关于医疗信息化安全管理体系建设的探讨

张荣帜

摘 要：信息化建设是任何一个企业必须重视的问题，因为信息化建设直接关系着企业的长远发展，而信息安全更是为企业的发展提供了可靠保障。主要对医疗信息化安全管理体系的建设进行了简单分析。

关键词：医疗信息化；安全管理；网络病毒；网络瘫痪

中图分类号：R197.3 文献标识码：A DOI：10.15913/j.cnki.kjycx.2015.13.041

1 企业信息安全管理体系分析

1.1 信息化网络安全风险分析

网络结构存在单点故障、设备性能不足以支撑业务系统需求等原因造成的网络堵塞，导致业务丢包率较高；由于网络互连引起越权访问、恶意攻击和病毒入侵等，导致网络边界存在安全隐患；缺乏必要的身份鉴别、安全防范和安全审计等技术手段，易造成设备的无权限访问和恶意更改设备参数问题；缺乏必要的网络安全检测、主动防御设备，导致恶意攻击、非法访问、网络病毒、DOS（拒绝服务）/DDOS攻击和网页篡改等时常发生，无法有效阻止网络攻击，进而造成网络瘫痪。

1.2 主机安全风险分析

缺乏必要的身份鉴别、安全审计等手段，易造成设备的无权限访问和恶意更改设备参数；系统中残存有未及时删除的过期账号、测试账号、共享账号和默认用户等，为非法入侵提供了账户信息；操作系统存在安全漏洞、安全设置不当和用户权限设置不当等情况，导致文件信息、数据库信息和敏感信息等被非法获取；病毒入侵导致信息泄露、文件丢失和机器死机等不安全因素。

1.3 应用安全风险分析

用户账号被非法使用，冒用他人身份非法访问信息系统，导致数据被非法窃取、非授权访问和恶意篡改等；缺乏必要的操作行为记录和审计手段，无法为查获违法操作者提供必要的数据证据，使操作者逃避责任处罚；应用软件存在漏洞或在开发过程中存在后门，为黑客留下了入侵的可操作性；软件进程资源中未设置最大、最小限额和多重并发访问限制，软件资源被迅速占用，导致系统资源因被耗尽而无法访问。

1.4 数据安全和备份恢复

在数据传输过程中，无法检测到用户数据和重要业务数据等在传输过程中是否受到破坏或被非法窃取；因数据泄露时未加密，而被非法解密后使用；因关键数据未及时备份，在主节点遭到破坏后无法及时进行数据恢复。

1.5 管理安全风险分析

不具备相应的安全管理组织，缺少安全管理人员，安全管理组织不健全会造成上、下级管理混乱，遇到突发情况时无法及时、有效地进行应急响应；缺少必要的安全运维管理系统，无法实时监控机房的工作状态、网络连接状态、系统运行状态，无法及时发现已发生的网络安全事件；人员安全意识淡薄，在日常工作中无意泄露系统口令、随意放置操作员卡、私接外网、非法拷贝系统信息、私自安装、私自卸载程序、违规操作和擅离岗位等均会埋下安全隐患；人员分工和职责不明，缺乏必要的监督、约束和奖罚制度等，进而造成潜在管理风险；缺乏必要的人员安全培训，缺少对系统故障、信息泄露等突发事件的及时应对措施，常错过事件的最佳处置时间。

2 加快医疗信息化安全建设的对策

2.1 加强引导，转变观念

对医疗信息化进行管理的有效保障即充分运用现代管理制度，同时，应自上而下地强化信息安全管理意识和安全管理观念，从而为医疗信息化安全建设提供思想上的保证。但目前我国大多医疗机构对信息安全管理的重视程度不足。为了转变医疗机构的信息安全管理理念，上级主管部门可聘请本领域相关专家定期到各医疗机构进行相关的学习和培训工作，不断提高各医疗机构信息管理人员的综合素质和技术水平，从而为医疗信息化安全体系的建设提供可靠的人才。

2.2 完善信息化建设标准

近年来，我国的医疗制度建设已经取得了很大进展，正不断趋于完善，但信息化安全体系的建设还不具备有效的建设标准，所以，国家在对医疗机构制度进行统一要求的同时，还应对信息系统的安全体系建设加以重视。同时，制订科学的信息化管理方案，有效协调软件开发商与医疗机构之间的关系，并通过医疗经办机构将需要报销人员的信息进行上传和有效反馈，实现在线审核，从而更好地推动医疗信息化安全建设体系的健康发展。

2.3 完善相应的法律法规体系

在国外，尤其是一些发达国家已经对医疗信息安全管理有了很完善的法律保障，我国可学习发达国家的成功经验，结合我国医疗机构的具体情况制订符合我国国情的医疗信息管理法律法规。尤其是对电力病例系统和医疗护理执行过程中的法律问题，都应获得法律上的保障，并要求全体医护人员严格遵守。

2.4 加大资金投入，调整投资结构

随着科学技术的不断发展，医院信息系统的软、硬件更新换代越来越频繁，这在很大程度上增加了医疗机构信息安全管理的资金投入。因此，资金来源问题成为了医疗机构面临的主要问题。在资金筹集方面，医疗机构可争取中央、地方财政的支持，还可通过医疗机构自身的盈利增加信息安全体系建设的投入，通过社会捐赠、银行贷款和重大项目的合作等方式对信息化建设增加投入。对于信息化安全建设投资机构，需要注意避免出现片面化的现象，既要对硬件设施增加相应的投入，还要注重人才的培养。

总而言之，医疗信息安全管理体系直接影响着医疗行业的健康发展，所以，医疗行业必须要对信息安全管理予以高度重视，以此为医疗行业的发展作出积极贡献。

参考文献

[1]刘启望，冯超，刘敏，等.对医疗安全管理体系建设的几点思考[J].中国卫生事业管理，2008（01）：20-21.

[2]程秀权.信息安全管理体系建设研究[J].电信网技术，2007（09）：8-12.

[3]姜春水.安全管理体系基本要义和基础性要素的思考[J].中国民用航空，2009（08）：59-62.

[4]杨敏.企业信息安全管理体系建设的探讨[J].电子技术与软件工程，2013（24）：238-239.

〔编辑：张思楠〕