隨著“互聯網+醫療”及移動醫療的發展�����,基于互聯網的醫療服務軟件如雨后春筍��,越來越多���。各種醫療創新應用從互聯網和電信網接入醫院信息網絡和系統,逐漸打破醫院原來相對封閉的網絡�。但目前所有的醫療服務改革和創新并沒有增加優良醫療資源����,也就是說“互聯網+醫療”并未增加大醫院的有經驗的醫生數量�,類似于“九寨溝”這個著名景點,開始時路不好走�,修高速����、機場���,使達到景區的路越來越多����、越來越快�����,但景點的最大接待能力是固定的���,不會隨著路的寬度增加而增加�����。當路寬到一定程度����,景區就要限制同時進入的人數��,人們就會想方設法進入景區�。當這些路變成獲取醫生資源的各種應用系統�����,維護“道路”安全和“景區”安全的信息安全比封閉系統要難得多����,面臨的風險要大的多�。
近年來��,大醫院預約掛號�、移動支付���、藥品配送、互聯網在線診療等方便患者就醫的醫療服務模式創新越來越多�����。醫院或第三方互聯網服務提供商通過搭建網站�����、移動APP等應用,與銀行���、社保、藥品供應商��、應用服務提供商等單位互聯互通���,向患者提供遠程在線或離線醫療咨詢��、診斷����,進而下達處方醫囑��,提供病歷瀏覽���、檢查檢驗報告查閱等應用����。這些應用服務均要求醫院向外打開原來相對封閉的信息之門�,向醫院信息墻壁之外敞開大門�。
任何的安全事件所導致的醫院業務系統宕機、信息泄露����、信息詐騙等都會降低患者的就醫滿意度�,損害醫院的信譽,處理不當則可能會引起醫患糾紛、法律問題甚至社會問題。醫院物理安全做的相對較好����,但關鍵系統的網絡安全、主機安全�����、應用安全�����、數據安全等達到三級較難���。分析當前三甲醫院面臨的主要信息安全問題有:
1.大型三甲醫院擁有的醫療資源信息 �、患者診療信息更加具有商業價值,越來約得到灰色產業鏈的覬覦���。
2.隨著醫院信息系統與外部道路連通的道路越來越多��,越來越寬,醫療信息安全已經不只是傳統的病毒���、內部網絡和機房、服務器�、數據庫等, 防范來自外部的威脅是醫院信息安全面對的一個極其嚴峻的挑戰��。
3.醫院相對于銀行�、大型企業安全意識淡薄�,管理制度不完善���,現有薄弱的安全管理制度落實欠到位����。同時來自于內部人為失誤����、蓄意破壞和信息竊取也難于防范����。
4.醫院基本上未明確設置可操作的信息安全管理部門、信息安全崗位和崗位職責��,也缺乏專業的信息安全技術人員,因此即使有信息安全管理制度��, 也很難起到真正的作用���。
5.醫院信息安全保障的投入����、信息安全存在的隱患及可能造成的損失評估�,應簡單進行投入產出分析,不是有信息安全崗位就要求不能出信息安全問題。類似于有了公安部門和醫院保衛處��,是否就不會發生違法事件?
面對外部網絡威脅的擔憂�����、醫院信息安全整體意識的薄弱以及醫療信息安全法律法規本身和對其依從性欠完備�����,束縛了醫院信息部門對于醫院醫療服務互聯網化發展的創新性應用�,遜色于電商、銀行等其他行業�����。
2以醫院信息安全等級保護工作為抓手����,推進醫院信息安全體系建設
信息安全的外延和內涵有很多�,大部分醫院在建設信息系統的同時主要關注了物理安全和部分其他安全產品�����,主要是網絡版防病毒��、隔離外部網絡的防火墻�����、入侵檢測、終端準入控制���、內網與互聯網數據交換的網閘等���������;旧夏鼙WC相對封閉的醫院信息網絡安全。但面對新的挑戰,為了系統性的有步驟�����、有條理的開展信息安全工作,可按照原國家衛生部印發的衛辦發〔2011〕85號《衛生行業信息安全等級保護工作的指導意見》(以下簡稱《指導意見》)開展信息安全體系建設。
1.開展等級保護工作 《指導意見》中非常明確的說明定級備案�����、整改、整改后的測評工作和要求。由于定級備案����、整改方案需要熟知信息安全專業知識和有經驗的技術人員����,醫院可委托專業的信息安全服務商協助完成差距測評工作��,一方面可以通過差距測評找出醫院需要測評的系統與所定級之間的差距,同時服務商會提供整改方案��,醫院可參考此方案進行后續整改工作���。
2.醫院關鍵系統的選擇 《指導意見》中規定三甲醫院核心業務系統等級不能低于三級��。醫院可以把對患者提供關鍵服務的和具有商業價值的系統,如HIS�、EMR定成三級����,醫院的門戶網站�、APP等互聯網應用系統的定級級別可以根據在其上承載的為患者提供醫療服務的多少或重要程度確定二級或三級。
