醫院信息系統安全風險管理對策研究

閆文瑜

摘 要：隨著信息共享程度的越來越高，惡意軟件侵入互聯網、局域網任何節點的網卡都可以截取網上任何一處的信息資料，HIS系統是互聯網的一部分，信息安全面臨新的問題，本文就醫院信息系統安全風險管理進行探討。

關鍵詞：HIS；醫院；信息系統；安全風險；管理；對策

1 HIS安全風險管理

HIS是覆蓋醫院所有業務和業務全過程的信息管理系統，為醫院的管理、科研、臨床、后勤保障等提供全方位、自動化信息服務。目前，HIS安全風險管理一般分識別和控制兩層控制手段，通過識別與監控，化解系統風險、降低損失程度，不斷提高系統防范抵御和化解風險的功能。

2 HIS安全風險識別

2.1 系統原因

HIS的復雜性和互聯網飛快地普及發展，新的黑客、病毒等惡意軟件大量涌現，使得HIS防不勝防，難免存在疏漏，隨時就能產生信息安全隱患，HIS和信息遭到破壞的可能性與日俱增。因此，HIS和計算機及其寬帶、無線網的風險安全控制是密不可分的一個整體。HIS的功能的先進全面不如安全可靠性重要，服務和數據的可靠性不達標，HIS安全沒有保障，使用價值就完全失效，計算機和寬帶、無線網等設備安全也很重要，目前，醫院信息由封閉隔離轉向全面開放，實現了信息共享，HIS作為國際互聯網的組成部分，極大地方便了患者網上醫療服務，但也給惡意軟件的攻擊加大了進入的可能性，信息安全隱患很多，增加了HIS管理和維護的難度。

2.2 操作原因

HIS的使用涉及醫院的各個層次，諸如醫生、護士、科研人員、管理者以及病人和家屬等。每個人的操作熟練程度、技術水平和使用目的、維護意識的都會對系統的安全運行產生影響。從當前大多數HIS安全風險隱患排查來看，人為因素占很大比例，其中包括違規操作、失誤操作，信息安全意識不強，安全操作規程監管不到位，技術水平低，設備安全配置不當，惡意軟件侵入盜取數據等，不斷引發信息資源的破壞和大量浪費的風險。

2.3 管控原因

HIS的安裝使用，使醫院的各項活動信息服務實現了自動化，方便了廣大患者的醫療服務。要使系統達到高效優質服務，就要搞好HIS的組織管理。當前，各個醫院在管理方面還存在很多缺陷。如：缺乏防范信息風險預案，查找故障流程制度不健全，維護分工不專業，信息技術專業人員不足，所有這些原因都對HIS的安全運行和故障及時排除不利。醫院系統的管理分宏觀管理和微觀管理。從宏觀管理角度出發，以統領醫院活動全局為目標，不斷完善各種”管理體系”，實現HIS管理使用一體化。

3 系統的安全風險管理

實現HIS安全風險控制，就達到了醫院系統安全風險管理的目的，醫院信息系統安全風險控制主要通過風險識別與評估，采取高效的技手段術和科學的管理機制，不斷減少和化解信息安全風險隱患，把風險事件發生的可能性和風險造成的損失程度降到最低。所以，筆者認為醫院信息系統安全風險控制必須把設備技術的可靠性放在首位，安裝的系統要可靠達標，同時加強崗位人員的使用操作技術培訓，提高業務素質，減少操作違規和失誤，建立全面的HIS控制系列機制，提高監管效能，確保安全目標如期實現。

3.1 HIS的技術控制

HIS是技術性很強的軟件系統，包括醫院的財務管理系統、人事管理系統、住院病人管理系統、藥品庫存管理系統等，其安全風險控制是人工防范很難做到的，必須采用高新技術手段，才能確保信息系統的安全風險控制。一是安裝防御軟件對核心的數據庫服務器實施控制監管，如安裝高性能防火墻軟件等；二是對HIS安裝高效統一的殺毒軟件，如：毒霸、360衛士等，實現惡意軟件入侵檢測、監控、防御自動化；三是局域網連接系統，必須實施高效的信息加密技術；四是對HIS設置專用口令和賬號，嚴格系統操作者的身份鑒別與認證；五是定期開展核心系統的操作審計；六是存儲重要數據庫的軟件，必須異地備份，物理隔離。

3.2 管理是HIS安全風險控制的動力

醫院的信息系統安全風險必須實行持續性控制，一是制定高效嚴格的管理制度。各個醫院的情況不同，對業務信息的保密程度和應用服務能力也不一樣，參照規范的HIS安全管理章程，根據管理、業務和服務的需求，修訂切實可行的具體實施辦法，做到部門責任明確，人員分工清楚，崗位職責到位，操作程序規范，訓練方法得當，管理要求具體和檢驗標準適合，使HIS安全風險控制機制逐步達到規范化、制度化；二是制定高效實用的應急預案。醫院的管理部門、門診住院科室和財務后勤單位，制定相應的應急風險預案，不斷定期演練，以利于處置預測風險事件及時有效。

3.3 系統主體是HIS安全風險控制的保證

HIS的使用主體是人，人的素質高、專業技術過硬，HIS安全風險控制就有保證。加強HIS使用隊伍建設很有必要。一是搞好崗位培訓，不斷提高保護系統資源和HIS風險控制的意識。定期開展系統使用技能和知識考核，逐步培養人們安全操作、預測風險和隨機處理的技能和業務水平；二是強化HIS風險控制的制度落實，普及信息技術操作規程知識。內強素質，外求規范，提高風險識別能力和風險控制效果。

4 結語

從20世紀60～70年代，發達國家開始建立醫院信息系統，我國作為發展中國家，起步較晚，發展較快；HIS的運用極大地提高了病例登記、診斷、檢測的標準，只有及時化解各種風險，才能更好的為患者進行醫療服務，因此，完善信息系統風險控制機制，提高控制水平尤為重要。

參考文獻

[1]李春林，簡明，劉建輝，等.醫院信息系統安全風險管理對策研究[J].醫療衛生裝備，2013，（3）：114-116.

[2]胡名堅.醫院信息系統安全風險管理對策研究[J].信息系統工程，2016，（3）：55.

[3]陳寧，李成華，李暉，等.醫院信息系統安全風險規避管理策略研究[J].電腦知識與技術，2015，（28）：22-23.

[4]劉玲玲.論述醫院信息系統安全風險規避管理策略[J].科技與企業，2014，（16）：54.

[5]鐘希成，王彬.醫院信息系統安全風險規避管理策略研究[J].數字技術與應用，2014，（8）：190.

（作者單位：新疆維吾爾自治區職業病醫院）