医院信息数据安全管理制度

医院信息数据安全管理制度

经历20多年的发展，中国医疗信息化建设已初具规模，医院信息系统(HIS)为医院的正常运营和科学化管理提供保障，然而，医院信息管理系统在信息安全保密方面依然是医疗信息化建设的短板，严重影响或制约了信息化进程。

谁为医疗信息补漏

随着信息技术的不断发展，在医院这种社会公共服务领域，收集和储存了大量的公民个人信息。但在当前对医疗行业提供的网络安全技术解决方案中，仍以防火墙(FW) 防病毒(AV)为主流选择，但是这些传统的安全技术手段只能阻挡部分从外部到内部的攻击，并且对来自内部的信息窃取完全无能为力，这就导致了“泄密门”事件一次次发生，引发重要数据的丢失、破坏，不仅严重影响到医院网络的正常运行，还直接威胁到患者的隐私和生命安全。

安全隐患暴露最近，深圳就发生了一次全市的孕妇信息库泄露事件，不法分子将孕妇的资料制成了“泄密光盘”，4万条包括孕妇姓名、出生日期(婴儿)、户口性质(流动、暂住、常住)、家庭住址、联系电话、以及就诊医院及预产期的信息以每条0.3元的价格进行销售，更令人咂舌的是这些信息每月还“滚动更新”，累计达到了10万条。

而据记者调查发现，很多乳品厂商也通过固定的渠道从医院套取孕妇的个人信息来达到赚钱的目的。甚至，某些医

院的个别工作人员已经和一些个人医疗信息的“收购贩子”形成了秘密而固定的“销售渠道”，一般人很难插手。

调查中，乳品企业的一名销售经理向记者出示了一打儿厚厚的，记录了产妇及其丈夫个人信息的表格。随后，记者按照这位销售经理提供的号码拨打了某医院产科护士长的电话，表示要购买个人信息，对方很严肃地说：“不行，我们这里的个人信息是严格保密的，绝对不可以出售。”而当那位销售经理亲自给那家医院的产科护士长打电话时，对方却让他过去取资料。

事实上，医院出现信息系统安全的问题已经相当普遍，采访中国内某医院的一位IT中心工作人员向记者抱怨道，“信息安全的重要性，恐怕只有IT部门知道，而当今大多数医院的IT部门，在医院充其量还只是扮演‘保姆’的角色。”

这位工作人员指出，国内医院信息化普遍起步晚、投入少，基本的IT软硬件环境尚且捉襟见肘，更无法顾及信息安全系统建设。像他所在这的这家有着数十年建院史的大型医院，在IT投资上也可谓“保守”，在近20年的信息化过程中，信息装备投入十分有限，仅仅在近几年，才投入几百万元对全院的网络进行升级。

“而更严重的是，目前医院的IT部门普遍处于很低的地位，信息安全在医院领导观念中就更为淡漠，这造成了医

院IT投资优先考虑的是业务的需求，而非保障信息安全。这给医院的信息系统埋下了巨大的安全隐患。”这位工作人员表示。

滥用权限严重如何才能解决当前的医院信息安全问题呢?首先我们需要了解下目前医院信息安全的问题所在。

据有着多年医疗行业系统集成经验的蓝天科技的总经理钱朝阳博士介绍，由于医院内部的滥用过高权限、滥用合法权、非法接入等行为导致目前我国的医疗信息安全主要存在三方面的问题：第一，没有重视和执行对医务人员的信息安全知识、法规、标准的宣传、培训、考核，没有规定和实行医院信息系统安全的相关制度;第二，网络安全观念较为老旧，网络设计存在缺陷，比如过于单方面依赖防火墙;第三，对HIS系统，没有一定的安全监督、审查、验收机制。

“目前很多医院的一把手开始重视信息安全的问题，只有从根本管理制度上解决医院工作人员对医疗信息的权限混乱，无人监管问题，才能解困医院的信息安全谜题。”

基于医疗系统的信息安全隐患，钱朝阳提出，目前医疗系统的信息安全建设也要针对性的分三步来走：第一步，加强内部管理，在提高医务人员保护患者个人信息及医疗信息意识的同时，制定符合本单位实际情况的管理制度;第二步，重点保护核心业务系统;第三步，进行统一的安全管理，全面、高效保障网络及信息安全。