(阳朔县人民医院;广西桂林541900)
摘要:如今社会信息化水平逐步提高,医院中信息系统发挥着极为重要的作用,但是网络具有一定的开放性,因此容易受到病毒、黑客攻击等影响,导致信息系统的安全性受到威胁。通过大量的实践研究分析,对信息系统进行分级保护能够使信息安全问题得到有效的处理。信息安全等级保护是信息安全保障的重要方法,将其应用到医院中能够有效的维护信息数据安全,改善医院的信息安全。本文以二级医院为例,对信息安全等级保护建设实践进行分析。
关键词:医院;信息安全等级;保护建设;实践
近些年来,医院信息化水平逐步提高,医疗卫生机构开始应用信息系统,如果出现问题将对医院医疗活动的顺利开展产生直接影响,所以必须要强化医院的信息安全工作。信息安全等级保护是由国家出台的信息安全分级保护制度,能够使医院的信息系统安全得到维护,使信息系统的防护和应急水平得到提升。此外卫生部门还就医疗行业的实际情况发布相关通知,使信息安全等级保护工作在医院中有效落实。
一、医院信息安全等级保护概述分析
为保护医院的信息安全应实行信息安全等级保护,使信息系统的安全问题得到妥善的处理,使医院信息的安全现状进行分析。信息安全等级保护是对国家、法人、公民等的专有信息、公开信息等进行储存、传输以及处理,对这些信息进行分等级的安全保护,对信息系统中的信息安全产品进行登记管理,有效处理信息安全系统中的安全事件。在《信息安全等级保护信息安全等级保护管理办法》中,信息安全等级保护需要做到自主定级和自主保护[1]。信息系统的安全保护等级确定需要结合信息系统中国家的安全、经济建设以及社会生活的重要性进行确定,如果信息系统被破坏,国家安全、社会秩序、公民、法人等的合法权益也会受到威胁。在信息安全等级保护中,需要结合信息系统的保密以及完整性、信息系统达到保护等级需要等将信息系统安全保护等级划分为5级,分别是第一级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级和第五级为专控保护级。
级别不同,安全保护工作的监督管理政策也是存在差异的,信息系统安全等级保护需要结合信息系统的业务需要以及重要性等进行分类、分级保护,使信息安全的目的顺利实现。
二、医院信息安全等级保护建设流程
1、对信息安全等级进行确定与备案
在信息安全等级保护中,确定信息系统的安全保护等级时一般由两个方面的因素影响,第一是等级保护对象破坏时受到损害的客体;第二是客体受损害的程度。
对于二级医院,医院规模中等,门诊量一般,但也涉及诸多患者的信息资料,因此,信息系统发挥着极为重要的作用,如果信息系统受到破坏,患者的信息以及生命安全等将遭受极大地威胁,不利于社会的和谐稳定发展,基于此,需要对医院的核心业务信息系统的安全等级进行限制。
对医院信息安全定级报告编制之后,要对备案表进行填写,通过按照属地化的需要到市级公安机关办理备案的手续,得到备案回执之后完成定级备案工作。
2、对医院信息安全进行改革建设
定级备案之后需要依据医院的实际情况,对信息安全进行分析,科学的进行规划改革。
首先,分析等级保护差异,科学的对风险进行评估。《信息系统安全等级保护基本要求》主要从技术和管理两个方面提出要求。基本技术需求主要涉及物理安全、主机安全、网络安全、数据安全以及应用安全等,通过信息系统中网络安全产品的使用以及配置进行实现[2]。基本管理要求包括安全管理的部门、制度、人员、系统以及运行维护等,依据相关的政策规范等科学的对工作人员进行控制管理,实现安全管理的目标。
技术类的安全要求依据保护的重点可以划分为业务信息安全类(S类)、系统服务安全类(A类)、通用安全保护类(G类)三类[3]。如受到条件限制可以实现三级等级保护,A类和S类只要满足一类就可以,而G类则需要满足三级保护需要。医院要结合自身实际选择合适的标准科学的分析差距。
管理上也有很严格的要求,只有将所有控制项完成之后,才能够实现三级等级保护的目标。逐条对比,及时了解医院安全管理中的不足,明确其与管理需要的差距。
如果医院有条件,需要科学的对风险进行分析评估,对医院的信息系统资产、安全危险等进行分析,完成风险评估报告的制作。
