◆李大鹏



基于等级保护要求加强医院信息安全管理

◆李大鹏

（六安市中医院 安徽 237000）

近年来，我国各大医院都开始加大了对信息化建设的投入，从而给患者及医院自身带来了一定的便利。但随着信息系统及其相关信息的不断增加，相应的信息安全问题也开始浮出水面。本文主要针对基于等级保护要求加强医院信息安全管理的内容进行探讨，首先介绍了医院信息安全等级保护的基本内容，然后对信息等级保护的重要性进行了分析，最后对加强医院信息安全建设的有效策略进行了讨论与总结。

等级保护；医院；信息安全；管理

1 医院信息安全等级保护的基本内容

随着信息科学技术的不断发展，各大医院也纷纷开始朝着信息化的方向进行发展，但是在信息技术的应用过程中，极有可能会出现某些信息安全问题，从而造成院内重要信息被破坏甚至被窃取的情况。作为医院信息安全防护的关键方式，信息系统等级保护可以根据相应的等级保护要求，对医院的信息化特点进行分析，并将其安全防护过程中的难点逐一进行解决，从而达到对医院信息安全的保障。

1.1 信息等级保护的基本概念

信息安全等级保护制度的实行使我国的信息安全防护能力得到了一定程度的提高，同时也促进了我国各方面建设的正常进行，使社会的安全性与稳定性得到了相应的保障。在2016年，我国正式颁布并实施了相关的网络安全等级保护制度，其中明确规范了相关的网络安全等级保护制度。医院相应的信息等级保护体系主要包括两个内容：第一，信息安全管理体系，即安全事件管理、安全管理策略和人员安全管理，以及系统运维管理与系统建设管理；第二，信息安全技术，即保证相应的数据、应用、主机、网络、物理安全。

1.2 信息等级保护体系的基本内容

1.2.1 信息安全管理体系的内容

信息安全管理体系的内容主要分为三部分：第一，人员培训规范化。信息安全等级保护工作需要长时间来持续进行，且需要绝对专业的技术人员来进行，然而目前我国各大医院内的相关工作人员在这方面的工作经验很少，且无法短期内做到对相关技术的掌握及熟练操作，因此就要求医院内部做到对相关人员定期进行集中的培训，使他们能够尽快掌握相应的信息安全等级保护技能，从而使医院信息的安全性得到一定的提高。第二，加大对安全管理方面的投入。随着经济的不断发展，大部分医院都已经明显加大了对信息化发展的资金投入，但是目前来看，这些资金通常都投入到了新项目中或是用于维护网络系统的过程中了，在信息安全防护方面投入的资金少之又少甚至部分医院并没有对其的资金投入，从而造成了安全隐患的产生。第三，安全意识的强化。信息安全意识主要指工作人员在信息化的工作过程中时刻保持警戒状态的一种心理，在医院的日常工作中，也应要求全体人员加强自身的信息安全意识，做到对安全问题的时刻戒备，从而有效避免或减少相关问题的发生。

1.2.2 信息安全技术的内容

信息安全技术主要包括五部分内容：第一，数据安全。随着网络信息技术在医院内的广泛应用，目前医院内最主要的财富与资源就是其日常运行的相关数据，因此医院应该针对相关的重要数据进行重点保护工作，并对其进行详细的备份，不断完善相应的备份恢复机制，采取有效的数据安全保障方法，确保数据能够快速进行恢复，同时对相应的信息技术进行利用，做到数据的异地备份以解决各种干扰因素带来的问题，从而避免因数据的丢失对院方的正常工作造成一定的影响。第二，应用安全。目前在应用安全方面最主要的问题就是系统整合后的用户同步。为了解决这一问题，可以通过对系统进行整合，再对相应的用户管理系统进行统一的建立与健全，即设立相应的用户数据库，将系统内的用户信息共同进行储存，并对相对应的用户进行授权，从而使存储统一及逐一授权的目标得到实现。第三，主机安全。即要求院方对所有的服务器进行密码的设置，并定期对其进行网络杀毒，将没有必要的服务端口关闭，并进行科学合理的权限设置，开启相应的安全审计功能，对服务器及管理终端进行监控，从而做到对恶意代码的有效防范。第四，网络安全。作为医院信息化工作的基本内容，网络通信具有覆盖面积较广和端点较为分散的特点，因此成了医院进行等级保护工作过程中的重中之重。通常情况下，等级保护工作都会以当前存在的网络为基础来进行，其基础设施通常都比较固定，在这个过程中主要应该对网络的高效性与合理性进行考虑，从而使网络的安全性与其运行效率能够得到一定程度的提升，从而有效达成信息安全保护工作的目标。同时，还应进行网络安全访问策略的合理制定，并对相应的网络安全设备进行增设，将网络通讯单点等问题尽可能进行消除，从而使网络的高可用性得到一定程度的保障。第五，物理安全，即做好中心机房的防水、防火及防盗等工作，确保其场所的安全性。作为整个医院信息系统的中心区域，中心机房内的物理环境应该进行严格控制，要求其做到双路进行供电，远离水源与电磁干扰等，并严设相应的门禁，对不同人员的进出进行监管及控制，从而避免不法分子随意进出的现象。

