉心觀察網(wǎng)絡(luò)系統(tǒng)運(yùn)行期間的事項(xiàng)，并做好詳細(xì)記錄。一旦發(fā)現(xiàn)安全隱患，需及時(shí)向信息安全管理人員早報(bào)告，做到早發(fā)現(xiàn)、早治理。除此之外，要害崗位工作人員還應(yīng)當(dāng)對(duì)其他運(yùn)行系統(tǒng)的人員進(jìn)行監(jiān)督，保障醫(yī)院網(wǎng)絡(luò)信息管理的安全。

3.2網(wǎng)絡(luò)管理安全責(zé)任：要害崗位人員要保障醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行的安全性，同時(shí)要嚴(yán)格按照規(guī)定來(lái)規(guī)范網(wǎng)絡(luò)日常訪問(wèn)權(quán)限、運(yùn)行模式、安全管理等。一旦發(fā)現(xiàn)安全隱患，應(yīng)當(dāng)及時(shí)請(qǐng)求信息安全人員的幫助。除此之外，需每天對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行細(xì)致的記錄，以便后期進(jìn)行查詢(xún)使用。

3.3系統(tǒng)開(kāi)發(fā)崗位安全責(zé)任：開(kāi)發(fā)醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)時(shí)，需先將所有系統(tǒng)安全功能做好，并且進(jìn)行反復(fù)運(yùn)行檢驗(yàn)后，方可進(jìn)行應(yīng)用，但在開(kāi)發(fā)期間，不可泄漏有關(guān)醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)相關(guān)的安全技術(shù)。

3.4系統(tǒng)維護(hù)崗位安全責(zé)任：做好醫(yī)院網(wǎng)絡(luò)信息的維護(hù)，在保障系統(tǒng)正常應(yīng)用的情況下，做好安全保密功能。同時(shí)，系統(tǒng)維護(hù)崗位工作人員不得私自改變系統(tǒng)參數(shù)，發(fā)現(xiàn)軟件所存在的安全隱患時(shí)要及時(shí)請(qǐng)求信息安全人員幫助。

3.5 業(yè)務(wù)操作崗位安全責(zé)任：按照系統(tǒng)操作流程開(kāi)展工作，同時(shí)做好安全保障，要害崗位工作人員不能向他人提供自己操作密碼，在發(fā)現(xiàn)系統(tǒng)異常情況時(shí)需及時(shí)報(bào)告系統(tǒng)安全管理人員。熟悉本崗位的業(yè)務(wù)操作流程和操作技能，能快速流暢完成各種業(yè)務(wù)操作。

所有重要崗位人員需嚴(yán)格依照醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全管理?xiàng)l款條例及相關(guān)法律規(guī)定開(kāi)展工作。

3.6 第三方服務(wù)安全責(zé)任管理

3.6.1醫(yī)院第三方服務(wù)主要是指：當(dāng)外部組織人員因一些不確定的原因需要對(duì)醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行訪問(wèn)、操作時(shí)，對(duì)其所提供的服務(wù)項(xiàng)。

3.6.2管理目的：開(kāi)展醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全管理的主要目的便是保障其在被外部人員訪問(wèn)時(shí)，不會(huì)因一些不確定因素的干擾而降低對(duì)系統(tǒng)安全性的管理。與此同時(shí)，在保障醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全的過(guò)程中也能夠?yàn)橥獠吭L問(wèn)人員提供優(yōu)質(zhì)的服務(wù)。

3.6.3第三方服務(wù)安全管理主要內(nèi)容（不限于）：

（1）嚴(yán)格規(guī)定第三方服務(wù)組織必須要簽署保密協(xié)議，保障醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全性，同時(shí)要將安全管理與服務(wù)的水平等內(nèi)容寫(xiě)入保密協(xié)議中；

（2）醫(yī)院網(wǎng)絡(luò)系統(tǒng)中要害信息不允許外部人員訪問(wèn)，除非在得到相關(guān)審核與批準(zhǔn)后，方可在技術(shù)人員的陪同下進(jìn)行訪問(wèn)。

（3）第三方人員不得將其自帶的設(shè)備與醫(yī)院信息系統(tǒng)進(jìn)行相連，必要時(shí)應(yīng)該得到有關(guān)領(lǐng)導(dǎo)特別審批授權(quán)，在陪同技術(shù)人員下操作，并對(duì)其操作進(jìn)行審計(jì)。

