張曉娟

摘要：信息化工程建設(shè)主要包含企業(yè)網(wǎng)絡(luò)信息基礎(chǔ)配套設(shè)施體系建設(shè)和企業(yè)信息安全體系建設(shè)。目前，隨著我國(guó)深入推進(jìn)建設(shè)國(guó)家信息化工程，信息安全愈發(fā)得到企業(yè)重視。等級(jí)保護(hù)指的也就是對(duì)于信息安全不同等級(jí)的保護(hù)，即對(duì)電子信息和其他信息應(yīng)用載體按照信息重要性不同別進(jìn)行安全保護(hù)，等級(jí)保護(hù)是很多發(fā)達(dá)國(guó)家都普遍存在的一種用于信息安全應(yīng)用領(lǐng)域的保護(hù)工作。本文基于上海市徐匯區(qū)血液管理辦公室信息安全等級(jí)保護(hù)，對(duì)信息系統(tǒng)安全等級(jí)保護(hù)進(jìn)行了分析。

關(guān)鍵詞：等級(jí)保護(hù);信息系統(tǒng);項(xiàng)目管理

隨著信息化飛速發(fā)展，使得醫(yī)療機(jī)構(gòu)運(yùn)作模式逐漸由傳統(tǒng)醫(yī)療轉(zhuǎn)向現(xiàn)代化醫(yī)療，目前，上海市徐匯區(qū)血液管理辦公室信息安全建設(shè)趨于完善，信息系統(tǒng)安全配置逐漸到位，用戶鑒別、病毒防殺、設(shè)備冗余、數(shù)據(jù)備份技術(shù)逐漸成熟，相關(guān)安全管理制度及安全人員培訓(xùn)逐步到位，信息系統(tǒng)的安全防護(hù)能力也逐年上升。

一、信息系統(tǒng)安全等級(jí)保護(hù)及其重要性分析

（一）信息系統(tǒng)安全等級(jí)保護(hù)

醫(yī)療領(lǐng)域信息安全等級(jí)根據(jù)信息系統(tǒng)在遭到他人嚴(yán)重破壞后造成的危害程度，將有關(guān)國(guó)家網(wǎng)絡(luò)信息系統(tǒng)保護(hù)級(jí)別由低到高分為自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)、?？乇Ｗo(hù)5個(gè)等級(jí)，信息安全包括技術(shù)與管理兩方面。

（二）重要性分析

國(guó)家信息安全水平高低，直接關(guān)系著整個(gè)國(guó)家的人民安全、社會(huì)治安穩(wěn)定和全民利益。其核心在于系統(tǒng)安全、建設(shè)、采集管理和保護(hù)監(jiān)督。做好這些工作，對(duì)建立信息安全保護(hù)機(jī)制具有重大意義。

1.可以降低風(fēng)險(xiǎn)，提高防護(hù)能力

實(shí)施信息安全等級(jí)保護(hù)制度有利于建設(shè)信息化，同時(shí)可以促進(jìn)信息化建設(shè)與信息安全相協(xié)調(diào)，有效控制信息安全建設(shè)成本。如果重視安全工作，按照規(guī)定辦理了等保業(yè)務(wù)，購(gòu)買了相關(guān)網(wǎng)絡(luò)安全設(shè)備，就可以合理的規(guī)避或者降低風(fēng)險(xiǎn)，切實(shí)保障用戶信息安全。為此，上海市徐匯區(qū)血液管理辦公室為保障和促進(jìn)血液中心信息化建設(shè)的健康發(fā)展，也是不斷尋求信息安全的保護(hù)措施。

2.滿足國(guó)家相關(guān)法律法規(guī)和行業(yè)要求

等級(jí)安全保護(hù)政策是目前我國(guó)關(guān)于信息安全的基本保護(hù)政策，且按照規(guī)定下發(fā)了相關(guān)法律法規(guī)，所以認(rèn)真貫徹執(zhí)行國(guó)家政策法律也是非常必要的。這樣不僅可以保證自身信息安全，還有助于提高整個(gè)國(guó)家的信息安全口碑，增加中國(guó)在國(guó)際上的影響力，在數(shù)字時(shí)代信息安全舉足輕重，很多國(guó)家主管單位都被要求設(shè)立等級(jí)客戶部門開展等級(jí)信息保護(hù)管理工作，不做信息等級(jí)保護(hù)就沒有辦法向相關(guān)主管單位或行業(yè)領(lǐng)導(dǎo)交代。

