陳思成

岑溪市人民醫(yī)院 廣西岑溪 543200

醫(yī)院信息系統(tǒng)安全體系建設(shè)不僅需要從管理員意識、管理員技術(shù)，以及政府管理政策方面進(jìn)行努力，還需要不斷地從實(shí)踐中總結(jié)經(jīng)驗(yàn)，實(shí)現(xiàn)自身的進(jìn)一步完善。當(dāng)下醫(yī)療行業(yè)的信息安全保障要求以及醫(yī)療活動中風(fēng)險處理體系建設(shè)都不斷得到落實(shí)，大數(shù)據(jù)時代下，技術(shù)不斷滲透到信息化建設(shè)中，醫(yī)院應(yīng)本著與時俱進(jìn)、與國家各個領(lǐng)域同步建設(shè)的原則，在信息系統(tǒng)新建、改建、擴(kuò)建時同步規(guī)劃和設(shè)計安全方案，實(shí)現(xiàn)一體化的信息安全保障機(jī)制的建設(shè)，促進(jìn)自身安全體系建設(shè)及我國醫(yī)療行業(yè)的健康發(fā)展。堅持信息安全等級保護(hù)原則，進(jìn)一步完善信息系統(tǒng)工作和安全保護(hù)措施，保障醫(yī)院信息安全是醫(yī)療行業(yè)信息安全保護(hù)發(fā)展的主要方向。

1 信息安全等級保護(hù)級別劃分

依據(jù)GB17859-1999，“根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，以及信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益，以及公民、法人和其他組織的合法權(quán)益的危害程度等因素”，將信息系統(tǒng)安全等級由低到高分為自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)、專控保護(hù)五個級別。同時規(guī)定了計算機(jī)信息系統(tǒng)安全保護(hù)能力的五個級別。第一級：用戶自主保護(hù)級；第二級：系統(tǒng)審計保護(hù)級；第三級：安全標(biāo)記保護(hù)級；第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗(yàn)證保護(hù)級。針對每個級別，詳細(xì)列出了等級劃分準(zhǔn)則，其本質(zhì)是要明確重點(diǎn)、確保重點(diǎn)、標(biāo)準(zhǔn)管理[1]。

2 醫(yī)院信息系統(tǒng)信息安全等級保護(hù)的重要性

上文簡單介紹了信息安全等級保護(hù)的基本工作，不同領(lǐng)域都有各自的信息保護(hù)系統(tǒng)，醫(yī)院也不例外，信息安全等級保護(hù)工作對保障醫(yī)院信息安全具有重要意義。首先，醫(yī)院等級保護(hù)工作不僅是對醫(yī)院產(chǎn)品進(jìn)行安全保障，其次，還對醫(yī)院信息及重要工作內(nèi)容進(jìn)行安全管理。

作為保障醫(yī)院資料信息安全的重要措施和醫(yī)院信息系統(tǒng)正常運(yùn)行的有效方法，首先，信息安全等級保護(hù)可對私人信息進(jìn)行有效保障。其次，其可以有效監(jiān)督信息傳輸過程中危險因素，發(fā)現(xiàn)信息管理的安全隱患，從而進(jìn)行更加標(biāo)準(zhǔn)化的建設(shè)監(jiān)督，提升信息管理工作的高效性。可以說等級保護(hù)是信息安全體系中最基本的管理措施，在信息時代，將信息安全等級保護(hù)落實(shí)到每個行業(yè)的制度管理中意義非凡，在醫(yī)療行業(yè)其重要性更是不容置疑。

醫(yī)療行業(yè)的信息數(shù)量龐大，信息儲存與傳輸工作量極大，若缺乏合理的信息管理策略，則很容易造成醫(yī)療信息的雜亂無序甚至導(dǎo)致致命性的錯誤，影響醫(yī)療決策的準(zhǔn)確性。

因此，在醫(yī)療信息數(shù)據(jù)傳輸過程中，信息安全等級保護(hù)借助網(wǎng)絡(luò)的便捷性，可有效防止醫(yī)院或者病人的私密信息泄露，減少網(wǎng)絡(luò)傳輸?shù)陌踩[患，確保醫(yī)院信息的安全性與隱私性，保障醫(yī)療信息體系的健康運(yùn)行，促進(jìn)醫(yī)院信息化建設(shè)；同時，信息安全等級保護(hù)還可有效減少醫(yī)患糾紛，保障醫(yī)院的經(jīng)濟(jì)利益和名譽(yù)。所以，醫(yī)院重視信息安全等級保護(hù)工作，具有重要的現(xiàn)實(shí)意義[2]。

