医疗卫生行业信息安全等级保护浅议

李素奇

随着我国全面进入互联网时代、信息化时代，互联网技术、计算机技术以及信息技术在人们生活的多个方面均有涉及。医疗机构是个比较特殊的服务机构，承担着治病救人的职责，为了更好的管理医疗机构，提高医疗机构的医疗服务质量，积极应用计算机技术与信息化技术是非常有必要的。当然，在计算机技术进入医疗卫生行业后，也出现了一些问题，如何保障医疗卫生行业信息的安全性，成为医疗卫生行业信息化管理中必须解决的问题。若医疗机构的某些重要信息泄露，则会造成严重的不良影响，甚至会对社会正常发展造成严重的不利影响。因此，明确医疗卫生行业信息的安全等级保护制度，制定有效保护对策进一步提高医疗卫生行业信息安全等级是非常有必要的。

2011年版的《卫生行业信息安全等级保护工作的指导意见》，文中明确指出必须提高卫生行业的信息安全等级保护工作水平，促使信息安全保护工作有据可循、有文可依。随着我国医疗改革的逐步深入，越来越多的医疗机构认识到保护医疗卫生行业信息安全的必要性与紧迫性。信息安全事件一共有四个等级，分别是一般、较大、重大以及特别重大事件，从低到高，不同等级的信息安全事件会造成不同后果，继而产生不同影响。比如，特别重大事件这种类别的医疗信息安全事件发生后，会导致大量医疗信息被泄露或破坏，不仅会对患者的个人隐私造成影响，而且会诱发严重的医疗矛盾。而现今，很多患者都有强烈的维权意识以及自我保护意识，一旦发生特别重大类级的医疗信息安全事件，将直接影响医院正常运行，甚至会导致医院遭受不可挽回的损伤，甚至会对国家医疗政策造成剧烈冲击。因此，落实医疗卫生行业信息安全等级保护是非常有必要的。笔者简单从以下几点阐述医疗卫生行业信息安全等级保护对策。

一、积极进行医疗服务信息化建设

随着我国医保政策的问世，医疗机构的人流量不断增加，但是医护人员的实际数量与患者的数量存在过大差异，医护人员的工作压力逐步增大。且随着患者健康观念、维权观念的增强，医疗机构成为一个矛盾、纠纷频发的机构，越来越被社会、公众所重视。为有效提高医疗机构的服务质量，减轻医护人员的工作压力，需在医疗机构积极运用信息化手段开展并拓展服务。医疗机构在服务信息化建设这一方面的实际资金投入，直接决定了医疗机构的信息化发展水平。有调查研究明确指出，我国仅有64.89%的医疗机构在信息化建设这一方面投入了100万元以上资金，仅有14.00%的医疗机构在信息化建设这一方面投入了1000万元以上资金。相较于西方发达国家，我国医疗机构的信息化建设投入资金比较少，信息化还有广阔的发展空间，需医疗机构管理者认识到这一点，积极增加在信息化方面的投入，促进医院信息化飞速发展，不断提高医院信息化的实际水平，促进医院服务信息化水平的提高，促进医疗机构发展，减少医疗机构的矛盾、纠纷发生率，减轻医护人员的工作压力。

二、强化医护人员的信息安全意识

随着我国医疗机构信息化建设步伐的加快，越来越多的医护人员逐步认识到了医疗机构信息安全等级保護的重要性。但是，从实际调查结果可以发现，树立并形成医疗信息安全等级保意识护的医护人员多与信息化部门具有一定的联系，但更多医护人员往往没有意识到信息安全保护的重要性。在这一部分医护人员看来，现有的医疗信息保护措施足以保护医疗机构信息，无需继续投入过多的人力、物力以及财力。过分重视反而会让医疗信息安全保护工作变得复杂化，甚至会影响医护人员的正常工作。但是，这种观念是完全错误的。在我国进入信息化时代后，信息泄露是频发事件。而医院这个特殊的服务机构，具有大量患者的信息，一旦泄露，不仅会给医院造成极大的负面影响，甚至会导致患者出现严重的经济损失。因此，强化医护人员的医疗信息安全保护意识是非常有必要的。医院可结合医护人员的医疗信息安全保护意识现状，积极吸取国内外医疗机构的优秀经验，制定符合医护人员实际情况的信息安全知识培训，让医护人员能够通过简单培训认识到信息安全保护的必要性及重要性，认识到信息安全等级保护对于医疗信息安全的积极影响。再者，在完成信息安全知识培训后，还可进行相应的考核，验证医护人员的实际培训水平，保证医护人员对于信息安全知识有一定认识，并在医护人员日常工作中，不断宣传，促使医护人员不断进步。最后，医疗机构还可针对医疗信息安全设置相应的奖惩机制，保证考核工作顺利开展、顺利完成，激发医护人员的学习热情，促使医护人员积极主动的参与进信息安全等级保护工作中，根据实际保护工作情况提出相应的建议与意见，继而促进我国医疗机构的信息安全等级保护工作。

三、规范化管理标准

医疗信息安全等级保护工作缺乏相应的管理标准，难以有效规范工作人员的实际工作情况，难以保证信息安全保护顺利进行。为进一步提高医疗卫生信息安全保护工作的水平，管理者在吸纳国内外优秀医疗机构经验的同时，需结合医院实际情况，制定一套详细、完整、规范、科学、可行的管理制度，保证信息安全保护工作以及管理工作能够顺利进行，能够按照计划完成，能够及时获取相应的成果，继而减少不按规定、随意散漫的工作现象。再者，一套系统、完整的管理标准，可让管理者对照管理标准完成相应的信息等级保护工作，可保证工作的有序性与高效性。即便医院参与相关工作的人员逐步更换，依然可以按照这套标准完成相应工作，落实并贯彻等级保护工作，促使医院信息安全等级保护工作持续、顺利进行，不断提高医疗信息的安全性。制定规范的管理标准后，还可不断完善相应管理标准，不断发现标准中存在的问题，不断改进、提高信息安全等级保护工作的效果，促进医院信息化发展。

四、定期开展信息系统安全风险评估

我国互联网技术与信息化技术不断发展、不断进步、不断更新，为保证医院信息化工作始终与时代相契合，医院还需更新现有信息技术。但是，信息技术在更新的过程中，会不断暴露、衍生新的信息安全问题。即便在信息技术更新前已经完善了信息安全防御工作，也难以保证防御功能能够充分发挥其价值，能够及时有效的解决所有信息安全问题。因此，为保证医疗信息技术的安全性与有效性，定时对医院信息系统开展安全风险评估是非常有必要的。定时的风险评估可进一步明确医疗机构现有信息安全系统的实际安全等级范围，可提供相应的风险评估报告，可及时发现风险指数较高不符合安全规范的信息系统，可及时制定并实施对应的风险防控方案，及时针对现有的安全设备完成相应的升级保护工作，或是结合实际情况提高医疗信息系统的实际安全配置，继而有效提高医疗信息系统的实际安全等级。

五、结束语

明确医疗卫生行业信息的实际安全等级，实施相应的对策，进行信息安全保护，是非常有必要的。

作者单位：江苏省盐城市射阳县中医院