醫院信息系統信息安全等級保護的實施探討

張晨

摘要：伴隨著我國信息技術的不斷突破，信息技術的應用范圍也愈發廣泛。就目前來說，依據大數據技術，醫療系統也加大了對于信息系統的建設優化力度，以此來更好地開展信息管理工作。伴隨著醫療機構加大對于信息系統的建設力度，社會也對于信息的安全性提出了疑慮，要求醫療機構需要加大對于信息安全的保護工作。同時我國也通過出臺一系列相應的指導意見及措施對于信息安全問題的重要性給予了肯定，由此可見，信息安全等級保護工作的對于我國信息化技術發展的重要價值。鑒于此背景，醫療機構如何做好信息系統信息安全等級工作也成為相關從業人員急需解決的問題，以此來提升整體信息系統的安全性。該文針對當前醫院信息系統中的信息安全進行分析，闡述信息安全等級保護的核心價值，以此來確保系統的業務安全及信息安全的提升，并提出幾點合理化優化建議，推動醫院信息系統的健康發展。

關鍵詞：醫院信息系統;信息安全等級保護;實施建議

中圖分類號：TP311 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2021）32-0053-02

隨著我國信息技術及大數據技術的完善優化，國家與社會都對于信息的安全保護加大了重視力度，安全信息等級保護機制也是我國最為基本的信息安全保障手段。就醫療行業來說，在醫療體制改革的推進下，現代化醫院的建設必然離不開信息系統的支撐，也成為保障醫院穩定運營的重要手段。醫院的信息系統可以有效地保障醫院各項業務的正常開展。其次，醫院信息系統的不完善很有可能會導致系統故障的出現，會嚴重地阻礙醫院的各項業務開展，更為嚴重的情況甚至會導致患者無法得到及時的診治，錯失最佳時間，從而惡化醫患關系。另外，醫院的信息系統中保存著大量的患者個人信息，若是信息安全得不到保障造成個人信息外泄，勢必會影響到醫院的社會影響力[1]。由此可見，醫院的信息系統的穩定性與安全性對于醫院的重要影響。因此加強對于醫院信息系統信息安全等級保護工作也成為當下時期社會對于醫療行業所提出的新要求。

1 信息安全等級保護概念

信息安全等級保護依據字面意思就是將所存儲的信息依據其重要性劃分等級，以此針對不同等級開展信息實時保護工作，核心目標就是對于隱私信息或重要信息給予整理、保護工作。在醫院信息系統中，受保護等級最高的信息就是一些國家級別的資料及社會群眾的個人重要信息，因此醫院的信息系統信息安全等級保護工作就是要依據不同的安全等級對所要給予保護的信息進行存儲、傳輸，同時再根據不同的安全等級進行相應的信息管理工作[2]。另一方面還需要針對信息存儲流程中的變更進行跟蹤管理，同時在發生信息安全突發事件時可以及時地進行合理的處置。開展信息安全等級保護工作還可以在確保信息安全的前提下，可以對安全問題進行妥善地解決，并為信息開展進行長效保存三個角度貫徹落實信息安全等級保護工作。當下，隨著計算機信息技術的不斷突破，各行各業都充分認識到其價值，借助計算機信息技術進行數據的傳遞與保存。因此必須加強對信息安全保護的重視程度，規避出現信息泄露等狀況的出現。隨著國家出臺的一系列的相關政策及指導意見，信息安全等級保護也愈發被社會各界所看重。在實際開展信息安全等級保護工作中，其發展也正在趨向于細節化、整體化、合理化、科技化等方向發展，不同的行業都有著不同的信息安全等級保護工作模式。尤其是對于醫療機構來說，合理科學的信息安全等級保護工作可以確保整體醫院的正常運營，提升工作效率，降低醫患矛盾等問題。

2 醫院開展信息系統信息安全等級保護機制的必要性

當前我國對于信息的安全等級分為五個層次，其依據是有對信息系統造成損壞的程度由低到高依次劃分的。 在開展信息安全等級保護工作中，必須嚴格遵守自主保護、重點保護、同步規劃已經實時調整等準則。就醫療行業來說，作為支柱主體，醫院的信息系統會存儲巨量的醫療信息，這些醫療信息不僅僅只有各個患者的個人重要信息，還有體量巨大醫學技術的實踐資料，如若出現信息泄露的情況，勢必會影響到醫院的社會影響力及社會職能[3]。因此醫院必須要加強對于信息安全等級保護的重視程度，以此來提升信息系統的安全性，規避出現醫院重要的醫療資料及患者的個人信息泄露情況，同時合理有效地降低相關信息在傳遞與提取過程中的安全隱患，更為直接地提升醫院的信息安全管理能力。其次，由于醫療健康行業的信息體量巨大，也導致了信息存儲及傳輸等方面的困難程度，因此必須要借助科學的信息管理措施，保障醫院的各種信息可以有條不紊地傳輸及提取，提升在開展醫療救治工作中決策的準確性。另一個方面來看，借助計算機信息技術，也可以有對于醫院現有的信息系統進行優化完善，提升整體系統的安全性與穩定性，以此來確保醫院的社會影響力及經濟收益。

