基于等级保护要求加强医院信息安全管理

来源:用户上传      作者:谢同玲

　　【摘  要】伴随信息网络技术的不断发展，计算机与互联网日益向医疗卫生事业渗透，信息化成为医院创新发展的必然趋势。在这一背景下，信息安全问题也日渐成为医院面临的严峻挑战。伴随《中华人民共和国网络安全法》的出台与实施，医院必须增强思想认识，形成对于信息安全管理体系的全面认知，重视掌握加强信息安全管理的科学策略。为此，论文主要对信息安全管理技术体系的五个维度进行分析，在此基础上，探讨医院提升信息安全管理水平的具体策略，以供参考。
　　【Abstract】With the continuous development of information network technology， computer and internet are increasingly infiltrating into the medical and health services. Informatization has become the inevitable trend of hospital innovation and development. Under this background， the problem of information security has become a serious challenge faced by hospitals day by day. With the promulgation and implementation of the "Cybersecurity Law of the People's Republic of China"， hospitals must enhance their ideological understanding， form a comprehensive understanding of the information security management system， and attach importance to mastering the scientific strategies of strengthening information security management. Therefore， this paper mainly analyzes the five dimensions of the information security management technology system. Based on this， this paper discusses the specific strategies to improve the level of hospital information security management， for reference.
　　【關键词】等级保护要求;医院信息安全管理;措施
　　【Keywords】classified protection requirements; hospital information security management; measures
　　【中图分类号】R197.3                               【文献标志码】A                                   【文章编号】1673-1069（2020）06-0028-02
　　1 引言
　　“互联网+”时代，医疗卫生机构的信息化程度正呈现不断提高态势。在此背景下，医院的信息安全也面临着前所未有的挑战，出现了一系列信息安全问题，如黑客入侵破坏信息系统、数据遭遇窃取和破坏、数据库安全审核工作落实不到位等，造成在实际管理过程中，很难取得良好的管理效果，这也对医院各项日常工作的正常运转制造了严重的负面影响[1]。
　　针对这一情况，我国出台了《中华人民共和国网络安全法》，且在其中提出了“网络安全等级保护制度”，要求不同的主体按照登记保护要求履行信息安全保护义务，切实保障网络免受外部干扰因素的负面影响，杜绝未经授权的网络访问行为避免重要的信息被窃取或者遭遇篡改。具体而言，医院信息安全等级保护体系主要由安全技术体系和安全管理体系两方面共同构成，在展开信息安全管理实践的过程之中，医院既需要对安全技术形成全面的认知，又要掌握科学展开信息安全管理的措施，从而全方位保障自身网络信息安全，实现长远可持续发展。
　　2 信息安全管理技术体系
　　医院的信息安全管理技术体系主要由以下五个维度构成：①物理层安全：指做好中心机房的物理安全保障，包括防火、防盗、防灾、防水、防静电等，这是保障医院信息安全系统稳定运行的基础性前提条件;②网络层安全：指应用防火墙和网闸等技术对网络进行实时监控和检测，从而有效避免外部入侵行为和攻击行为出现，同时，也包括应用网络审计系统监控和记录网络行为;③主机安全：指应用密码系统和杀毒软件避免主机受到各类网络病毒和恶意密码入侵;④应用层安全：指对用户登录进行身份验证、对用户行为和操作进行记录、对与主机系统相连的服务器进行身份标志与鉴别等，同时，还包括使用安全协议进行远程加密管理;⑤数据层安全：指应用信息安全技术保障数据安全并做好数据备份。
　　3 有效加强医院信息安全管理的具体策略
　　3.1 健全信息安全管理制度
