醫院計算機信息安全風險管理控制分析

于金濤

【關鍵詞】醫院;計算機;信息安全;風險管理控制

當前信息技術發展迅速，計算機作為信息技術的分支已經成為人們日常工作和生活的重要組成部分，促進著社會各行各業的發展。目前在現代化醫院中應用計算機技術可以改變傳統醫院中需要大量耗費人力的工作模式，從而在節約人力成本的同時，還大幅度提高醫院的工作效率。與此同時，在利用計算機辦公時也存在著一定的信息泄露風險，因此醫院方面需加強計算機信息安全風險管理的控制，努力保障醫療信息安全，謹遵以患者為中心的宗旨[1]，保護患者的資料、信息。本文將從當前醫院計算機信息安全風險管理存在的缺陷入手，提出相關的風險管理控制策略。

（一）醫院整體忽視計算機網絡安全的重要性

現階段，我國大部分醫院在建設過程中通常將建設重點放在醫療設備的優化以及醫護人員的素質方面，而忽視了計算機網絡安全在醫院安全風險管理中的地位。因此，醫院內部存在患者資料泄露、醫療信息被非法盜取等安全問題，在嚴重侵犯患者權益的同時，也對醫院造成了巨大的損失。近年來，隨著信息泄露問題頻發，以及人們思想觀念的提升，社會各行各業越來越關注計算機信息安全。醫院存儲著大量患者隱私信息和醫療信息，更應提高醫院整體對計算機信息安全的重視。

（二）信息安全管理缺乏明確落實

目前，大多數醫院在信息安全管理方面并沒有做出明確的指示，包括無明確的信息安全管理部門和信息安全管理人員。其中，在一些醫院中，醫護人員缺乏責任感，認為信息安全管理應當所屬信息管理部門，與醫護人員無直接聯系，缺乏對信息安全管理的重視[2]。但實際上，醫護人員與信息安全二者之間的關系是相輔相成，緊密相關的。信息安全對醫護人員而言是有益的，同時醫護人員也要努力承擔起信息安全保護的義務，做好信息安全保護的守護者。然而現如今大多數醫院仍然會忽視對醫護人員的信息安全教育，從而進一步導致醫護人員對信息安全知識的掌握不充分，信息安全管理并未落實到位。

（三）缺乏信息安全技術保障

通常計算機存在的信息安全問題大多都是以黑客入侵以及人為泄露信息為主，同時還伴隨存在一些意外信息安全事故，如信息泄露。最常見的信息泄露主要出現在一些醫院將用過的電池或者信息平臺混合使用，造成信息安全的泄漏引發進一步的信息安全隱患。目前，隨著信息技術的應用越來越廣泛，醫院的信息系統呈現多種集成網格結構，患者在手機終端就可以進行掛號、繳費等就診步驟，而這些信息化的步驟就導致醫院計算機信息網絡環節增加，可以被攻擊的渠道也會隨之增加。而一些黑客想要成功進入醫院網絡系統內部就可以從多個環節入手，打入醫院信息內部。并且，隨著信息技術的普及，黑客所掌握的系統攻擊也不斷發展，病毒感染能力越來越強，而一些醫院由于缺乏信息安全技術作為保障，一旦感染就會導致醫院信息系統的全面癱瘓，破壞正常的工作流程，對醫院造成嚴重的損失[3]。

（一）加強醫院內部人員對信息安全的重視

醫院要真正落實信息安全責任，首先要改變內部人員的思想，即信息安全并不是由信息管理部門單獨負責的，而是醫護工作者共同的責任和義務。為提高醫護工作者對信息安全管理的重視，醫院可以定期舉辦信息安全講座，讓專家學者為醫護人員講述信息安全的重要性，從而建立醫院內部工作者的信息安全意識，將信息安全意識深深根植于醫院內部工作者的內心。同時，為保證醫院計算機信息安全風險管理順利開展，還需要健全計算機信息安全管理制度作為保障。醫院在管理過程中可以將醫護人員進行分組并選取信息安全負責組組長，以此對全院醫護人員進行管理，負責人需要做好領頭羊的工作，自覺承擔起信息安全管理責任，并定期對該階段內出現的信息安全問題進行總結分析，做好后續的部署管理工作[4]。因此，醫院內部要保證每一位醫護人員都重視計算機信息安全管理，讓每一位醫護人員都提高對信息安全風險管理的重視，避免信息泄露問題的出現。

（二）強化信息安全技術保障

在計算機信息安全風險管理中，強化信息安全技術保障是信息安全風險管理的必要手段。為此，醫院內部可以通過建立雙核心網絡結構強化信息安全保障。構建雙核心網絡架構之所以能夠保證網絡傳輸的效率，是因為雙核心網絡構架是由兩臺核心交換機進行工作，其優點在于當其中一臺核心交換機出現故障時，另一臺依然能夠運轉且不受影響，維持正常工作運行。因此，建立雙核心網絡架構能夠在不影響醫院信息系統正常運行的同時，為技術人員爭取系統維修的時間，有效提升醫院網絡系統的穩定性。同時加強計算機軟件維護，能夠提高計算機系統的防御能力。因為隨著計算機網絡技術的發展，網絡病毒的形式呈現多樣化的發展趨勢，只有加強信息安全技術保障來抵御病毒入侵才是最好的維護信息系統的辦法。為此，醫院內部應當建立數據檔案，即在對數據進行日常分析的同時及時抵御所出現的病毒，從而有效防止病毒的入侵。

（三）建立健全信息安全管理制度

醫院內部若想明確落實信息安全責任，應當建立信息安全管理制度。具體而言，建立信息安全管理制度前提在于建立專門的信息安全監察組，其中監察組內的成員是由醫院各科室的相關負責人構成，他們的主要職責是監督信息系統操作是否規范，并定期與信息安全監督工作人員進行交流，對發現的問題及時進行處理和總結，從而提高信息系統的安全性[5]。信息安全管理制度在制定過程中還包括對操作規范的管理，有些醫院出現信息安全泄露以及病毒入侵等問題多半是由于不按規范操作所致，因此需要加強對操作規范的管理。在健全信息安全管理制度時要對不同的數據進行分級管理，數據資料要嚴格按照操作規范進行整理，且專門安排專業的檢查小組定期對服務器進行維護，判斷服務器的運行狀況，并對服務器中出現的問題進行記錄。

綜上所述，醫院計算機信息安全風險管理控制工作并不是一個獨立部門的工作，需要醫院內部所有醫務工作者共同合作，從根本上提高醫院內部人員對信息安全管理的重視、同時建立健全一整套的信息安全管理制度，只有這樣才能保護好患者的信息安全，進一步提高醫院的工作效率，避免信息泄露風險的出現。