探究电子病历档案管理中的安全风险及防范措施

■ 王 涛

前言：电子病历档案管理是病案室管理人员对在院病员及已出院病员的信息进行管理，对出院病历进行审核和归档，归档的病历项目顺序可自行调整，动态了解出入院病员的情况、入院病员的病历的建立与否、入院病员建立病历超时情况等。电子病历档案是病历的电子化，因此也需要病历数据的长期保存和保密处理，其中必然存在很多技术问题需要解决。

一、电子病历档案的简述

电子病历档案是电子化病历的高级形式，是有关病人的健康和医护情况的终身电子信息，是病人完整的、集成的信息。电子病历档案可以准确记录详细清晰的临床记录；为每位患者填充完备的生命周期数字记录，并确保其安全以及在多个供应商间的共享信息，提高护理的质量；提供对疾病管理和结果信息的访问，帮助医师做出完整的、正确的临床治疗方案；时时掌握完整的患者病史等等。

二、电子病历档案管理中存在的安全风险

（一）长久性方面

不同于纸质版的档案，电子病历相对于纸质版的病例来说其长久的保存应该是更为容易实现的，因为纸质版的档案保存除了要有大量的人力进行整理分类之外，还要有相应的存储空间，以及在长时间的保存中，要保证存储的空间环境良好，不能潮湿阴冷或者是有虫害出现，因此电子版的档案对于长久性保存方面应该更为合适，但是在电子病历长久保存中却遇到了难题，虽然电子版档案不用有大量纸张处理，但是在面临长久保存时仍然面临一些威胁，电子病历对其保管场所的电路、电磁、防水性能等都有比纸质病历并更为严格的环境要求，而医疗机构却往往忽视这一方面的管理。

（二）真实性方面

真实性安全隐患通常是由于电子信息过度依赖于软硬件以及电子信息本身容易更改的特性。首先，在面对相同病历的时候，可能会导致对患者的一些基本信息以及患病情况等相关信息记录不当；甚至在面对相同病区而不同患者的病历时，很可能出现张冠李戴的情况，影响患者的医疗诊断结果，很有可能导致一些较大的医疗事故发生。而这些问题的出现就是因为信息的错误操作以及判断而引起的，从而致使信息失真。另外，从长远发展的角度观察，为了保证与医疗档案相关的电子信息有更好的可读性，及时传输与医疗数据相关的用户及医疗电子信息档案，更好地适应计算机信息技术的新环境。在进行迁移期间，就会出现用户信息数据丢失或者发生改变从而致使部分信息无效，到最后导致真实性受到影响。

（三）隐私性方面

在电子病历档案的管理中，用户对于网址的安全访问是首要条件，在电子病历档案管理中，后台存有用户的隐私数据，这些数据在访问过程中涉及到用户访问权限等问题，如果设置不当，后台大量数据发生错乱，很可能导致一些病历的隐私泄露，给档案数据管理带来潜在的风险隐患，甚至出现数据的非法使用。使得电子病历档案数据的安全风险大幅度上升，最后很可能导致一些数据的非法访问等安全问题，更为严重的情况是直接导致用户数据丢失以及访问失败等问题。

（四）稳定性方面

加强电子病历系统稳定性需要电子病历系统能够二十四小时全天无间断的运行，需要更高的质量、系统测试、诊断和及时维护。但在现实中，医院电子病历系统崩溃的原因往往是停电、数据量激增、系统崩溃等。EMR 系统保护系统免受电子病毒入侵或黑客攻击导致电子环境中的黑屏、系统瘫痪等。共享和传输与电子病历文件相关的数据需要使用互联网，并且在利用互联网上的数据传输设施的同时已经识别了许多风险因素。目前，互联网用户访问管理仍存在安全隐患和漏洞，容易被黑客访问，对数据安全构成威胁，在数据访问以及档案数据传输过程没有问题或者防范措施到位。国内医疗机构目前在电子病历系统上严重依赖研发公司，可能导致系统停机、信息丢失或泄露等，严重影响电子病历的安全。

三、电子病历档案管理中的风险防范措施

（一）利用多种存储方式进行储存

电子病历系统在运行过程中，硬件、软件或用户的工作方式都会影响医疗信息的完整性和安全性。在设备可能出现故障的情况下，为了全面保护以及多种存储方式并用，应利用纸质记录以及电子记录并行运行的医院保存，不仅使用硬盘，还使用纸质记录，最好在条件允许的情况下升级前联系软件供应商，尽量避免软硬件不兼容。而升级软件前备份文件或设置每日定期文件备份副本，用于软件升级和软件兼容性；在操作人员技能较差的情况下，应提供相应的操作系统培训，帮助医务人员尽快掌握操作设备和软件所需的技能。

（二）利用信息处理技术改善网络空间环境

想要改善网络环境就要学习应用专门的信息处理技术，比如VPN 技术（虚拟专用网技术）主要是通过数据封包的形式加密传输网络数据，并且能在公共网络上安全完成临时网络的连接，连接私有网络以及公共网络之间的数据安全有效传输。电子病历信息交换的先决条件是内容具有更高的安全性和可靠性。虚拟专用网络可以更好地保密敏感信息，通过VPN 服务器进行有效的数据隔离，可以通过CA 系统进行身份验证的特权数据服务器，以及顶级用户，能够有效地通信并更好地从各方访问敏感信息。同时，虚拟专用网本身具有主观性，VPN 技术在医院病历电子化管理中不仅是一种更安全的措施，也是一项重要的成本控制措施。另一个改善网络空间环境的重要技术是入侵检测技术，它是一种主动的安全防护措施，是一种新的电子安全防护措施技术，其主要目的是通过收集有关系统的信息来了解系统中的安全漏洞。系统或网络的主要元素还对异常行为的模式进行分析和统计，以了解与安全策略相冲突的现象和行为，以及及时报告系统或系统访问权限中未授权异常的技术等。因此，及时获取与恶意入侵或未授权行为相关的信息，为阻挡入侵提供有效保护，最大限度地提高电子病历所包含信息的安全性。

（三）提升医疗人员职业道德培养

医疗机构人员结构复杂，并且每天人员的流动性大、医务工作者的时间紧、任务重，在此种情况下，为了保护信息安全以及风险防范，必须强调重视医疗信息安全保护的重要性，医务人员应当时刻保持警惕的态度，帮助管理人员维护系统信息安全。同时还要加强医院内部的职业道德素养宣传，时刻关注一线医疗工作人员的动态及思想政治，如果遇到困难要及时的提供帮助，以防有不法分子钻空子影响信息安全。

总结：

总之，信息安全管理是电子病历档案安全管理中的重要部分，因此在风险防范管理过程中应当不断加强风险预估，选择适当的安全控制方式对安全风险进行控制和规避。