對醫(yī)院等級保護(hù)建設(shè)過程中組織機構(gòu)管理的思考

摘要：為構(gòu)建醫(yī)院信息安全綜合防護(hù)體系，響應(yīng)國家對醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)的相關(guān)要求，筆者從信息安全機構(gòu)管理目的、思路和措施3個方面闡述分析，對相關(guān)工作人員和單位具有一定的啟示意義

關(guān)鍵詞：信息安全等級保護(hù)；機構(gòu)管理；信息中心隨著《信息安全等級保護(hù)實施指南》和《信息安全等級保護(hù)管理辦法》等一系列文件頒布以來，醫(yī)院如何開展等級保護(hù)工作，確保信息安全，已經(jīng)變成熱門話題。其中，負(fù)責(zé)醫(yī)院信息安全等級保護(hù)工作的組織管理機構(gòu)，主要從管理層和用戶層對醫(yī)院信息安全等級保護(hù)進(jìn)行管理建設(shè)。管理層的主要工作是制定醫(yī)院信息安全等級保護(hù)工作的管理辦法；用戶層的主要工作是依據(jù)管辦法要求，進(jìn)行溝通合作以及運行監(jiān)控和審查檢查工作。

1信息安全機構(gòu)管理目的

信息安全等級保護(hù)工作是解決信息安全問題的基本方法，而信息安全不僅靠物理安全、網(wǎng)絡(luò)安全、主機安全等具體技術(shù)上的實現(xiàn)，還需要建立健全的信息安全機構(gòu)管理制度，貫徹信息安全工作和維持信息安全的建設(shè)成果，在技術(shù)和管理兩個維度下保障信息安全保護(hù)體系在持續(xù)的運營工作中發(fā)揮應(yīng)有的信息安全保護(hù)作用[1]。

2信息安全機構(gòu)管理思路

2.1加強安全管理建設(shè)是實現(xiàn)等級保護(hù)組織機構(gòu)管理的基礎(chǔ) 醫(yī)院信息安全管理需要由醫(yī)院信息化領(lǐng)導(dǎo)機構(gòu)協(xié)調(diào)進(jìn)行。為了完成和強化信息安全的管理，需要建立相應(yīng)的信息安全管理機構(gòu)，這是醫(yī)院信息安全等級保護(hù)實施的必要條件[2]。同時，安全組織管理建設(shè)也是重要組成內(nèi)容，包括健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳部門，制定系統(tǒng)安全保障方案，實施安全宣傳教育、安全監(jiān)管和安全服務(wù)等。

2.2相關(guān)管理辦法制定是規(guī)范等級保護(hù)組織機構(gòu)管理的根本保證 醫(yī)院信息系統(tǒng)存在著來自社會環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險，其安全威脅無時無處不在。對于醫(yī)院信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決，而必須配合等級保護(hù)的信息系統(tǒng)安全保障體系，制定相關(guān)管理辦法，全方位綜合解決系統(tǒng)安全問題。

2.3定期審查監(jiān)控是實施等級保護(hù)組織機構(gòu)管理的具體表現(xiàn) 根據(jù)醫(yī)院對于信息安全等級保護(hù)的要求，安全等級保護(hù)除重視技術(shù)解決方案外，更應(yīng)明確定期審查、檢查和監(jiān)控的必要性。包括：指定專員定期對系統(tǒng)進(jìn)行安全巡查，檢查的內(nèi)容包含例如系統(tǒng)運行情況、系統(tǒng)漏洞確認(rèn)、系統(tǒng)數(shù)據(jù)備份、現(xiàn)有安全技術(shù)措施有效性、安全配置與安全策略一致性、安全管理制度的執(zhí)行情況等等。

3信息安全機構(gòu)管理措施

醫(yī)院信息安全管理體系依賴于信息安全等級保護(hù)管理建設(shè)的機構(gòu)管理。根據(jù)醫(yī)院當(dāng)前信息安全管理需要和機構(gòu)管理特點，和信息安全等級保護(hù)管理所要求的系統(tǒng)建設(shè)管理、系統(tǒng)運維管理、安全管理機構(gòu)、安全管理制度和人員安全管理，筆者從崗位設(shè)置、人員配備、授權(quán)、審批、審查和溝通交流等方面分析醫(yī)院信息管理機構(gòu)建設(shè)，切實做到提升醫(yī)院信息等級保護(hù)管理的能力。

3.1崗位設(shè)置 信息中心內(nèi)部根據(jù)崗位劃分不同，設(shè)置多個安全管理崗位包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計員崗位，各崗位人員應(yīng)按照自己的崗位職責(zé)，落實本崗位的信息安全工作[3]。