二、項(xiàng)目管理的要求與過程

與發(fā)達(dá)國(guó)家相比，我國(guó)衛(wèi)生行業(yè)的信息安全管理領(lǐng)域的工作推進(jìn)還處于起步階段。如信息系統(tǒng)在部署和應(yīng)用上不規(guī)范、網(wǎng)絡(luò)規(guī)劃不合理、信息安全應(yīng)急體系不健全、信息安全人才“產(chǎn)能”與實(shí)際需求相差太大，造成了信息泄漏不斷、移動(dòng)互聯(lián)網(wǎng)惡意程序增加、網(wǎng)絡(luò)攻擊數(shù)量增加、攻擊方式升級(jí)、信息泄露損失更加嚴(yán)重。為此，需要不斷嚴(yán)格要求信息安全管理的項(xiàng)目式實(shí)施。用一句話可以概括項(xiàng)目管理五大關(guān)鍵過程組：?jiǎn)?dòng)過程組：主要作用也就是啟動(dòng)設(shè)定監(jiān)控項(xiàng)目前期目標(biāo)，讓監(jiān)控項(xiàng)目管理團(tuán)隊(duì)有所作為;規(guī)劃過程組：主要作用也就是跟蹤制定前期工作計(jì)劃路線，讓監(jiān)控項(xiàng)目管理團(tuán)隊(duì)"有法可依";執(zhí)行過程組：主要作用也就是"按圖索驥"，讓監(jiān)控項(xiàng)目管理團(tuán)隊(duì)"有法必依";監(jiān)控過程組：主要作用也就是跟蹤測(cè)量前期項(xiàng)目管理績(jī)效，讓監(jiān)控項(xiàng)目管理團(tuán)隊(duì)"違法必究"，并且盡量堅(jiān)持做到"防患于未然";收尾過程組：主要作用也就是解決項(xiàng)目開展過程中的所有遺留問題，確保整個(gè)項(xiàng)目圓滿完成。

（一）啟動(dòng)過程組

項(xiàng)目開始階段是一個(gè)最重要的階段。需要充分明確信息系統(tǒng)安全防護(hù)等級(jí)如何保護(hù)并初級(jí)定級(jí)，才能順利啟動(dòng)企業(yè)項(xiàng)目前期建設(shè)，要盡可能地多從各個(gè)方面深入了解一個(gè)項(xiàng)目的具體情況，如：這個(gè)企業(yè)項(xiàng)目到底是什么樣的項(xiàng)目，具體大概需要做什么樣的事情，是誰的人提出定下來的，目的也就是需要解決什么樣的問題。不要只能根據(jù)一個(gè)項(xiàng)目的具體名稱望文生義地讓人去準(zhǔn)確想象一個(gè)項(xiàng)目的建設(shè)目標(biāo)。前期需要了解項(xiàng)目情況的準(zhǔn)備工作越詳細(xì)，應(yīng)對(duì)突發(fā)情況就越順利，項(xiàng)目的建設(shè)風(fēng)險(xiǎn)就越小。

（二）項(xiàng)目管理的計(jì)劃過程組

1.范圍規(guī)劃

記錄并詳細(xì)分析當(dāng)前管理產(chǎn)品項(xiàng)目工作干系中對(duì)負(fù)責(zé)人的管理項(xiàng)目工作需要和管理產(chǎn)品項(xiàng)目需求，對(duì)重新確定管理項(xiàng)目和產(chǎn)品相關(guān)管理產(chǎn)品項(xiàng)目需求需要進(jìn)行詳細(xì)的管理項(xiàng)目需求描述，形成管理項(xiàng)目工作范圍區(qū)域控制進(jìn)度說明書。最后需要注意創(chuàng)建項(xiàng)目范圍控制把整個(gè)項(xiàng)目工作區(qū)域范圍控制分解成更小的，更完全的且易于獨(dú)立組織進(jìn)行管理的幾個(gè)項(xiàng)目工作區(qū)域范圍控制單元，最后需要明確做到管理項(xiàng)目工作范圍的確認(rèn)，重新確定進(jìn)行項(xiàng)目整改。最后也不要忽略項(xiàng)目工作區(qū)域范圍控制進(jìn)度管理控制的項(xiàng)目工作范圍重要性，做好管理項(xiàng)目工作范圍進(jìn)度控制組織管理工作，避免出現(xiàn)項(xiàng)目工作區(qū)域范圍不斷變化蔓延的尷尬情況。