其次,对整改方案进行优化。结合医院信息系统安全情况以及建设需要,保证业务能够连续进行,维护数据隐私,与临床实际需要相适应,防止资金大量投入达不到预期目标。在对方案进行整改时,需要将安全技术与安全管理结合起来,将技术作为保障,通过管理工作的开展使安全措施顺利落实。对安全区域边界、计算环境以及通信网络等进行防护,完善安全管理中心的建设。设计完方案之后,需要由第三方测评机构做好评审工作,使方案更具可行性。
在对整改方案实施时,也需要将技术与管理统一,结合实际情况对安全措施进行调整,使保护水平得到提高。医院在方案整改时需要先做好医院内部的自查工作,然后由等级测评企业开展预测评工作,最后结合实际情况确定整改方案。医院的网络技术人员对信息系统是比较了解的,容易发现其中存在的安全问题,所以医院可以先自查,了解安全情况后让等级测评企业的人员进入到医院中,与医院的技术人员进行沟通,使用科学的测评工具,形成整改报告。
3、积极开展等级保护测评工作
完成上述工作之后需要进行等级测评。选择测评机构时需要明确其是否具备“DICP”认证[4],有无在当地公安部门备案,并核实信息安全等级保护情况。一般测评的时间为1到2个月。
首先,在测评时需要做好准备环节的工作,医院与测评机构一起建立项目领导小组,做好前期准备工作,制定科学的工作任务,并做好测评计划。启动项目前,为了避免医院信息泄露,还需要签订保密协议。启动项目之后,需要测评机构进行前期调研,明确医院信息系统的设备运行、应用情况、拓扑结构以及安全管理情况等,结合实际情况选择合适的测评工具。准备测评时,需要科学的金蛇组织机构,医院技术人员与等级测评企业的工作人员一起开展调查工作。
其次,科学编制测评的方案。确定测评内容时需要明确测评的对象一相关指标,测评的对象主要涉及医院信息系统、基础网络以及二级门户网站。测评机构与医院交流,完善测评方法,制定科学的测评指导书,编制测评的方案。
再者,做好准备工作之后,测评机构需要花费一周到半个月的时间对上述的控制项进行测评,信息技术人员需要积极配合该工作开展。为使医院的业务工作顺利推进,测评工作需要减少对业务工作的影响。如果需要使用网络资源以及服务器,要尽量避免业务的高峰期,如下班或者晚上时间。为防止对现有业务的影响,要做好应急预案准备工作,如果有问题及时启动应急预案,测评之后将资料还给医院。
通过这一环节,需要从实际工作中明确信息系统的实际工作,不仅要积极配合测评工作,也需要保证医院业务工作的顺利开展。除非有特殊情况,安全测试工作需要在晚上进行。
最后,科学编制报告。对测评单项进行判定,由测评机构整体测评的结果,逐条进行分析,最终得到整体的测评报告。测评报告中需要涉及医院信息安全的潜在不足、整改意见以及测评结果等。医院的测评结果是医院能不能通过等级测评的重要依据。所以测评报告结果就显得极为重要的[5]。测评结果一般分为完全符合、部分符合以及不符合三部分。有些测评机构在对测评结果评价时只是有单项测评结果进行确定,得出总分,利用分值确定医院是否通过了测评。为了实现理想的测评结果,医院需要对整改方案进行落实。
4、做好信息安全运行维护工作
安全等级保护不是短时间就可以完成的工作,需要在信息化建设中科学的分析,做好日常的运行维护管理工作。依据等级保护制度需要,信息系统等级保护级别相应的医院需要每天自查一次,并由专门的测评机构对测评进行整改,监管部门每天也需要抽查一次。医院需要科学的对安全技术以及管理进行优化,完善管理措施,使医院信息系统能够稳定、持续的运行。
结束语:
在医院工作中,信息安全工作是极为重要的,也是长期的系统性工作。需要结合实际情况明确安全产品的实用性,投资不能盲目进行。医院需要科学的进行等级保护,提高网络信息系统的安全性,使医院各项业务顺利推进,满足医院信息化建设的实际需要。
参考文献:
[1]杨静.医院信息安全等级保护建设为信息化发展保驾护航[J].财经界(学术版),2016,(15):354.
[2]李克潮.医院信息系统安全等级保护测评方案的设计[J].大众科技,2016,18(07):23-25.
[3]蒋提,赵彦军.医院信息系统信息安全等级保护建设与测评方法简析[J].科技视界,2016,(10):294.
[4]王丽娜,张东军,张午光.对37所医院信息系统信息安全现状的调查及对策探讨[J].医疗卫生装备,2014,35(07):111-113+152.
[5]张云,王胤涛.医院信息系统安全等级保护实践——终端安全建设[J].中国医学教育技术,2013,27(01):95-97.