◆孙 超



信息安全管理体系下搭建移动医疗平台实践

◆孙 超

（湖北武汉长江日报报业集团 湖北 430015）

信息安全体系并不只有技术部分，同时还有管理部分。要确保医疗领域的信息安全，就必须要注重技术以及管理这两部分的内容。本文对如何在信息安全管理体系下搭建移动医疗平台进行了探讨，为确保移动医疗平台的信息安全提供借鉴。

信息安全；移动医疗平台；用户信息

0 引言

2019年初，笔者作为移动医疗创业（从业）者，参加了信息安全管理体系国家注册审核员的培训，了解和认识ISO/IEC 27000是从公司需要通过“信息安全管理体系认证”开始的，业内关于移动医疗过程中的各种安全问题的争论从来就没有停止过。系统遭受攻击、用户信息泄露、挂号接口被“技术黄牛”霸占等恶性事件时有发生。冷静分析，一来，同样的"安全"二字，在医疗和技术领域，很多人的理解似乎不尽相同，二来，因为大家对安全的重视和知识信息的不足，所以某些被渲染的安全问题，比较容易造成保守型恐惧，导致创新受阻。

鉴于此，笔者结合多年在平台安全上遇到的各种实践经历以及学习信息安全管理体系标准中的一些方法论，用相对容易理解的言语解释一些安全领域的概念，供大家参考，互相交流。

1 安全的锅不单单是技术来背

提及安全，医疗领域同行担心最多的部分是信息泄露问题。这大概和大众对IT信息系统了解较少有关，因此造成了对未知的恐惧。事实上，安全是一个完整的体系，包括了管理和技术两部分。任何一部分的缺失或者漏洞都可能带来安全隐患。2012年省会城市某大型三甲医院的技术部曾发生病例病案泄露事件，当时技术部的一名员工把一张定期备份的用户信息光盘卖给了某“大数据”公司，美其名曰做大数据挖掘，事后技术部解雇了该名员工，并立案量刑。这就是典型的管理安全范畴，医疗服务机构在前期的病历信息管理不到位导致泄露造成不良影响。

对于移动医疗行业而言，有效的管理更是尤为重要。公司入职员工都应该签订相关医疗信息保密协议及竞业条款，让法律威慑倒逼企业行为标准。其二，医疗信息安全培训，笔者曾经在公司做信息安全管理体系认证，需要反复多次管理人员（特别是中高管）和技术相关安全培训，起到了很好的效果。帮助重要岗位的员工引导和加强安全意识。另外，相关操作规章制度、流程的建立，也是医疗信息安全的重要屏障。

事实上，在信息安全的几个领域，除了技术安全能力、技术安全机制两个直接相关的技术要求外，管理流程和物理防护两大管理领域也是医疗安全方面的重要组成部分，必须加以重视。

2 是用户信息重要还是内容信息重要

移动医疗创业者对信息安全保护的意识形成，是个逐步加强演进的过程，笔者周围做这个门类的朋友也非常多，大多在创业之初，更加强调的是打磨产品、功能、获取用户信息，信息安全的重点也大多放在保护平台的健壮性和用户信息上面。随着用户的积累，随之产生的内容信息将越来越多。类似于病例图片、医嘱文字、病情描述内容，医患聊天记录、稿件的收藏、订单信息等等。由于这些信息数量庞大，敏感度相对较低，安全保护级别往往被忽视。

但是，医疗领域这种被忽视的内容信息，其敏感度是远远大于用户信息本身的，甚至更能体现用户的隐私和健康趋势。笔者认为，网络信息的安全性和保证患者隐私对于医疗行业是至关重要的。在数据流及网络通信中必须保证数据安全，保护患者的隐私。任何在互联网上传输的数据都需要加密并且严格要求验证用户名、密码等，任何下载行为需要符合医疗机构的网络安全策略要求并且要求身份验证，任何向第三方应用传播数据的过程都需要用户的亲自授权。

与此同时，各医疗机构应该制定相关的信息安全保障机制和加强内部运作的监控，无论是内聘的工作人员还是外招的医疗合作团队和第三方合作机构，都应该进行相关的制度培训。

3 相关的法律法规国家层面有待完善

移动医疗领域的信息安全，因为其多维度、高敏感，涉及民生安全，各国政府都在积极进行规范。即便是在这方面走在前头的国家-美国，设立的“医疗保险便携性和责任法案”（简称“HIPAA”）也存在行之无效的窘境。