2.成本控制

在不影響項(xiàng)目質(zhì)量的前提下盡可能的節(jié)約成本，制定科學(xué)合理的成本計(jì)劃，進(jìn)行成本估算、預(yù)算、控制。成本估算是在項(xiàng)目開啟前根據(jù)市場(chǎng)價(jià)格進(jìn)行價(jià)格預(yù)算。一個(gè)項(xiàng)目中的成本前期管理控制預(yù)算：對(duì)已經(jīng)基本完成了但沒有足夠本錢的一個(gè)項(xiàng)目那就需要及時(shí)作出一個(gè)比較精確的項(xiàng)目成本管理預(yù)算，進(jìn)行合理的預(yù)花錢。發(fā)現(xiàn)項(xiàng)目前期成本存在問題管理控制：對(duì)一個(gè)項(xiàng)目前期成本存在問題需要進(jìn)行有效成本控制，發(fā)現(xiàn)項(xiàng)目成本存在問題及時(shí)糾正。

3.質(zhì)量規(guī)劃與風(fēng)險(xiǎn)把控

編寫一個(gè)項(xiàng)目質(zhì)量執(zhí)行管理目標(biāo)計(jì)劃，描述本一個(gè)項(xiàng)目的產(chǎn)品質(zhì)量標(biāo)準(zhǔn)，并詳細(xì)記錄如何才能達(dá)到這個(gè)質(zhì)量標(biāo)準(zhǔn)。產(chǎn)品質(zhì)量保證就是按照一定標(biāo)準(zhǔn)進(jìn)行生產(chǎn)，在產(chǎn)品成功售出后對(duì)客戶提供質(zhì)量承諾，提供售后服務(wù)，產(chǎn)品質(zhì)量管理控制就是查看目前的產(chǎn)品質(zhì)量管理情況，如果發(fā)現(xiàn)有任何問題，進(jìn)行主要原因調(diào)查分析，并對(duì)其進(jìn)行修正，以利于達(dá)到新的質(zhì)量管理要求。

如何進(jìn)行項(xiàng)目風(fēng)險(xiǎn)管理的內(nèi)容，識(shí)別這個(gè)新的項(xiàng)目里到底存在有哪些項(xiàng)目風(fēng)險(xiǎn)，對(duì)每個(gè)風(fēng)險(xiǎn)級(jí)別進(jìn)行一個(gè)優(yōu)先級(jí)的風(fēng)險(xiǎn)排序，對(duì)不確定性項(xiàng)目風(fēng)險(xiǎn)進(jìn)行分析之后的風(fēng)險(xiǎn)排序在前的一些項(xiàng)目風(fēng)險(xiǎn)，進(jìn)行一個(gè)具體量化的風(fēng)險(xiǎn)計(jì)算，求得一個(gè)具體的風(fēng)險(xiǎn)數(shù)字。還有就需要在我們項(xiàng)目的整個(gè)管理中不斷的檢測(cè)跟蹤已經(jīng)被識(shí)別到的風(fēng)險(xiǎn)，檢測(cè)一些可能殘余的項(xiàng)目風(fēng)險(xiǎn)，還要不斷識(shí)別新的一些風(fēng)險(xiǎn)，并對(duì)其進(jìn)行風(fēng)險(xiǎn)審計(jì)，評(píng)估我們之前的管理效果。

4.人力資源計(jì)劃

根據(jù)管理計(jì)劃的具體要求，通過一些團(tuán)隊(duì)方式，比如組建虛擬項(xiàng)目團(tuán)隊(duì)，采購(gòu)項(xiàng)目談判等，實(shí)現(xiàn)人員分派的團(tuán)隊(duì)方式管理來進(jìn)行組建一個(gè)項(xiàng)目管理團(tuán)隊(duì)。改變?nèi)藛T之間關(guān)系，提高團(tuán)隊(duì)意識(shí)、凝聚團(tuán)隊(duì)力量，需要通過一些團(tuán)隊(duì)方式管理來進(jìn)行培養(yǎng)如何建設(shè)我們的一個(gè)項(xiàng)目管理團(tuán)隊(duì)，提高項(xiàng)目團(tuán)隊(duì)成員個(gè)人管理技能，改進(jìn)我們團(tuán)隊(duì)的人際協(xié)作，提高團(tuán)隊(duì)的項(xiàng)目整體管理水平，最終優(yōu)化提高項(xiàng)目的團(tuán)隊(duì)建設(shè)。為了跟蹤項(xiàng)目團(tuán)隊(duì)全體成員的工作績(jī)效和提高項(xiàng)目的管理績(jī)效，需要定期進(jìn)行一些績(jī)效反饋，對(duì)利益沖突人員進(jìn)行績(jī)效管理，不斷優(yōu)化提高項(xiàng)目的管理績(jī)效。