3. 安全服務外包 信息安全是非常專業的綜合學科��,需要計算機網絡�����、計算機軟硬件���、通訊、密碼�����、互聯網等多學科知識�。醫院很難配備足夠的相應專業的信息安全人員。因此�,可以考慮將安全服務外包��,與安全服務商簽訂年度服務協議,彌補醫院專業安全技術人員的缺失,最大程度保證醫院信息安全�。
4.信息安全建設的PDCA PDCA持續改進質量環同樣適用于醫院信息安全工作。醫院信息系統的軟硬件變更較為頻繁�,信息安全的評估、部署應用及分析整改的循環過程應納入信息化日常工作�����。例如�����,原來信息系統中有收費系統�,當新增自助機收費��、支付寶微信移動自助收費���,在制定實現技術方案時要有配套的安全方案,并在上線前進行安全評估,安全評估通過后才能上線��。系統安全方案和上線安全評估可由醫院信息安全管理員協調系統提供商和安全服務廠商一起完成�����。如果是對已定級備案的系統更改����,可按照所定級別進行評估;對于新上線的系統�,省衛生計生委下發的文件粵衛辦函[2016]71號《關于做好信息系統安全等級測評與備案工作的通知》中要求須經等級保護測評合格并進行報批備案后方可投入使用�。另外��,醫院每年在對等保三級系統測評前也需要進行差評和整改,以保證每個三級系統驗收通過。按照PDCA的做法可以提升并保持醫院安全防護能力�。
5.提高全員安全意識 信息安全產品可以用家里的防盜門來比喻����,首先要在每個出入口安裝防盜門����,其次��,人員進出要確保關好防盜門�����。再安全的防盜門,如果沒有關好����,也是形同虛設��。也需要防范正常進入的外人從內部進行破壞�����。因此,醫院信息安全不是哪個人或哪個部門的事���,醫院日常信息系統管理、建設、使用����、運維和對信息安全制度的依從,都是信息安全的一部分���,信息系統的每個建設者��、使用者�����、管理者都是信息安全的守護者。要對醫院系統使用者加強安全教育��,
1.何時需要重新定級。醫院信息系統隨著業務需求的變化而變化�,因此醫院信息系統安全等級按照國家《信息系統安全保護等級定級指南》GB-T22240-2008中“6 等級變更”的要求�,隨著信息系統所處理的信息和業務狀態的變化進行適當的變更�,尤其是當系統改變可能影響其安全保護等級時���,應根據《定級指南》的定級方法重新定級�。
2.制定可操作的信息安全制度�,并配備信息安全管理崗位�����。《信息系統安全等級保護基本要求》(GBT22239-2008)第一級中安全管理機構的崗位設置要求除網絡管理員、系統管理員崗位之外�,設立安全管理員崗位,但并未要求不同人不同崗�����。即使是一人多崗,也要遵守不同崗位制度�����。第二級安全管理機構條款要求安全崗位分設安全主管、安全管理等各方面負責人崗位�,并且要求安全管理員不能兼任網絡管理員���、系統管理員�����、數據庫管理員等。第三級安全管理機構要求成立指導和管理信息安全工作的委員會或領導小組����,并制定文件明確安全管理機構各部門和崗位的職責、分工和技能要求�。同時應聘請信息安全專家作為常年的安全顧問�����,指導信息安全建設����,參與安全規劃和安全評審��。同時各級對最基本的人員的錄用、離崗�;產品采購�����、自行軟件開發�、外包軟件開發等都有明確要求����。
目前醫院定級最高基本為三級���。因此醫院要按照系統所定級別要求,制定符合醫院實際運行的有效的各種類信息安全制度,使得醫院網絡建設�、信息系統建設�、終端設備部署等都有實際可依從的可操作的流程����,信息安全管理機構各部門和各責任人能夠按照制度執行����。
3.安全服務商的選擇。隨著醫院信息系統對外逐漸開放,醫院信息安全面臨的挑戰越來越嚴峻�,醫院需要可信的信息安全服務商提供咨詢和安全保障。對于安全服務商的選擇,《信息系統安全等級保護基本要求》針對不同等級有明確的安全服務商選擇條款,醫院可根據系統定級遵照對應的要求執行�����。此外����,醫院在與安全服務商簽訂服務協議時要根據醫療信息安全的行業特點,如患者隱私���、醫藥信息等��,與安全服務商約定保密和安全責任�����。
信息安全永遠在路上。醫院要將信息和信息系統歸類,從制度、人員����、安全產品等各方面�����,做到事前、事中�����、事后循環持續改進的信息安全多級管控。
作者:嚴靜東 單位:南方醫科大學南方醫院
|