以我院為例，我院信息安全管理工作由院領(lǐng)導(dǎo)負(fù)責(zé)指導(dǎo)和管理，同時成立了醫(yī)院級別的信息安全工作領(lǐng)導(dǎo)小組，由黨委書記擔(dān)任領(lǐng)導(dǎo)小組組長，由信息中心負(fù)責(zé)管理工作的具體落實，制定各信息系統(tǒng)相關(guān)崗位的崗位職責(zé)和工作標(biāo)準(zhǔn)并形成文件。

3.2人員配備 信息中心采用安全責(zé)任層層落實制，中心主任對醫(yī)院所有信息化相關(guān)系統(tǒng)負(fù)責(zé)，網(wǎng)絡(luò)工程師對醫(yī)院所有網(wǎng)絡(luò)建設(shè)及維護(hù)負(fù)責(zé)，系統(tǒng)工程師對醫(yī)院服務(wù)器、數(shù)據(jù)庫、存儲和信息系統(tǒng)負(fù)責(zé)，信息安全工程師對醫(yī)院網(wǎng)絡(luò)安全、信息安全、機房物理安全負(fù)責(zé)，安全審計工程師對所有人的信息安全工作進(jìn)行監(jiān)督和審計，保證信息安全工作層層做實。

3.3授權(quán)和審批 醫(yī)院信息中心對于外部廠商人員的相關(guān)操作均需進(jìn)行審批流程，通過軟件記錄其所有操作行為，并保存進(jìn)檔。對于中心內(nèi)部工作人員執(zhí)行嚴(yán)格的離崗流程，由所在部門主管負(fù)責(zé)回收本部門負(fù)責(zé)的相關(guān)權(quán)限，所有權(quán)限回收后方可辦理正常的離職手續(xù)。

信息中心對于客戶端操作系統(tǒng)權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限、數(shù)據(jù)庫操作權(quán)限進(jìn)行分級控制。內(nèi)網(wǎng)客戶端硬盤分區(qū)全部使用NTFS，管理員密碼由信息中心網(wǎng)絡(luò)組每月定時更換；對所有應(yīng)用系統(tǒng)功能進(jìn)行編號，對功能進(jìn)行模塊化管理，并對模塊進(jìn)行分級控制；同時，設(shè)置數(shù)據(jù)庫用戶，將不同應(yīng)用的數(shù)據(jù)分別管理，賦予創(chuàng)建、修改、刪除表及表內(nèi)數(shù)據(jù)權(quán)限。

3.4審查和檢查 醫(yī)院信息中心日常檢查由信息安全管理員進(jìn)行，自檢內(nèi)容包括終端安全自檢和軟件管理自檢，終端安全自檢包括檢查是否每臺計算機安裝防病毒軟件，病毒庫是否為最新版本，終端操作系統(tǒng)是否安裝最新補丁，是否設(shè)置6位以上口令；軟件管理自檢包括檢查軟件是否為正版軟件，軟件管理的各項記錄是否完整等。

構(gòu)建信息安全綜合防護(hù)體系保證醫(yī)院各系統(tǒng)能夠長期穩(wěn)定安全運行，滿足了醫(yī)院不斷擴展的業(yè)務(wù)應(yīng)用和管理需要。本文對信息安全機構(gòu)管理的目的、思路和措施進(jìn)行了詳細(xì)的分析闡述，對相關(guān)工作人員和機構(gòu)具有一定的啟示意義。同時，通過梳理分析業(yè)務(wù)特點和管理流程，依據(jù)等級保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，明確安全管理需求，筆者所在醫(yī)院信息管理中心整理并制定出符合醫(yī)院信息系統(tǒng)實際情況的一套信息安全管理體系文件，并在2012年公安局等級保護(hù)測評中被評為三級。

參考文獻(xiàn)：

[1]蘇丹.醫(yī)院信息系統(tǒng)安全與管理[J].中國信息界(e醫(yī)療)，2013，(05):58-59.

[2]張巍，龐大軍.基于FISMA的醫(yī)院信息系統(tǒng)信息安全基線管理[J].醫(yī)學(xué)信息學(xué)雜志，2012，(10):16-19.

[3]李斌，龍婧.基于TRM的醫(yī)院信息安全集中審計管理平臺的構(gòu)建與實現(xiàn)[J].醫(yī)學(xué)信息(上旬刊)，2011，(04):1871-1872.編輯/張燕