（4）對(duì)第三方組織所訪問(wèn)的內(nèi)容要要進(jìn)行權(quán)限限制、監(jiān)控、跟蹤，進(jìn)行安全和風(fēng)險(xiǎn)分析。

4 要害崗位的安全制度管理

完善的要害崗位制度建設(shè)，是保證要害崗位人員操作的規(guī)范，科學(xué)的管理，提高網(wǎng)絡(luò)信息系統(tǒng)安全性的重要保障，同時(shí)也是減少要害崗位人員的誤操作引起安全事故，保證要害崗位人員的人身安全重要措施。在制度面前人人平等，既可以提高要害崗位人員的工作積極性，提高工作效率的同時(shí)保證安全工作的順利開(kāi)展。要害崗位人員管理制度建設(shè)應(yīng)該包括（不限于）：

（1）系統(tǒng)管理崗位管理制度；

（2）網(wǎng)絡(luò)安全管理制度；

（3）開(kāi)發(fā)人員管理制度；

（4）維護(hù)人員管理制度

（5）業(yè)務(wù)操作人員管理制度；

（6）第三方服務(wù)人員管理制度；

5 要害崗位人員培訓(xùn)與教育

信息部門(mén)應(yīng)定期組織要害崗位人員參加下列信息安全知識(shí)和技能培訓(xùn)以及政策學(xué)習(xí)，培訓(xùn)內(nèi)容應(yīng)該包括（不限于）以下內(nèi)容：

（1）信息安全法律法規(guī)及行業(yè)規(guī)章標(biāo)準(zhǔn)的培訓(xùn)；

（2）信息安全基本知識(shí)的培訓(xùn)；

（3）信息安全專(zhuān)門(mén)技能的培訓(xùn)；

（4）定期接受政治思想教育、職業(yè)道德教育和安全保密教育。

6 要害崗位人員的考核管理

考核是檢驗(yàn)人員能力的重要手段，考核也是促進(jìn)員工主動(dòng)學(xué)習(xí)的手段。

（1）首先要建設(shè)安全管理考核領(lǐng)導(dǎo)小組，負(fù)責(zé)制訂考核辦法以及考核標(biāo)準(zhǔn)。

（2）崗位要害人員必須定期接受安全知識(shí)、業(yè)務(wù)能力、職業(yè)道德、政治思想素質(zhì)、保密知識(shí)的考核。

（3）考核不合格的人員必須換崗位或離崗培訓(xùn)，考核合格方可重新上崗，不合格者調(diào)離崗位。

7 結(jié)束語(yǔ)

完善的信息網(wǎng)絡(luò)系統(tǒng)要害崗位安全管理，是保證醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全、可靠以及高效、穩(wěn)定地運(yùn)行，是網(wǎng)絡(luò)信息管理中心工作的關(guān)鍵。醫(yī)院信息系統(tǒng)建設(shè)過(guò)程中，實(shí)現(xiàn)整個(gè)信息系統(tǒng)及網(wǎng)絡(luò)的安全，保障信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行是整個(gè)網(wǎng)絡(luò)信息化建設(shè)的根本。信息網(wǎng)絡(luò)安全防范不可能是一勞永逸的，信息網(wǎng)絡(luò)安全的建設(shè)也只是個(gè)逐漸完善的過(guò)程已而，安全建設(shè)永遠(yuǎn)在路上。制定和完善科學(xué)的安全管理制度，提升要害崗位人員的業(yè)務(wù)素質(zhì)和政治思想素質(zhì)，是保證醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全、可靠以及高效運(yùn)行的手段，只有抓好了要害崗位的人員管理，才能構(gòu)建一個(gè)安全、穩(wěn)定、高效的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)。

[1]程兆生.影響醫(yī)院網(wǎng)絡(luò)安全的非技術(shù)性因素[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[2]盧長(zhǎng)偉，趙浩宇，李景波.醫(yī)院網(wǎng)絡(luò)安全管理方案與措施[J].中國(guó)醫(yī)院管理，2017.

[3]朱曉慶.醫(yī)院網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)與防范措施探究[J].信息與電腦（理論版），2016.

[4]陳宏.醫(yī)院網(wǎng)絡(luò)管理技術(shù)分析[J].信息與電腦（理論版），2015.