随着“互联网+医疗”及移动医疗的发展,基于互联网的医疗服务软件如雨后春笋,越来越多。各种医疗创新应用从互联网和电信网接入医院信息网络和系统,逐渐打破医院原来相对封闭的网络。但目前所有的医疗服务改革和创新并没有增加优良医疗资源,也就是说“互联网+医疗”并未增加大医院的有经验的医生数量,类似于“九寨沟”这个著名景点,开始时路不好走,修高速、机场,使达到景区的路越来越多、越来越快,但景点的最大接待能力是固定的,不会随着路的宽度增加而增加。当路宽到一定程度,景区就要限制同时进入的人数,人们就会想方设法进入景区。当这些路变成获取医生资源的各种应用系统,维护“道路”安全和“景区”安全的信息安全比封闭系统要难得多,面临的风险要大的多。
近年来,大医院预约挂号、移动支付、药品配送、互联网在线诊疗等方便患者就医的医疗服务模式创新越来越多。医院或第三方互联网服务提供商通过搭建网站、移动APP等应用,与银行、社保、药品供应商、应用服务提供商等单位互联互通,向患者提供远程在线或离线医疗咨询、诊断,进而下达处方医嘱,提供病历浏览、检查检验报告查阅等应用。这些应用服务均要求医院向外打开原来相对封闭的信息之门,向医院信息墙壁之外敞开大门。
任何的安全事件所导致的医院业务系统宕机、信息泄露、信息诈骗等都会降低患者的就医满意度,损害医院的信誉,处理不当则可能会引起医患纠纷、法律问题甚至社会问题。医院物理安全做的相对较好,但关键系统的网络安全、主机安全、应用安全、数据安全等达到三级较难。分析当前三甲医院面临的主要信息安全问题有:
1.大型三甲医院拥有的医疗资源信息 、患者诊疗信息更加具有商业价值,越来约得到灰色产业链的觊觎。
2.随着医院信息系统与外部道路连通的道路越来越多,越来越宽,医疗信息安全已经不只是传统的病毒、内部网络和机房、服务器、数据库等, 防范来自外部的威胁是医院信息安全面对的一个极其严峻的挑战。
3.医院相对于银行、大型企业安全意识淡薄,管理制度不完善,现有薄弱的安全管理制度落实欠到位。同时来自于内部人为失误、蓄意破坏和信息窃取也难于防范。
4.医院基本上未明确设置可操作的信息安全管理部门、信息安全岗位和岗位职责,也缺乏专业的信息安全技术人员,因此即使有信息安全管理制度, 也很难起到真正的作用。
5.医院信息安全保障的投入、信息安全存在的隐患及可能造成的损失评估,应简单进行投入产出分析,不是有信息安全岗位就要求不能出信息安全问题。类似于有了公安部门和医院保卫处,是否就不会发生违法事件?
面对外部网络威胁的担忧、医院信息安全整体意识的薄弱以及医疗信息安全法律法规本身和对其依从性欠完备,束缚了医院信息部门对于医院医疗服务互联网化发展的创新性应用,逊色于电商、银行等其他行业。
2以医院信息安全等级保护工作为抓手,推进医院信息安全体系建设
信息安全的外延和内涵有很多,大部分医院在建设信息系统的同时主要关注了物理安全和部分其他安全产品,主要是网络版防病毒、隔离外部网络的防火墙、入侵检测、终端准入控制、内网与互联网数据交换的网闸等。基本上能保证相对封闭的医院信息网络安全。但面对新的挑战,为了系统性的有步骤、有条理的开展信息安全工作,可按照原国家卫生部印发的卫办发〔2011〕85号《卫生行业信息安全等级保护工作的指导意见》(以下简称《指导意见》)开展信息安全体系建设。
1.开展等级保护工作 《指导意见》中非常明确的说明定级备案、整改、整改后的测评工作和要求。由于定级备案、整改方案需要熟知信息安全专业知识和有经验的技术人员,医院可委托专业的信息安全服务商协助完成差距测评工作,一方面可以通过差距测评找出医院需要测评的系统与所定级之间的差距,同时服务商会提供整改方案,医院可参考此方案进行后续整改工作。
2.医院关键系统的选择 《指导意见》中规定三甲医院核心业务系统等级不能低于三级。医院可以把对患者提供关键服务的和具有商业价值的系统,如HIS、EMR定成三级,医院的门户网站、APP等互联网应用系统的定级级别可以根据在其上承载的为患者提供医疗服务的多少或重要程度确定二级或三级。
