安全管理體系在醫院信息化系統中的應用研究

史海波 姚 鋒*

醫院信息化的快速發展，提高了各種醫療行為效率，促進醫療質量的提高，醫院的各項工作也越來越依賴于信息化系統的存在。醫院信息化系統涉及合作、遠程協助等多個醫院、多個機構間的合作，使醫院信息化系統與外界網絡相連，同時醫院信息化系統還涉及患者、醫師、藥房及后勤等多種信息，其安全運行是保障醫院工作順利開展的前提。醫院信息化系統具有24 h運行的特點，對安全性管理的標準要求更高[1]。本研究基于安全管理體系在醫院信息化系統中的實踐進行觀察分析，為醫院信息化系統的安全保障提供新選擇。

1 醫院信息化系統信息安全問題與安全管理體系

針對醫院信息化系統安全制定的安全管理體系主要包括兩方面：安全管理層面和安全技術層面，其中安全技術層面又分為醫院信息化系統物理安全和醫院信息化系統數據安全。

1.1 信息安全管理問題與對策

調查發現安全管理層面存在的問題主要有：安全管理資金投入不足、安全管理責任不明確、考核機制不完善以及工作人員對信息安全重視程度不足。基于此，在安全管理層面的對策主要是：①幫助醫院選擇相對高效低廉的工作系統及網絡硬件，運用更少的人力物力維護更安全的醫院信息化系統；②實施分組責任制，明確各組的工作內容和維護范圍及責任，定期考核工作人員的信息化系統工作，獎罰分明，對出現的問題加以杜絕；③分批次對醫院工作人員進行培訓，強調信息安全對醫院正常運行的重要性，提高工作人員對醫院信息安全的重視，做到在工作中不故意泄露相關信息，并互相監督。

1.2 加強醫院信息化系統物理安全

系統的物理安全主要涉及醫院信息化系統相關設備設施的物理保護，主要有：①信息化系統的硬件維護，避免因硬件損壞引起醫院數據、信息丟失和泄露；②信息化系統硬件質量的高低決定系統的物理安全，對關鍵的硬件設備由專人看護，記錄設備運行情況，發現異常及時處理，進行冗余備份，做到關鍵設備損壞時可以隨時替換；③機房等外來人員進入應申請和登記，做到防風、防火、防震；④對機房進行分區域管理，維護機房環境，保持穩定的溫度、濕度、防塵和防靜電等；⑤配備電子門禁系統和滅火系統，制定值班制度，保證機房24 h管理。

1.3 加強醫院信息化系統數據安全

數據安全主要包括醫院相關數據的完整性、保密性和安全性。①網絡的完整性，主要是將醫院的內網和外網做出適當的連接，保證內網和外網連接的安全性，可以采用兩種方式進行醫院內網與外部網絡的連接，即虛擬專用網聯合防火墻和防火墻聯合網閘，使用防火墻過濾網絡攻擊和實施訪問控制，使用網閘確保數據按照擺渡的方式交換[2]；②做好病毒防護，約80%的醫院網絡故障是因計算機病毒入侵引起，做好病毒防護是保障醫院信息化系統完整性的關鍵，病毒防護措施最初主要有隔離內外網、拆除軟盤光驅等，目前因病毒傳播速度加快、更新頻繁，主要依靠網絡殺毒軟件等，也可在防火墻上添加殺毒軟件，過濾病毒，達到“雙向過濾”的作用[3]；③確保數據完整，數據安全還包括信息的完整性，要防止數據信息丟失、泄露等安全事件發生，還要有及時的技術手段將損壞或丟失的數據找回，醫院的信息數據關系到患者的隱私、健康和社會秩序，一旦泄露對患者和醫院將造成巨大損失，是醫院必須面對的問題[4]；④做好數據儲存，保護數據的完整性采用數據轉存、雙機熱備、服務器集群等措施來實現，醫院數據的多元性、并發性等特點決定了數據信息安全的安全防護方式復雜，醫院必須加強財力、人力的投入，選擇適合自身情況的防護方法[5]；⑤設置用戶賬號，醫生、護士對患者進行用藥、手術等治療時需要登錄相關用戶賬號，用戶賬號的信息安全從管理和技術兩個層面入手，管理上嚴格一人一號，嚴禁互相借用、亂用，技術層面上，辨別登錄操作系統和數據系統用戶的賬號密碼，核實其身份信息，設置用戶名、口令的難度，并隨時更換，若一定時間內醫生護士沒有進行操作則自動退出系統，避免數據丟失，預防計算機黑客的威脅，保障網絡信息安全[6]；⑥安裝用戶端桌面管理系統，用戶端桌面系統的安全是醫院信息化系統的重要部分，在安全管理體系中占據重要位置，每個工作人員的電腦使用習慣不同、工作內容不同和工作等級不同，在桌面系統中所儲存、轉移的信息也不同，會造成數據信息的紊亂和不安全，安裝用戶端桌面管理系統，實時監測用戶端使用情況，禁止私人移動設備接入醫院內網，避免私人移動設備將外網病毒感染至醫院內網[7-8]。