5.溝通規(guī)劃

建全溝通渠道以便進(jìn)行多種信息溝通，如以下交互式信息溝通：在兩方或其他多方之間可以進(jìn)行一對(duì)多向多種信息流的交換，包括各種會(huì)議、電話、微信等;把發(fā)送信息同時(shí)發(fā)送給那些需要同時(shí)接收這些發(fā)送信息的特定郵件接收方，推式信息溝通主要包括電子信件、備忘錄、報(bào)告、電子郵件等;而下拉式信息溝通：主要用于處理信息量很大或溝通受眾很多的溝通情況，這種溝通方法主要包括搭建企業(yè)總部?jī)?nèi)網(wǎng)、電子在線培訓(xùn)課程、經(jīng)驗(yàn)教訓(xùn)以及數(shù)據(jù)庫等。

（三）執(zhí)行過程組

執(zhí)行過程組包括完成項(xiàng)目管理計(jì)劃中確定的工作，以滿足項(xiàng)目要求的一組過程。本過程根據(jù)項(xiàng)目計(jì)劃需要執(zhí)行為完成滿足新的項(xiàng)目管理要求、實(shí)現(xiàn)新的項(xiàng)目管理目標(biāo)任務(wù)所需的重要項(xiàng)目管理工作。本過程組主要工作是有效獲取項(xiàng)目資源，開展實(shí)施項(xiàng)目管理計(jì)劃過程中的重要項(xiàng)目管理工作，實(shí)現(xiàn)新的項(xiàng)目管理目標(biāo)。主要研究成果分別是項(xiàng)目工作中的績(jī)效統(tǒng)計(jì)數(shù)據(jù)和項(xiàng)目可預(yù)期交付項(xiàng)目成果。

（四）監(jiān)控過程組

監(jiān)控過程組包括跟蹤、審查和調(diào)整項(xiàng)目進(jìn)展與績(jī)效，識(shí)別必要的項(xiàng)目審批工作計(jì)劃是否進(jìn)行合理變更并及時(shí)重新啟動(dòng)用以處理變更相應(yīng)審批計(jì)劃這是變更的最后一組前期工作管理過程。監(jiān)控過程按既定項(xiàng)目執(zhí)行計(jì)劃對(duì)整個(gè)項(xiàng)目定期進(jìn)行跟蹤測(cè)量和分析，以便于準(zhǔn)確識(shí)別和及時(shí)糾正項(xiàng)目審批工作的重大偏差，以便于保證整個(gè)作業(yè)項(xiàng)目順利完成。

（五）收尾過程組

本過程組旨在核實(shí)為完成項(xiàng)目或階段所需的所有過程組的全部過程均已完成，并正式宣告項(xiàng)目或階段關(guān)閉。本過程組的主要作用是確保恰當(dāng)?shù)仃P(guān)閉項(xiàng)目和合同。該過程組只是用來收集資料、開展項(xiàng)目后評(píng)價(jià)（總結(jié)經(jīng)驗(yàn)教訓(xùn)）和更新組織過程資產(chǎn)。即進(jìn)行行政收尾工作。收尾工作不僅僅針對(duì)項(xiàng)目，也要在每個(gè)階段結(jié)束時(shí)進(jìn)行。

總結(jié)

依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度，遵循相關(guān)標(biāo)準(zhǔn)規(guī)范，全面開展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)等工作，明確信息安全保障重點(diǎn)，落實(shí)信息安全責(zé)任，建立信息安全等級(jí)保護(hù)工作長(zhǎng)效機(jī)制，切實(shí)提高醫(yī)療行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急能力，做好信息安全等級(jí)保護(hù)工作，對(duì)于促進(jìn)血液機(jī)構(gòu)信息化發(fā)展，維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要意義。為此，在安全等級(jí)保護(hù)中必須始終做到“技管并重”，并分別提出了具體的等級(jí)指標(biāo)設(shè)計(jì)要求將大大提升安全保障體系的廣度和深度。

參考文獻(xiàn)：

[1]劉學(xué).信息系統(tǒng)安全等級(jí)保護(hù)能力構(gòu)成框架分析研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（2）：2.