3. 安全服务外包 信息安全是非常专业的综合学科,需要计算机网络、计算机软硬件、通讯、密码、互联网等多学科知识。医院很难配备足够的相应专业的信息安全人员。因此,可以考虑将安全服务外包,与安全服务商签订年度服务协议,弥补医院专业安全技术人员的缺失,最大程度保证医院信息安全。
4.信息安全建设的PDCA PDCA持续改进质量环同样适用于医院信息安全工作。医院信息系统的软硬件变更较为频繁,信息安全的评估、部署应用及分析整改的循环过程应纳入信息化日常工作。例如,原来信息系统中有收费系统,当新增自助机收费、支付宝微信移动自助收费,在制定实现技术方案时要有配套的安全方案,并在上线前进行安全评估,安全评估通过后才能上线。系统安全方案和上线安全评估可由医院信息安全管理员协调系统提供商和安全服务厂商一起完成。如果是对已定级备案的系统更改,可按照所定级别进行评估;对于新上线的系统,省卫生计生委下发的文件粤卫办函[2016]71号《关于做好信息系统安全等级测评与备案工作的通知》中要求须经等级保护测评合格并进行报批备案后方可投入使用。另外,医院每年在对等保三级系统测评前也需要进行差评和整改,以保证每个三级系统验收通过。按照PDCA的做法可以提升并保持医院安全防护能力。
5.提高全员安全意识 信息安全产品可以用家里的防盗门来比喻,首先要在每个出入口安装防盗门,其次,人员进出要确保关好防盗门。再安全的防盗门,如果没有关好,也是形同虚设。也需要防范正常进入的外人从内部进行破坏。因此,医院信息安全不是哪个人或哪个部门的事,医院日常信息系统管理、建设、使用、运维和对信息安全制度的依从,都是信息安全的一部分,信息系统的每个建设者、使用者、管理者都是信息安全的守护者。要对医院系统使用者加强安全教育,
1.何时需要重新定级。医院信息系统随着业务需求的变化而变化,因此医院信息系统安全等级按照国家《信息系统安全保护等级定级指南》GB-T22240-2008中“6 等级变更”的要求,随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当系统改变可能影响其安全保护等级时,应根据《定级指南》的定级方法重新定级。
2.制定可操作的信息安全制度,并配备信息安全管理岗位。《信息系统安全等级保护基本要求》(GBT22239-2008)第一级中安全管理机构的岗位设置要求除网络管理员、系统管理员岗位之外,设立安全管理员岗位,但并未要求不同人不同岗。即使是一人多岗,也要遵守不同岗位制度。第二级安全管理机构条款要求安全岗位分设安全主管、安全管理等各方面负责人岗位,并且要求安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。第三级安全管理机构要求成立指导和管理信息安全工作的委员会或领导小组,并制定文件明确安全管理机构各部门和岗位的职责、分工和技能要求。同时应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审。同时各级对最基本的人员的录用、离岗;产品采购、自行软件开发、外包软件开发等都有明确要求。
目前医院定级最高基本为三级。因此医院要按照系统所定级别要求,制定符合医院实际运行的有效的各种类信息安全制度,使得医院网络建设、信息系统建设、终端设备部署等都有实际可依从的可操作的流程,信息安全管理机构各部门和各责任人能够按照制度执行。
3.安全服务商的选择。随着医院信息系统对外逐渐开放,医院信息安全面临的挑战越来越严峻,医院需要可信的信息安全服务商提供咨询和安全保障。对于安全服务商的选择,《信息系统安全等级保护基本要求》针对不同等级有明确的安全服务商选择条款,医院可根据系统定级遵照对应的要求执行。此外,医院在与安全服务商签订服务协议时要根据医疗信息安全的行业特点,如患者隐私、医药信息等,与安全服务商约定保密和安全责任。
信息安全永远在路上。医院要将信息和信息系统归类,从制度、人员、安全产品等各方面,做到事前、事中、事后循环持续改进的信息安全多级管控。
作者:严静东 单位:南方医科大学南方医院
|