1.4 制定醫院信息化系統安全應急預案

醫院信息化系統的安全管理體系關鍵點是要有合理的應急預案[9]。醫院信息化系統即使實施了多種安全防護措施，仍有可能出現不可預料的緊急情況而致醫院信息化系統中斷，采用應急預案實施應急模式下的工作流程，能夠將損失降到最低[10]。具體應急預案由醫院各部門制定自身在緊急情況下的工作流程并上報信息部門，信息部門制定相應的信息化工作流程。在發生緊急情況導致醫院信息化系統出現故障時，發現人立即報告給部門管理人員，部門管理人員通知信息部門后，由信息部門排查故障原因并處理，在系統恢復之前醫院各部門按照事先制定好的應急措施保證正常工作的進行。

2 安全管理體系的應用評價研究

研究醫院的信息化系統，對醫院信息化系統實施安全管理，實施人員為嚴格培訓的專業人員和醫院信息化維護人員，評價應用效果。

2.1 安全問題分析

全面觀察分析醫院安全管理流程、管理制度是否完善；對醫院領導層面、臨床科室和輔助科室等工作人員進行問卷調查，主要調查各科室工作人員對醫院信息化系統安全的重視程度，調查醫院信息化系統技術情況，包括數據、網絡、硬件、軟件以及機房等存在的安全管理缺陷。對調查發現的安全管理問題進行歸納分析總結，制定針對性的安全管理體系。

2.2 觀察與評價指標

(1)醫院信息化系統安全保護能力。醫院信息部門對實施安全管理體系前后，信息化系統安全保護能力評價，分為高、中、低3個等級。

(2)信息安全事件發生率。實施安全管理體系前后12個月內，醫院發生的所有安全事件中由信息安全問題引起的事件發生率。

2.3 統計學方法

采用SPSS 22.0軟件進行數據統計分析，計數資料用率表示，組間比較采用卡方檢驗，以P＜0.05為差異具有統計學意義。

3 安全管理體系應用結果

3.1 安全保護能力

實施安全管理體系前，65%的信息部門人員認為醫院信息安全保護能力低，實施安全管理體系后，僅20%的信息部門人員認為醫院信息安全保護能力低，實施安全管理體系實施前后，對醫院信息安全保護能力評價比較差異有統計學意義(x2=4.173，P＜0.05)。

表1 安全管理體系實施前后醫院信息化系統安全保護能力評價比較(人次)

3.2 信息安全事件發生率

實施安全管理體系前，信息安全事件發生率為29.37%，實施安全管理體系后，信息安全事件發生率為14.17%，前后比較差異有統計學意義(x2=7.590，P＜0.05)。

表2 醫院信息化系統信息安全事件發生率(次)

4 安全管理體系應用效果

醫院內設門診、病房、收費、藥房、消毒供應室及后勤等多個部門，信息化系統涵蓋醫囑信息、護理信息、床位及病案信息、藥品出庫以及無菌物品發放信息等，數據龐大相對保密，具有實時性且共享，這對醫院信息化系統的穩定運行和安全保障提出了更高的要求[11]。醫院信息系統主要是利用計算機和網絡來收集處理、傳輸各類臨床信息，對醫院工作流程的優化、工作效率的提高具有重要的促進作用[12]。目前，約有80%的醫院實現了信息化管理，充分說明醫院信息化的重要性，但隨著醫院信息化的迅速發展，醫院信息化系統的安全現狀不容樂觀，常有因系統故障而引起的醫療安全事件發生[13-15]。制定一個安全可靠、科學合理的安全管理體系以規避醫院信息安全風險迫在眉睫。

醫院信息化系統的安全管理體系主要包括管理層面的安全防護和技術層面的物理安全、網絡安全、主機安全及數據安全等[16]。制定信息化系統的安全防護措施從管理層面的安全管理制度制定、物理層加強硬件安全設計、網絡層設計應用防火墻、系統層設計病毒防護、應用層設計用戶賬號管理等方面制定針對性的安全管理體系并實施后取得了滿意的效果，醫院工作人員的安全防護意識明顯提高，避免了人為因素造成的信息數據損失，醫院信息化工作人員責任明確，降低了信息安全事件發生率，極大地提高了醫院信息化系統的安全性，在醫院信息化系統中的應用前景廣泛。

5 結語

在醫院信息化建設中實施安全管理體系能夠顯著提高醫院信息化系統的保護能力，減少信息安全事件的發生，促進醫院信息化發展，有利于醫院管理水平的全面提升。