3 醫(yī)院信息系統(tǒng)信息安全等級保護(hù)的改善措施

3.1 信息安全規(guī)劃

通過對信息系統(tǒng)安全狀況和風(fēng)險評估結(jié)果進(jìn)行詳細(xì)分析，明確與國家信息安全等保要求的差距，確定安全需求，完成了《信息安全等保差距分析報告》，然后依據(jù)測評報告的問題處置建議，制定出合理的總體安全規(guī)劃和整改方案，遵循這個方案，列出了可能的信息安全問題和風(fēng)險應(yīng)對措施。在信息安全整改過程中，要遵循“非法用戶進(jìn)不來、無權(quán)用戶看不到、重要內(nèi)容改不了、數(shù)據(jù)操作賴不掉”等原則開展，以保證該工作能在可接受的安全偏差范圍內(nèi)完成。

3.2 增強(qiáng)數(shù)據(jù)采集、檢測、分析技術(shù)

通過對以上監(jiān)管技術(shù)的現(xiàn)狀分析，可以看出目前沒有對信息系統(tǒng)數(shù)據(jù)高級分析技術(shù)進(jìn)行強(qiáng)制性要求，不能對數(shù)據(jù)進(jìn)行有效的挖掘分析和監(jiān)管。

建議明確增加部署安全管理平臺（SOC）等技術(shù)，通過日志收集、日志分析系統(tǒng)，分析信息系統(tǒng)相關(guān)信息，針對風(fēng)險點(diǎn)給出專業(yè)建議，用于支撐安全監(jiān)測的數(shù)據(jù)采集、挖掘與分析技術(shù)；通過安全管理分析平臺，建立與等保專家專業(yè)知識庫對應(yīng)的分析方法，自動搜集系統(tǒng)漏洞、網(wǎng)站漏洞、數(shù)據(jù)庫漏洞、操作系統(tǒng)漏洞，用于支撐安全監(jiān)管的敏感數(shù)據(jù)保護(hù)、安全態(tài)勢評估、安全事件關(guān)聯(lián)分析、安全績效評估等技術(shù)。

3.3 提高信息安全等級保護(hù)技術(shù)

我國信息安全等級保護(hù)技術(shù)還存在許多不足，再加上信息安全保護(hù)工作較為繁瑣，信息安全保障覆蓋面廣，其廣泛覆蓋醫(yī)院網(wǎng)絡(luò)安全、信息系統(tǒng)安全、軟件應(yīng)用安全、管理工作安全等方面，因此，我國醫(yī)院信息安全等級保護(hù)工作還不夠完善，醫(yī)院若想全面保障醫(yī)院系統(tǒng)信息安全，則需要根據(jù)醫(yī)院信息安全保障工作的實(shí)際需要不斷采取有效措施。首先，醫(yī)院信息安全管理人員要不斷提升自己的信息安全等級保護(hù)技術(shù)，熟練地構(gòu)建安全保護(hù)框架，提高信息安全保護(hù)工作的及時性與高效性，對醫(yī)院信息安全系統(tǒng)進(jìn)行嚴(yán)格的監(jiān)督，及時發(fā)現(xiàn)醫(yī)院信息安全管理各個方面可能存在的隱患，對風(fēng)險進(jìn)行及時妥善的處理，以滿足醫(yī)院信息系統(tǒng)最基本安全需求。其次，應(yīng)重視網(wǎng)絡(luò)信息人才的培養(yǎng)，招聘時應(yīng)適當(dāng)關(guān)注應(yīng)聘人員的計算機(jī)知識能力狀況，對醫(yī)院工作人員，可以進(jìn)行計算機(jī)培訓(xùn)。做到重要崗位的工作人員具備相應(yīng)的工作能力。

4 結(jié)論

信息安全是醫(yī)療行業(yè)信息系統(tǒng)穩(wěn)定運(yùn)行的重要保障，一旦發(fā)生網(wǎng)絡(luò)故障、數(shù)據(jù)丟失、數(shù)據(jù)泄漏等信息系統(tǒng)信息安全事件，將給衛(wèi)生行業(yè)帶來難以彌補(bǔ)的損失。信息安全等級保護(hù)，應(yīng)當(dāng)不斷完善其技術(shù)標(biāo)準(zhǔn)，以適應(yīng)滿足“云”“大”“物”“移”技術(shù)在衛(wèi)生行業(yè)信息安全的需求。