醫(yī)院計(jì)算機(jī)維護(hù)和網(wǎng)絡(luò)安全管理的問(wèn)題及對(duì)策

朱松陽(yáng)

隨著社會(huì)信息管理的處理，信息收集，分析和應(yīng)用成為決定個(gè)人和研究機(jī)構(gòu)競(jìng)爭(zhēng)力的重要資產(chǎn)。在加強(qiáng)人力資源培訓(xùn)和研發(fā)的基礎(chǔ)上，公共投資有很多，以控制社會(huì)信息管理的副作用。由于醫(yī)院直接收集，使用和存儲(chǔ)與個(gè)人隱私相關(guān)的個(gè)人信息和健康信息，因此信息泄露，偽造和偽造的風(fēng)險(xiǎn)比任何其他機(jī)構(gòu)更嚴(yán)重。保護(hù)個(gè)人健康信息的行為對(duì)醫(yī)院和患者都非常重要。確保醫(yī)療信息的機(jī)密性是醫(yī)療行為持續(xù)性的基本條件。因此，醫(yī)院應(yīng)該根據(jù)規(guī)則，法規(guī)和醫(yī)療法規(guī)向醫(yī)院收集，使用，披露和存儲(chǔ)個(gè)人健康信息的患者展示可靠性。國(guó)內(nèi)醫(yī)院通過(guò)“醫(yī)療服務(wù)法”，“公共機(jī)構(gòu)維護(hù)個(gè)人信息保護(hù)法”和“信息通信網(wǎng)絡(luò)利用和信息保護(hù)促進(jìn)法”等保護(hù)個(gè)人健康信息。但是，僅適用于部分醫(yī)療服務(wù)人員，并不涵蓋醫(yī)院所有使用醫(yī)療信息系統(tǒng)的人員。此外，還不足以滿足公眾對(duì)信息保護(hù)的要求。

為了滿足信息安全的要求，醫(yī)院應(yīng)建立并實(shí)施信息安全管理系統(tǒng)（ISMS）。它確保了醫(yī)院信息資產(chǎn)的穩(wěn)定性和可靠性，并保證醫(yī)療信息的機(jī)密性，完整性和可用性。然而，由于缺乏反映醫(yī)療服務(wù)特點(diǎn)的標(biāo)準(zhǔn)化ISMS，因此很難將現(xiàn)有的ISMS應(yīng)用于醫(yī)療信息系統(tǒng)。信息安全和醫(yī)療中心和患者都可能面臨嚴(yán)重的風(fēng)險(xiǎn)。因此，需要立即在醫(yī)院建立安全性，因此需要國(guó)家一級(jí)與個(gè)人健康信息保護(hù)和安全相關(guān)的標(biāo)準(zhǔn)。

一、醫(yī)院網(wǎng)絡(luò)安全問(wèn)題簡(jiǎn)介

為了控制和維護(hù)信息資產(chǎn)的保護(hù)，需要作為識(shí)別信息資產(chǎn)和評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)的信息資產(chǎn)分類。資產(chǎn)管理，資產(chǎn)責(zé)任控制和信息分類的平均比例分別為32.7%，31.6%和34.3%。資產(chǎn)管理被分析為ISMS中最脆弱的條款。幾乎沒(méi)有分類指導(dǎo)原則，這是建立醫(yī)院信息安全管理對(duì)策的基礎(chǔ)。在制定和管理醫(yī)院的資產(chǎn)清單方面不足。在資產(chǎn)管理子控制中資產(chǎn)所有權(quán)最不充分。涉及員工，承包商和第三方用戶等醫(yī)院的人員應(yīng)了解信息保護(hù)的責(zé)任，醫(yī)院應(yīng)建立終止或變更工作程序，以及培訓(xùn)全體員工的教育和評(píng)估時(shí)間表。人力資源安全分?jǐn)?shù)的平均百分比為61.8%，其中“就業(yè)前”得分最低（52.8%）。在就業(yè)前審查考慮，甄別政策適度實(shí)施（77.1%），但角色和責(zé)任的分控制，就業(yè)條款和條件并不是很高。在終止或變更工作的情況下，醫(yī)院完成了資產(chǎn)歸還和取消準(zhǔn)人權(quán)的分控制，但是沒(méi)有標(biāo)準(zhǔn)的終止或變更工作程序。醫(yī)院建立了信息安全教育培訓(xùn)計(jì)劃，但沒(méi)有詳細(xì)的目標(biāo)和內(nèi)容。一些醫(yī)院實(shí)施信息安全教育和培訓(xùn)，這不是基于具體的計(jì)劃。