3 對醫院信息系統中的信息安全評價等級防范與保護機制設立和評價

信息安全等級保護的原理就是依據信息的重要程度進行分級管理。就醫療行業來講，出臺的相關指導意見中提到，三級甲等醫院的核心業務信息不可以低于第三級別。通過對于醫院的實際經營與信息系統的建設來分析，醫院的核心信息數據主要包括醫院的日均接診量，病房數及床位數，系統中的病患者的重要個人信息，這些信息數據一旦出現外泄，必然會影響到醫院的正常運營，其次也會對于國家、公民的集體利益進行破壞[4]。比如在醫院的門診部門，如果出現信息系統化故障，不僅僅會造成一定程度的經濟損失，更重要的是會導致大量患者無法及時獲得醫療服務，對于一些緊急患者甚至會因此耽誤最佳救治時間，造成嚴重的后果。其次像是目前逐步普及的電子病歷系統，這些病歷中都包含了患者大量的隱私信息，若是出現資料外泄不僅會加大醫患沖突，同時也會在很大限度上擾亂社會秩序，由此可見這些信息的重要性，必須給予其高規格的保護工作。醫院在構建信息平臺系統時，要嚴格地將相關要求標準作為基礎進行設立， 同時要制定相匹配的管理制度，提升整體信息系統的安全性與合理性?？傮w安全設計是要總結相同要素并對其進行分析整理搭建相應模型，依據模型中的相同因素將其與安全等級的標準進行分析，對信息系統的安全策略及安全措施提出需求。

對于整個信息安全系統等級保護機制中的安全性評判與劃分，需要一個專業評判單位按照國家有關信息安全系統等級保護規范和技術標準中的有關規定與其他要求，被相應主體任命，基于安全技術及安全管理兩個方面，對信息系統的安全性和等級保護狀況進行一個全方位評判和實驗。實驗操作主要是通過有效的溝通和技術措施來對整個信息系統進行分析和評估。在對開展評估之前需要進行一些相應準備，并對評估主體和指標進行確認，通過具有針對性的評估方法及手段對其進行現場評估和結果等級。對于評估結果報告編制內容需要進行細分，分別為階段測評結果評估、整體評估、安全隱患分析、評估結果等多個方面分別編訂評估報告。

4 提升醫院信息安全等級保護工作的有效路徑

當前，我國醫療機構的信息系統中信息安全等級保護工作的開展還存在著一些問題，最為明顯的問題是相關人員的技術水平及安全意識較低。因此醫院方面必須加大對于相關人員的培訓工作，以此來提升其自身的安全風險意識及技術水準，保障信息安全等級保護工作的有序開展[5]。我國雖然出臺了相關的政策措施，但安全信息管理還存在著一些問題，因此相關部門需要盡快完善相關政策，以此來推動醫院信息安全等級保護工作的提升。本文通過兩個不同角度，依據當前所存在的問題提出合理化的建議，如下所示。

（1）加大對于人員安全意識及技術的提升

信息安全等級保護的開展離不開合理有效的信息技術，又因為信息安全等級保護是體量較大的工作，不僅所涉及的范圍廣，還有醫院網絡安全、信息系統安全、軟件安全、管理安全等多個方面有著直接的關聯，由此可見，我國醫院的信息安全等級保護體制還有著較大的完善優化空間，這也就需要相關的管理人員必須不斷提升自身的技術水準與安全風險防范意識，充分地認識到出現信息安全事故的嚴重后果，從而更為合理搭建出安全保護體系，確保信息安全等級保護工作的實時性與效率，加強對于醫院信息系統的監管力度，便于對于系統中可能存在的弊端及時地完善修復，以此來確保醫院信息系統的安全性及穩定性。

（2）完善對于信息安全等級保護的政策措施

目前我國信息安全等級保護體制的不健全，還有一個重要的原因，國家對于相關的政策法規不完善所導致的。目前我國醫療行業對于信息安全管理體系的構架普遍都是基于《信息系統安全等級保護基本要求》，這也使得信息安全等級保護體制存在著單一性，無法對于整體的工作進行整體的指導[6]。這就需要相關國家機構要結合實際環境，充分地探析醫療體系的安全原則，制定更為完善的信息保護政策，使其完善健全，提升基本政策落實的操控性能，保障相關標準要求的貫徹落實，進而在醫院中構建出更為合理健全的信息安全等級保護機制，提升整體信息系統的安全性與穩定性。

5 總結

依據本文所述可以發現，醫院信息系統安全監督管理制度還是需要相關的管理者與國家政府有關部門進行共同努力，來確保其安全措施可以有效地落實到位。在醫院方面我們要進一步加大對于信息安全技術人才的培養和教育力度，提升其自身的專業水準及安全風險防范意識，國家政府以及相關部門也需結合實際情況，制定完善的政策措施，來保證信息安全等級保護體系的有序實施。隨著我國現代信息技術的不斷發展和提升，在信息化時代下，醫院也必須要充分認識到現代信息技術的重要性和價值，在進行信息系統搭建、改造、擴充時，制定一套相應的安全監督管理制度，推動現代化醫院的健康長久發展。

參考文獻：

[1] 蔣提，趙彥軍.醫院信息系統信息安全等級保護建設與測評方法簡析[J].科技視界，2016（10）：294.

[2] 胡娟，謝宗曉.信息安全管理體系審核與信息系統安全等級保護測評的整合實施初探[J].中國標準導報，2015（4）：26-29.

[3] 裴莉.醫院信息系統安全等級保護測評備案實施[J].電子技術與軟件工程，2014（21）：230.

[4] 辛均益，陳啟岳，王宏宇. 關于醫院重要信息系統信息安全等級保護工作的探討[C].中國計算機學會計算機安全專業委員會.第28次全國計算機安全學術交流會論文集.中國計算機學會計算機安全專業委員會：中國計算機學會計算機安全專業委員會，2013：41-43.

[5] 郎漫芝，王暉，鄧小虹，等.衛生監督信息系統實施信息安全等級保護的實踐[J].醫學信息學雜志，2012，33（2）：9-12，33.

[6] 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.信息安全技術 信息系統安全等級保護實施指南：GB/T 25058—2010[S].北京：中國標準出版社，2011.

【通聯編輯：代影】