　　完善的信息安全管理制度是医院有效展开信息安全管理实践的根本保障，为此，医院应认真学习《中华人民共和国网络安全法》，在此基础上制定一系列具体的制度规定，构建由多项规定共同构成的完备制度体系，以制度的形式明确信息安全管理过程中各个方面应注意的基本事项与应遵循的基本原则，从而推动信息安全管理工作走向规范化和有序化。与此同时，医院应成立专门的信息安全管理领导小组，由这一小组对于整体信息安全管理工作进行统筹规划，监督制度的执行情况，从而最大限度地保障制度的各项细节性要求在信息安全管理实践之中得到有效落实，促进医院信息安全管理水平的提升[2]。 　　3.2 增强医护人员安全意识
　　由于医院信息系统收录的信息数量众多且种类复杂，所以使用人员群体广大，覆盖全体医护人员，包括数据库管理与维护人员、医生、护士即各部门工作人员等。因此，必须着力增强医护人员的信息安全保护意识，对其信息数据库访问行为进行严格规定、记录和监督，明确不同工作人员的具体信息系统访问权限，同时，做好信息访问行为的权限审核工作，重视在工作人员登录和访问数据库的过程中，记录好其登录情况和访問情况。与此同时，应严格禁止医院员工在医院的计算机中安装和使用与工作无关的软件或访问无关网页，以此避免在此过程中将网络病毒引入医院的信息系统[3]。
　　3.3 加强信息安全管理培训
　　高水平的信息安全管理工作，必须依托一支具备高度专业素养与较强综合实践能力的管理队伍才能得以实现[4]。为此，医院必须重视组织管理工作人员参与信息安全管理主题培训，通过培训帮助其形成对于信息安全管理的全方位认知，增进其对于《中华人民共和国网络安全法》的了解与掌握，帮助其掌握科学开展信息安全管理的方法，提高其信息安全管理能力。在此方面，医院尤其应重视培养工作人员形成良好的保密意识，提高其职业素养水平，严格保证其在管理实践之中落实好管理制度的各项要求，切实提高管理实效。与此同时，医院需要提高对于信息安全管理人才招聘工作的重视程度，严格执行管理人员录用与管理人员离岗制度，签署相应保密协议，做好网络访问权限回收工作。
　　3.4 做好安全信息系统建设
　　安全信息系统建设是医院加强信息安全管理的一项核心措施，主要包括安全系统等级确定、信息安全保护方案设计、信息安全保护产品采购与应用、信息安全管理软件开发、信息安全工程建设验收与实施交付、信息安全服务商选择等一系列工作[5]。由于这些工作具备较强的专业性，因此，医院在展开安全信息系统建设的过程之中，需要与专业的计算机安全管理企业展开广泛而深刻的合作，从自身实际管理需求出发，科学展开安全信息系统建设工作，确保安全信息系统符合《中华人民共和国网络安全法》的相关要求以及自身的实际情况，切实保障各方面信息的安全，同时，有效避免网络黑客入侵与攻击行为出现。
　　3.5 加强安全信息系统维护
　　完成安全信息系统建设工作之后，医院需要做好这一系统的维护工作，以此确保其能够长时间发挥各方面作用[6]。医院应定期使用专业付费杀毒软件对安全信息系统进行查杀，有效化解安全信息系统的内部风险，保障安全信息系统稳定运行。与此同时，医院应协同做好网络环境管理、网络设备管理、系统安全管理、重要信息备份与恢复管理、重大安全事件处理、风险防范与应急预案制定与管理等各个方面的工作，形成完备的信息安全管理体系。在此过程中，医院需树立信息安全风险防范意识，重视根据各类可能出现的风险性因素，合理地制定风险紧急应对预备方案，从而在安全风险发生时及时采取措施化解风险，避免风险的危害扩大。此外，医院还需要组织工作人员展开安全风险防范与应对演练，以此提高工作人员的风险应对能力，进一步增强信息安全管理的实效性。
　　4 结语
　　总而言之，基于等级保护要求加强医院信息安全管理对于增强医院重要信息安全性、提高医院整体信息化水平具有重要价值。医院应按照《中华人民共和国网络安全法》的要求，加强思想认识，形成对于信息安全管理技术体系的全面认知，重视在管理实践之中做好物理层、网络层、主机、应用层及数据层等各个方面的安全管理工作，进而形成对于信息安全全方位的保护和管理。具体而言，在展开信息安全管理实践的过程中，医院应健全信息安全管理制度，以此为管理实践提供根本保障;应增强医护人员安全意识，形成良好的管理氛围;应加强信息安全管理培训，提高管理人员的专业素养与实践能力;应做好安全信息系统建设，有效落实各项信息安全管理措施;应加强安全信息系统维护，确保系统能够稳定运行;应形成良好的信息安全风险防范意识，提高应对和化解风险的能力。
　　【参考文献】
　　【1】孙巍，王玉珍，陈韬.基于等级保护要求 加强医院信息安全管理[J].中国卫生信息管理杂志，2017（06）：843-845.
　　【2】唐江波.基于医院信息安全等级保护的整改实践[J].中国数字医学，2018（11）：83-86.
　　【3】任格.基于等级保护的医院信息安全防护策略[J].中华医学图书情报杂志，2018（03）：61-64.
　　【4】邵博伦.关于医院信息系统信息安全等级保护的实施探讨[J].数字化用户，2019（10）：159.
　　【5】李大鹏.基于等级保护要求加强医院信息安全管理[J].网络安全技术与应用，2019（07）：103-104.
　　【6】郑雪锋.信息安全管理的建设在医院信息化建设中的作用[J].电脑迷，2018（35）：51.
转载注明来源:https://www.xzbu.com/4/view-15290166.htm