二、醫(yī)院計(jì)算機(jī)維護(hù)問(wèn)題及對(duì)策

為了避免不適當(dāng)?shù)娜松硗ǖ溃瑧?yīng)確定并規(guī)定安全區(qū)域，并規(guī)定處置和重新使用設(shè)備，清除財(cái)產(chǎn)和設(shè)備外部安全。物理和環(huán)境安全分?jǐn)?shù)，安全區(qū)域控制和設(shè)備安全分?jǐn)?shù)的平均百分比分別為69.1%，52.8%和82.2%。物理安全邊界和物理入境控制分別需要得到控制。沒(méi)有辦公室的入口日志，即使在信息資產(chǎn)集中的數(shù)據(jù)處理部門也是如此。公共訪問(wèn)和交付被證明是次要控制中最容易受到影響的。只有當(dāng)醫(yī)院的設(shè)備安全水平相對(duì)較高，布線安全管理水平較高時(shí)才能應(yīng)對(duì)上述問(wèn)題。但是可能包含個(gè)人健康信息的設(shè)備已被不當(dāng)使用并重新使用。

為確保醫(yī)療信息系統(tǒng)的安全運(yùn)行，應(yīng)根據(jù)移動(dòng)代碼等信息技術(shù)趨勢(shì)建立對(duì)策和操作程序。通信和運(yùn)營(yíng)管理得分的平均百分比為62.1%。最脆弱的控制是第三方服務(wù)交付。信息備份處于中等水平，但監(jiān)控媒體處理防范惡意和移動(dòng)代碼的能力不足。在操作程序和責(zé)任方面，包含非常重要信息的醫(yī)療信息系統(tǒng)的網(wǎng)絡(luò)安全管理不受控制。對(duì)移動(dòng)代碼（如Active-X和媒體處理）的安全漏洞缺乏認(rèn)識(shí)。特別是可移動(dòng)媒體的管理不妥善管理。對(duì)于監(jiān)控，時(shí)鐘同步管理得很好，但管理員和操作員日志的級(jí)別以及日志信息的保護(hù)程度都很低。

為了避免控制未經(jīng)授權(quán)的訪問(wèn)和控制對(duì)信息的訪問(wèn)權(quán)限，應(yīng)該配備訪問(wèn)控制。訪問(wèn)控制，移動(dòng)計(jì)算，遠(yuǎn)程工作和用戶責(zé)任控制得分的平均百分比分別為68.6%，47.0%和52.0%，與其他控制類別相比，其平均比例不足。訪問(wèn)控制應(yīng)該建立在識(shí)別商業(yè)計(jì)劃的信息和風(fēng)險(xiǎn)以及分析安全需求的基礎(chǔ)上。然而，醫(yī)院并沒(méi)有為這些事情準(zhǔn)備條例和指導(dǎo)方針。醫(yī)療信息系統(tǒng)包括重要的個(gè)人健康信息應(yīng)與互聯(lián)網(wǎng)分開，但有些醫(yī)院并沒(méi)有將個(gè)人醫(yī)療記錄與身體或邏輯網(wǎng)絡(luò)分開。在移動(dòng)計(jì)算和遠(yuǎn)程工作方面，遠(yuǎn)程醫(yī)療有很多需求，但由于安全問(wèn)題，現(xiàn)在它也不被允許。

