基于行为分阶段转变理论的医护人员信息安全素养评价指标体系构建

徐王权，姚乐融，李 锐，柴 静

（安徽医科大学卫生管理学院，安徽 合肥 230032）

2009 年，国家已经正式推出新的医疗卫生体制改革，将卫生信息化工作列为支撑国家医改的“四梁八柱”的“八柱”之一，是新医改过程中着重推进的基础性工作。十三五期间，卫生信息化被纳入国家重点发展领域。随着《国家信息化发展纲要》《健康中国2030 规划纲要》《国务院促进大数据发展行动纲要》等文件的陆续出台，有力地推动了我国卫生信息化的发展进程。与此同时，医疗信息安全问题也日渐突出。斯洛登事件以后，我国政府将信息与网络空间安全上升到了国家战略层面，明确没有网络空间的安全，就没有国家的安全。在卫生领域，医疗信息安全事关患者的个人隐私和生命健康，备受政府及卫生部门的重视，并制定了医疗机构信息系统安全等级保护条例，用以指导其信息安全建设工作。2019 年国家更是将医疗信息安全保护要求写入《中华人民共和国基本医疗卫生与健康促进法》中，用法律的形式规范医疗信息安全保护的责任与义务[1]。然而，大量信息安全研究文献和实践工作证实人是实现信息安全的关键因素[2]。而作为医疗信息的生产者和使用者，一线医护人员在医疗机构信息安全工作中扮演中极为重要的角色。他们的医疗信息安全素养的高低，直接影响着医疗信息的安全程度，及可能给社会带来的影响，对其进行信息安全素养的评价显得尤为重要，目前还没有统一的评价指标体系。因此，制定一套适合医护人员的医疗信息安全素养评价指标显得尤为重要。本文结合医护人员在执业过程中面临的信息安全风险，构建了医护人员信息安全素养评价指标体系，旨在辅助培养医护人员的信息安全能力。

1 信息安全素养的研究现状

针对不同行业的特征，学者探讨了行业从业人员的信息安全素养的内涵及评价指标体系。刘枫[3]分析了大学生信息安全素养存在的问题，并提出了形成大学生信息安全素养的相应的措施和注意事项。罗力[4]阐述了国民信息安全素养的含义，并制定了国民信息安全素养指标体系，指出国民信息安全素养是在信息化、网络化环境下，国民对信息安全的认识，以及对信息安全所表现出的各种综合能力，包括信息安全意识、信息安全知识、信息伦理道德和信息安全能力等具体内容。随后马明田等[5]对军队人员的信息安全素养进行研究，并研制了军队人员的信息安全素养的评价指标体系。还有部分学者将信息安全素养的研究对象拓展到了企业员工，对企业员工的信息安全素养的含义和要求进行界定[6]。而对医护人员的医疗信息安全素养评价指标体系的研究目前尚未见报道。

2 医护人员信息安全素养的内涵

信息安全素养源自信息素养的概念和内容，指的是在信息化条件下，人们对信息安全的认识，以及对信息安全所表现出来的各种综合能力，包括信息安全意识、信息安全知识、信息安全能力、信息伦理道德等具体内容[7]。具体到医药卫生领域，医护人员的信息安全素养除了应该具备共性的特征外，还应具备卫生行业特有的要求。在医疗卫生体系中，医护人员既是医疗信息的生产者又是使用者，其核心目标是保障诊疗信息的安全和保护患者的隐私。传统环境下，医护人员职业场所为医院诊室，环境相对单一，实现上述核心目标较为容易。随着互联网在医药卫生领域的深入应用，卫生行业出现了多种新业态，如互联网医院、远程医疗、线上问诊、区域卫生信息平台、手机医疗APP 等，导致医护人员的执业环境变得多样且复杂。从线下手工作业到医生工作站信息系统，从医院的局域网络到开放的互联网络，从固定职业场所到移动手机客户端，医护人员面临的医疗信息安全风险正在急剧增加。如何在多样复杂的环境下保护医疗信息安全和患者的隐私，这就对医护人员的信息安全素养提出了更高针对性的要求，同时也进一步丰富了医护人员信息安全素养的内涵。

3 医护人员信息安全素养体系设计

3.1 行为分阶段转变理论模型 行为分阶段转变理论模型（TTM）是行为改变的一种策略和方法，又称为“行为分阶段转变交叉理论模型”，是由美国心理学教授普罗察斯卡（prochaska）在1983 年首次提出。TTM 模型的理论基础是社会心理学，着眼于行为变化的过程及对象的需求。TTM 模型认为：人的行为改变不是一次性的事件，而是一个复杂的、渐进的、连续的过程。此过程可分为五个阶段：打算转变前阶段、打算转变阶段、准备行动阶段、行动阶段、巩固阶段[8]。实践证明行为分阶段转变模型具有良好的效果，在国际学术界得到普遍认可，因而成为国际上应用十分广泛的行为改变理论模型之一。

3.2 基于行为分阶段转变理论的医护人员信息安全素养指标体系 医护人员信息安全素养指标的制定主要有四个步骤：第一步，行为分阶段转变理论模型指导下，依据模型中打算转变前阶段、打算转变阶段、准备行动阶段、行动阶段、巩固阶段等五个阶段，将医护人员信息安全素养划分为信息安全意识、信息安全需求、信息安全知识、信息安全处置和信息安全行为维持等五个维度，图1；第二步，梳理在健康信息化背景下医护人员可能的执业场景，主要包含八类：线下医院、互联网医院、远程医疗、卫生直报平台、区域信息平台、医疗APP、医疗网站及科研工作室；第三步，针对每类场景，详细分析医护人员可能面临的医疗信息安全威胁，如弱口令、钓鱼网站、病毒、数据未脱敏和纸质病历作废资料处理不当等等；第四步，为应对这些威胁，分析医护人员应该具备的知识与技能，进而推导出信息安全素养的条目，见表1。

图1 行为分阶段转变理论与信息安全素养维度

表1 医护人员信息安全素养评价指标体系

表1 （续）

4 总结

医疗信息的安全事关我国卫生事业信息化的发展，受到政府和卫生部门的高度重视。除了医疗机构建设的信息安全保障体系外，医护人员的行为对医疗信息安全有着极为重要的影响。建立医护人员信息安全素养评价指标体系，评估其信息安全素养水平，找出弱项与短板，有针对的进行宣传与培养，对维护医疗信息安全有着极为重要的意义。