美国健康和人类服务部公民权利办公室卫生信息隐私事务主任介绍：HIPAA本是用来保护医疗信息隐私的，但政府调查发现很多医护人员把HIPAA用得有些过，以致患者的家庭成员、护理人员、公共卫生官员和执法人员都难以获得所需要的信息。专家认为许多医疗机构并未真正理解该法案，也未对员工进行培训以便严格而谨慎地执行；有的医护人员害怕受到罚款或蹲监狱（尽管截止到目前还没有人受到这些惩罚），因此宁愿对医疗信息用极端的方式进行保密。最普遍的是，执行该法案时若遇到含糊不清的情况，许多既未透彻理解法案也未受过相应培训的医护人员都觉得说“不”比说“是”更稳妥。

美国如此，中国如何呢？到目前为止，我国尚没有一个比较系统性的法律法规来约束新互联网环境下的医疗信息安全，只能从公司信息安全这个更高点或者说是更加广域的范围来讨论这个事情。这也是为什么国内有安全意识的公司先会通过ISO信息安全管理认证及等级保护，然后再做HIPAA参照标准的原因。

2011年，国家卫生部发布了《卫生行业信息安全等级保护工作的指导意见》，2013年国家开始了《移动终端安全保护技术要求》的制订，该标准为包括移动医疗在内的移动应用设计的设计、开发、测试和评估提供了安全要求和评估准则。

2015年7月，国务院印发了《关于积极推进"互联网+"行动的指导意见》，内容第一次以国家级文件明确支持第三方平台构建医学影像、健康档案、检验报告、电子病历等医疗信息共享服务平台。

2018年4月，国务院办公厅发布了《关于促进“互联网+医疗健康”发展的意见》第一次明确了健康医疗大数据确权、开放、流通、交易和产权保护的法规。明确个人隐私信息保护制度，严格管理患者信息、用户资料、基因数据等，对非法买卖、泄露信息行为依法依规予以惩处。只明确了责任单位分别有国家卫生健康委员会、国家网信办、工业和信息化部、公安部，但没有明确执行者和执行标准。

相信后续会有更细致、更深入的法律新规产生，给行业从业企业更好的指引。

4 医疗信息安全人人有责

随着移动互联网技术的进步，民众对移动设备的依赖，支付体系的完备、4G网络的普及，越来越多的人群都逐步接受在移动终端上打理自己的医疗行为。阿里、腾讯、平安等巨头都在大力布局大健康产业。往日就医的十一个步骤，现在大多数已经可以转移到线上，类似于诊前轻问、预约挂号、在线支付缴费、建档、取化验单、取门诊（住院）清单、配送药品都已经实现移动在线操作。

“互联网+医疗”的普及和倡导，涌现出一大批未来医院、空中医院和互联网医院。笔者断言，未来每一家医院都是互联网医院，每一家医疗机构都会插上“互联网+”的翅膀，而这些非常个性化的虚拟场所，用户的行为、意识都将决定个人隐私的安全与否。账户密码的反暴力破解设置、敏感信息的脱敏、药（商）品和科室名称的隐私处理，数据集合的加密传输，都需要政府、平台和用户多方面的协力维护，才能确保“相对”安全。

当然，安全永远是个相对的话题，没有绝对的安全，因为安全技术永远都是滞后于黑客技术，就像反病毒软件永远之后病毒一样，起初都是发现了被人攻击，或者先发现了漏洞，才有何种针对的安全技术的诞生。行业、企业以及用户都都需要提高自己的安全意识，优化自己的知识架构，努力践行保护信息安全的职责。

[1]朱铁兵.构建安全可靠的信息系统[J].中国数字医学, 2012(11).

[2]何萍, 杨佳泓, 汤兵勇, 等.医联预约服务平台防控“技术号贩”研究与应用[J].计算机应用与软件, 2014(11).

[3]徐俊, 姚华彦, 何萍.移动医疗在医联应用中的信息安全管理[J].中国数字医学, 2015(8):8-10.

[4]蝶帆弋湖. HIT专家网从医疗信息安全和隐私保护角度解读HIPAA.

[5]杨巍, 范锋, 鞠伟卿, 等.基于医联大数据的移动医疗APP实现与应用[J].中国数字医学, 2015(8):5-7.

[6]孙琦.构建安全可靠的医院信息化系统[J].中国信息界-e医疗, 2010(6).

[7]孙明东.浅谈如何构建医院计算机信息系统安全防范体系[J].科技创新与应用, 2016(23):90-90.