2 信息安全等级保护的重要性

随着对信息化的不断利用，医院相关的工作效率得到一定的提高，给医院带来了极大的便利，但同时也带来了相应的信息安全方面的隐患问题，例如2015年10月的澳门山顶医院泄密事件造成了患者的个人资料遍地散落，隐私受到严重的威胁，从而造成了极坏的社会影响，由此可见信息安全等级保护的重要性。从整体的角度来看，医疗服务行业的稳定发展关系到了人民的生活，也对社会的稳定性起到了至关重要的作用，而相应的医疗信息系统则是目前保证医疗服务稳定运行的核心，因此医院信息安全管理的加强对推进我国的信息化建设十分重要。

3 加强医院信息安全建设的有效策略

3.1 建全相应的信息安全管理制度

信息安全管理制度作为信息安全工作总的目标、方针及原则，其建立要求医院结合自身信息安全方面的主要特点来进行，并对医院今后的基本制度以及主要任务作出了规定。同时，要将制度从建立到发布的整个过程的内容进行明确，并定期组织相关的修订及评审工作，从而确保相应信息安全管理制度的完善性，使医院在不断进行信息化发展过程中的需求能够得到相应的满足。

3.2 加强工作人员的专业化考核与培训

信息安全管理工作要求其操作人员具有一定的专业技术水平，因此院方在工作人员的录用与培训等方面要做到以下几点：首先，在录用相关的工作人员时要严格对被录用者进行相应的资格审查，在决定录用后，要求其与院方签订相应的保密协议，且在其离职时，应严格按照相关的流程要求及时收回其在医院内的钥匙、重要证件及账号等；第二，医院应定期对工作人员进行考核，考核的基本内容包括对信息安全认知及技术的考核，从而保证每位工作人员在工作过程中都能履行其保护医院信息安全的责任；第三，医院应定期组织工作人员进行培训，从而使他们的安全意识能够得到一定的提高，同时，应制定并实行科学合理的奖罚制度，从而在一定程度上促进员工的工作积极性并提高他们的安全意识；最后，当外来人员进行访问及参观考察活动时，院方也应严格按照流程来对其审批及授权，从而使医院的顺利运行能够得到相应的保障。

3.3 完善相应的安全管理机构

医院的信息安全管理工作不是单个人或部门能够独立完成的，而是全体在职人员共同努力达到的。因此，医院应该对相关的安全管理机构进行完善，首先应该成立信息化领导小组对院长与书记进行监督管理，接着依次是副院长和信息科科长，然后由信息科科长对系统、网络及安全管理组长进行管理，并分配给各个管理组长相应的管理任务，对普通的员工进行监督管理。由此可见，安全管理机制明确了每个岗位的相应职责，要求在岗人员从自己做起，从而能够有效保证医院内的每个人都能参与进来，进而使医院信息化发展过程中的要求能够得到相应的满足。

3.4 建立健全医院的信息系统

随着科学技术的不断发展，信息化逐渐深入人们的工作与生活中，为了更好地顺应时代发展的要求，使各类业务的需求得到满足，医院也应该结合自身的实际情况来进行信息系统的建设，与此同时还要制定相应合理的建设管理制度，从而作为信息系统建设的根本依据，确保信息系统能够顺利完成建设。此外，院方的管理人员还应该制定相应的管理制度，并根据人员的不同进行操作手册的分类发放，确保使用者能够规范地进行有关操作，从而使因人为操作失误造成的故障次数得到减少，使相关的系统运行维护人员能够顺利进行系统的维护操作。

3.5 加强信息安全应急管理措施

做到对应急预案的完善制定，就能够及时对医院信息系统出现的各种问题进行处理。其中应急预案的主要内容应该包括对各部门职责任务的明确规定，从而对黑客攻击等突发事件做到妥善的处理，并且还要求工作人员对该应急预案做到熟练掌握。同时，医院还应定期展开相应的模拟演练，并将整个过程进行记录分析与总结，从而在后期能够针对不足进行改正和弥补。除此之外，医院还应保留一支能够进行应急救援的专业人才队伍，并将各种备件等物资配备齐全，以防不备之需。

4 小结

综上所述，随着信息化技术的不断发展壮大，人们对信息网络技术的应用也逐渐广泛起来。目前的医疗行业也正在朝着信息化的方向迅速发展，但在医院进行信息化发展的同时，也面临了相应的信息安全方面的重大挑战。因此，人们也逐渐开始加强对医院信息安全等级保护的重视，并建立了相应的信息安全等级保护制度，使我国的信息安全保障水平得到了绝对的提高，从而使医疗卫生服务的质量水平及其工作效率能够得到一定的保障，进而使社会的稳定性、国家的安全性得到了明显的提高。

[1]刘白璐，杨雅辉，沈晴霓.网络入侵早期检测方法的研究与实现[J].计算机工程，2013(7)：1-6.

[2]朱圣才，徐御，金铭彦.基于等级保护策略的云计算安全风险评估[J].计算机安全，2013(5)：39-42.

[3]陈雪秀，任卫红，谢朝海.信息系统安全等级保护能力构成框架研究[J].信息网络安全，2008(9)：30-32.

[4]杨栋，刘立辉，任志刚.医院信息安全管理与措施[J].中国医疗设备，2011，26(6)：70-72.

[5]曹利峰，陈性元，杜学绘.多级安全网络区域边界访问控制模型研究[J].计算机工程与应用，2011，47(32)：118-122.