医院信息系统信息安全等级保护的实施探讨

2019-12-20陈思成

商品与质量 2019年6期

陈思成

岑溪市人民医院广西岑溪 543200

医院信息系统安全体系建设不仅需要从管理员意识、管理员技术，以及政府管理政策方面进行努力，还需要不断地从实践中总结经验，实现自身的进一步完善。当下医疗行业的信息安全保障要求以及医疗活动中风险处理体系建设都不断得到落实，大数据时代下，技术不断渗透到信息化建设中，医院应本着与时俱进、与国家各个领域同步建设的原则，在信息系统新建、改建、扩建时同步规划和设计安全方案，实现一体化的信息安全保障机制的建设，促进自身安全体系建设及我国医疗行业的健康发展。坚持信息安全等级保护原则，进一步完善信息系统工作和安全保护措施，保障医院信息安全是医疗行业信息安全保护发展的主要方向。

1 信息安全等级保护级别划分

依据GB17859-1999，“根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统遭到破坏后对国家安全、社会秩序、公共利益，以及公民、法人和其他组织的合法权益的危害程度等因素”，将信息系统安全等级由低到高分为自主保护、指导保护、监督保护、强制保护、专控保护五个级别。同时规定了计算机信息系统安全保护能力的五个级别。第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级第五级：访问验证保护级。针对每个级别，详细列出了等级划分准则，其本质是要明确重点、确保重点、标准管理[1]。

2 医院信息系统信息安全等级保护的重要性

上文简单介绍了信息安全等级保护的基本工作，不同领域都有各自的信息保护系统，医院也不例外，信息安全等级保护工作对保障医院信息安全具有重要意义。首先，医院等级保护工作不仅是对医院产品进行安全保障，其次，还对医院信息及重要工作内容进行安全管理。

作为保障医院资料信息安全的重要措施和医院信息系统正常运行的有效方法，首先，信息安全等级保护可对私人信息进行有效保障。其次，其可以有效监督信息传输过程中危险因素，发现信息管理的安全隐患，从而进行更加标准化的建设监督，提升信息管理工作的高效性。可以说等级保护是信息安全体系中最基本的管理措施，在信息时代，将信息安全等级保护落实到每个行业的制度管理中意义非凡，在医疗行业其重要性更是不容置疑。

医疗行业的信息数量庞大，信息储存与传输工作量极大，若缺乏合理的信息管理策略，则很容易造成医疗信息的杂乱无序甚至导致致命性的错误，影响医疗决策的准确性。

因此，在医疗信息数据传输过程中，信息安全等级保护借助网络的便捷性，可有效防止医院或者病人的私密信息泄露，减少网络传输的安全隐患，确保医院信息的安全性与隐私性，保障医疗信息体系的健康运行，促进医院信息化建设；同时，信息安全等级保护还可有效减少医患纠纷，保障医院的经济利益和名誉。所以，医院重视信息安全等级保护工作，具有重要的现实意义[2]。

3 医院信息系统信息安全等级保护的改善措施

3.1 信息安全规划

通过对信息系统安全状况和风险评估结果进行详细分析，明确与国家信息安全等保要求的差距，确定安全需求，完成了《信息安全等保差距分析报告》，然后依据测评报告的问题处置建议，制定出合理的总体安全规划和整改方案，遵循这个方案，列出了可能的信息安全问题和风险应对措施。在信息安全整改过程中，要遵循“非法用户进不来、无权用户看不到、重要内容改不了、数据操作赖不掉”等原则开展，以保证该工作能在可接受的安全偏差范围内完成。

3.2 增强数据采集、检测、分析技术

通过对以上监管技术的现状分析，可以看出目前没有对信息系统数据高级分析技术进行强制性要求，不能对数据进行有效的挖掘分析和监管。

建议明确增加部署安全管理平台（SOC）等技术，通过日志收集、日志分析系统，分析信息系统相关信息，针对风险点给出专业建议，用于支撑安全监测的数据采集、挖掘与分析技术；通过安全管理分析平台，建立与等保专家专业知识库对应的分析方法，自动搜集系统漏洞、网站漏洞、数据库漏洞、操作系统漏洞，用于支撑安全监管的敏感数据保护、安全态势评估、安全事件关联分析、安全绩效评估等技术。

3.3 提高信息安全等级保护技术

我国信息安全等级保护技术还存在许多不足，再加上信息安全保护工作较为繁琐，信息安全保障覆盖面广，其广泛覆盖医院网络安全、信息系统安全、软件应用安全、管理工作安全等方面，因此，我国医院信息安全等级保护工作还不够完善，医院若想全面保障医院系统信息安全，则需要根据医院信息安全保障工作的实际需要不断采取有效措施。首先，医院信息安全管理人员要不断提升自己的信息安全等级保护技术，熟练地构建安全保护框架，提高信息安全保护工作的及时性与高效性，对医院信息安全系统进行严格的监督，及时发现医院信息安全管理各个方面可能存在的隐患，对风险进行及时妥善的处理，以满足医院信息系统最基本安全需求。其次，应重视网络信息人才的培养，招聘时应适当关注应聘人员的计算机知识能力状况，对医院工作人员，可以进行计算机培训。做到重要岗位的工作人员具备相应的工作能力。