前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的醫(yī)療衛(wèi)生行業(yè)信息安全論文,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
一、信息安全等級保護工作開展情況
我們北京市公共衛(wèi)生信息中心(原北京市衛(wèi)生局信息中心),是北京市衛(wèi)生和計劃生育委員會直屬的事業(yè)單位,負(fù)責(zé)全市醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)與信息安全指導(dǎo)工作。北京市的信息安全等級保護工作是從2007年開始開展的。總結(jié)來說,主要有以下幾點做法:
1.強化組織,落實責(zé)任。每年年初組織召開北京市醫(yī)療衛(wèi)生信息化工作會,市衛(wèi)生計生委領(lǐng)導(dǎo)、市公安局領(lǐng)導(dǎo)均出席會議,對全年信息安全工作提出部署,明確全行業(yè)信息安全保障重點任務(wù),為落實全年信息安全工作的組織開展奠定了堅實的基礎(chǔ)。
2.聯(lián)合檢查,摸清底數(shù)。自2008年起,我們每年都與市公安局聯(lián)合開展醫(yī)療衛(wèi)生行業(yè)信息安全檢查工作。在市公安局的指導(dǎo)下,我們針對衛(wèi)生行業(yè)機構(gòu)眾多的特點,設(shè)立了由市區(qū)兩級衛(wèi)生行政部門與市區(qū)兩級公安部門聯(lián)合檢查的工作機制。全市三級醫(yī)療機構(gòu)及市衛(wèi)生局直屬單位由市衛(wèi)生計生委、市公安局負(fù)責(zé),區(qū)縣醫(yī)療衛(wèi)生機構(gòu)由區(qū)縣衛(wèi)生局與區(qū)縣公安分局聯(lián)合進行。目前,我市所有三級以上醫(yī)療機構(gòu)和重要公共衛(wèi)生部門均已完成了信息安全等級保護定級和備案工作。
3.政策落實,推動整改。近幾年,市財政、市經(jīng)信委大力支持衛(wèi)生行業(yè)信息安全等級保護工作,在2012年度至2014年度的市衛(wèi)生信息化項目申報指南中,明確規(guī)定了信息安全等級保護建設(shè)屬于政府支持項目。到目前為止已有10家市屬三級醫(yī)院(世紀(jì)壇醫(yī)院、朝陽醫(yī)院、地壇醫(yī)院、兒童醫(yī)院、安定醫(yī)院、北京胸科醫(yī)院、友誼醫(yī)院、佑安醫(yī)院、中醫(yī)醫(yī)院、首都兒童研究所)完成信息整改項目的申報工作,已由市經(jīng)濟信息委審核通過項目資金共計3670.902萬元,現(xiàn)在建設(shè)資金正在陸續(xù)撥付到位。通過安全整改、等級測評,完成信息安全等級保護工作,切實提高了本市醫(yī)療衛(wèi)生機構(gòu)信息安全保障能力。
4.制定預(yù)案,強化值守。
5.及時總結(jié),持續(xù)改進。
二、信息安全等級保護工作的體會
從2007年開始參與信息安全等級保護工作,我個人經(jīng)歷了北京市等級保護工作推動的全過程,在這里談幾點個人對于信息安全等級保護相關(guān)工作的思考。
1.信息安全等級保護制度為我們醫(yī)療衛(wèi)生行業(yè)帶來了很大的變化。第一是看待信息安全工作視角的變化。以前,我們可能更關(guān)注技術(shù)本身,有了等級保護要求之后,使得我們從一個整體的角度來看待信息安全這件事情。因為信息安全是符合木桶原理的,最薄弱的地方往往是最容易出現(xiàn)問題的地方,也代表著整個安全防護的水平。第二個變化是讓我們更清晰地梳理了醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng),以往可能主要從系統(tǒng)功能來區(qū)分,現(xiàn)在會考慮從業(yè)務(wù)連續(xù)性的高低、數(shù)據(jù)安全防護需求的高低來區(qū)分。
2.通過對信息系統(tǒng)的梳理、劃分也清楚了信息安全等級保護要求里哪些要求對我們醫(yī)療衛(wèi)生行業(yè)更適用。信息安全等級保護相關(guān)標(biāo)準(zhǔn)是各行業(yè)通用的,因此在行業(yè)內(nèi)推動時,一定要結(jié)合行業(yè)特點,按照信息安全等級保護工作要求制定適合本行業(yè)的標(biāo)準(zhǔn)和規(guī)范。我們之前推出的《細則》其實就是基于這個思路,但由于行業(yè)的復(fù)雜性,真正形成一套適合醫(yī)療衛(wèi)生行業(yè)的完整的標(biāo)準(zhǔn)規(guī)范,難度還是非常大的。
3.醫(yī)院的院長、信息中心主任在增加新的信息系統(tǒng)時,都應(yīng)從信息安全的角度對信息系統(tǒng)進行分析,在項目規(guī)劃申報階段就將信息安全需求整合考慮。現(xiàn)在大部分醫(yī)院都上線了移動醫(yī)療、移動護理,面向公眾開通了微信、手機App,增加這樣一些新的業(yè)務(wù)之后,醫(yī)院原有信息安全防護體系發(fā)生了較大改變,具體應(yīng)如何解決?另外數(shù)字醫(yī)療設(shè)備信息安全的問題也應(yīng)得到廣泛的關(guān)注,根據(jù)我們的調(diào)研,隨著影像檢查、生化檢驗等設(shè)備的數(shù)字化,這些設(shè)備都接入到醫(yī)院的信息網(wǎng)絡(luò)當(dāng)中,但對這些設(shè)備的安全管理基本屬于空白,存在較多安全隱患。其實這些問題都可以在信息安全等級保護要求的指導(dǎo)下通過技術(shù)手段和管理制度的完善而解決。
4.既然面臨這么多問題,那么我們信息安全等級保護工作到底應(yīng)該怎么做?從衛(wèi)生行政部門、從專家的角度,如何推進等級保護工作?答案是將信息安全等級保護制度跟國外的信息安全最佳實踐,如信息安全管理體系ISMS、ISO/IEC27001等結(jié)合起來落實。不管是增加什么樣的新系統(tǒng)、新業(yè)務(wù),都不要就這個應(yīng)用本身去考慮太多,而應(yīng)該按照一個整體思路方式來進行梳理,進行考慮。因此我市醫(yī)療機構(gòu)在信息安全等級保護整改建設(shè)工作中,都重點考慮了將等級保護的管理要求和信息安全管理體系結(jié)合。
5.在推動信息安全等級保護工作過程中,我們發(fā)現(xiàn)近幾年大家對信息系統(tǒng)安全工作的認(rèn)識有了很大的提高。但即使北京市醫(yī)療衛(wèi)生行業(yè)等級保護工作推動得比較早、比較好,全市醫(yī)療衛(wèi)生機構(gòu)信息安全等級保護工作的整改工作到現(xiàn)在依然沒有完全完成,主要原因還是資金落實進度的問題。各地衛(wèi)生行政部門還是應(yīng)該多與政府、財政進行溝通,爭取財政資金支持衛(wèi)生行業(yè)信息安全等級保護工作。在資金落實到位之前,醫(yī)療衛(wèi)生機構(gòu)可以先按照信息安全等級保護的要求加強信息安全制度的建設(shè),提升信息安全管理水平,同樣也會使安全水平得到提升。
作者:鄭攀 單位:北京市公共衛(wèi)生信息中心網(wǎng)絡(luò)管理部