三、網(wǎng)絡(luò)安全管理系統(tǒng)的問(wèn)題及對(duì)策

安全是信息系統(tǒng)不可或缺的組成部分，因此安全要求應(yīng)該通過(guò)信息系統(tǒng)的獲取，開發(fā)和維護(hù)等各個(gè)環(huán)節(jié)來(lái)驗(yàn)證。信息系統(tǒng)獲取，開發(fā)和維護(hù)，密碼控制控制和信息系統(tǒng)安全需求的平均百分比分別為65.8%，49.5%和533%。技術(shù)漏洞管理比例為55.0%。在信息系統(tǒng)獲取和開發(fā)的情況下，網(wǎng)絡(luò)加密不適用。包含患者個(gè)人健康信息的測(cè)試數(shù)據(jù)被用于信息系統(tǒng)的獲取，開發(fā)和更改，并且沒(méi)有適當(dāng)?shù)剡M(jìn)行審查。

對(duì)于合法性，醫(yī)院應(yīng)審查現(xiàn)行的信息安全法律法規(guī)。遵守法規(guī)要求，符合法律要求，但知識(shí)產(chǎn)權(quán)（IPR）尤其是軟件知識(shí)產(chǎn)權(quán)管理不足。應(yīng)定期審查是否遵守安全政策和標(biāo)準(zhǔn)，但不存在用于檢查技術(shù)合規(guī)性的法規(guī)或準(zhǔn)則。信息系統(tǒng)審計(jì)結(jié)果和后續(xù)行動(dòng)已經(jīng)實(shí)施，但信息系統(tǒng)審計(jì)計(jì)劃處于較低水平。

在管理方面，醫(yī)院應(yīng)根據(jù)內(nèi)部和外部變化審查現(xiàn)有政策并配備詳細(xì)的政策文件，包括聲明，法規(guī)，指導(dǎo)等。此外，還需要組織一支信息安全團(tuán)隊(duì)，其信息安全角色和職責(zé)明確。新員工的聘用合同文件應(yīng)包含信息保護(hù)的責(zé)任，醫(yī)院應(yīng)建立終止或變更雇傭的程序。以及確保教育和評(píng)估時(shí)間表來(lái)培訓(xùn)所有員工。隨著醫(yī)院業(yè)務(wù)效率和成本效益的外包增加，第三方協(xié)議應(yīng)提出安全要求。為了遵守規(guī)定，嚴(yán)格加強(qiáng)對(duì)知識(shí)產(chǎn)權(quán)的限制。

隨著技術(shù)的不斷增加，技術(shù)漏洞的范圍和水平需要定期確定和審查。盡管醫(yī)院的災(zāi)難恢復(fù)系統(tǒng)沒(méi)有針對(duì)安全事件行為和業(yè)務(wù)連續(xù)性的強(qiáng)制性規(guī)定，但需要安全事件處理系統(tǒng)。此外，跟蹤安全事件以及防止它們也很重要。災(zāi)難恢復(fù)系統(tǒng)的成本非常高，因此需要對(duì)其規(guī)模進(jìn)行適當(dāng)?shù)臏y(cè)量。對(duì)于改進(jìn)信息安全條款不足以驗(yàn)證的成本和人力來(lái)說(shuō)，這可能是一個(gè)很大的負(fù)擔(dān)。然而，有必要在醫(yī)院建立ISMS，以確保患者的信任，確保他們的隱私，并為各種目的安全使用醫(yī)療記錄。最重要的是實(shí)施ISMS的意愿，并嘗試以長(zhǎng)期和全面的視角來(lái)滿足信息安全的國(guó)際標(biāo)準(zhǔn)，并定期對(duì)其進(jìn)行審核。醫(yī)院可以從可行的安全要求（如制定政策和法規(guī)或補(bǔ)充安全缺陷）來(lái)處理信息安全。這是是非常必要的。