医院计算机维护和网络安全管理的问题及对策

随着社会信息管理的处理，信息收集，分析和应用成为决定个人和研究机构竞争力的重要资产。在加强人力资源培训和研发的基础上，公共投资有很多，以控制社会信息管理的副作用。由于医院直接收集，使用和存储与个人隐私相关的个人信息和健康信息，因此信息泄露，伪造和伪造的风险比任何其他机构更严重。保护个人健康信息的行为对医院和患者都非常重要。确保医疗信息的机密性是医疗行为持续性的基本条件。因此，医院应该根据规则，法规和医疗法规向医院收集， 使用，披露和存储个人健康信息的患者展示可靠性。国内医院通过“医疗服务法”，“公共机构维护个人信息保护法”和“信息通信网络利用和信息保护促进法”等保护个人健康信息。但是，仅适用于部分医疗服务人员，并不涵盖医院所有使用医疗信息系统的人员。此外，还不足以满足公众对信息保护的要求。

为了满足信息安全的要求，医院应建立并实施信息安全管理系统（ISMS）。它确保了医院信息资产的稳定性和可靠性，并保证医疗信息的机密性，完整性和可用性。然而，由于缺乏反映医疗服务特点的标准化ISMS，因此很难将现有的ISMS 应用于医疗信息系统。信息安全和医疗中心和患者都可能面临严重的风险。因此，需要立即在医院建立安全性，因此需要国家一级与个人健康信息保护和安全相关的标准。

一、医院网络安全问题简介

为了控制和维护信息资产的保护，需要作为识别信息资产和评估风险的基础的信息资产分类。资产管理，资产责任控制和信息分类的平均比例分别为32.7％，31.6％和34.3％。资产管理被分析为ISMS 中最脆弱的条款。几乎没有分类指导原则，这是建立医院信息安全管理对策的基础。在制定和管理医院的资产清单方面不足。在资产管理子控制中资产所有权最不充分。涉及员工，承包商和第三方用户等医院的人员应了解信息保护的责任，医院应建立终止或变更工作程序，以及培训全体员工的教育和评估时间表。人力资源安全分数的平均百分比为61.8％，其中“就业前”得分最低（52.8％）。在就业前审查考虑，甄别政策适度实施（77.1％），但角色和责任的分控制，就业条款和条件并不是很高。在终止或变更工作的情况下，医院完成了资产归还和取消准入权的分控制，但是没有标准的终止或变更工作程序。医院建立了信息安全教育培训计划，但没有详细的目标和内容。一些医院实施信息安全教育和培训，这不是基于具体的计划。

二、医院计算机维护问题及对策

为了避免不适当的人身通道，应确定并规定安全区域，并规定处置和重新使用设备，清除财产和设备外部安全。物理和环境安全分数，安全区域控制和设备安全分数的平均百分比分别为69.1％，52.8％和82.2％。物理安全边界和物理入境控制分别需要得到控制。没有办公室的入口日志，即使在信息资产集中的数据处理部门也是如此。公共访问和交付被证明是次要控制中最容易受到影响的。只有当医院的设备安全水平相对较高，布线安全管理水平较高时才能应对上述问题。但是可能包含个人健康信息的设备已被不当使用并重新使用。

为确保医疗信息系统的安全运行，应根据移动代码等信息技术趋势建立对策和操作程序。通信和运营管理得分的平均百分比为62.1％。最脆弱的控制是第三方服务交付。信息备份处于中等水平，但监控媒体处理防范恶意和移动代码的能力不足。在操作程序和责任方面，包含非常重要信息的医疗信息系统的网络安全管理不受控制。对移动代码（如Active-X 和媒体处理）的安全漏洞缺乏认识。特别是可移动媒体的管理不妥善管理。对于监控，时钟同步管理得很好，但管理员和操作员日志的级别以及日志信息的保护程度都很低。为了避免控制未经授权的访问和控制对信息的访问权限，应该配备访问控制。访问控制，移动计算，远程工作和用户责任控制得分的平均百分比分别为68.6％，47.0％和52.0％，与其他控制类别相比，其平均比例不足。访问控制应该建立在识别商业计划的信息和风险以及分析安全需求的基础上。然而，医院并没有为这些事情准备条例和指导方针。医疗信息系统包括重要的个人健康信息应与互联网分开，但有些医院并没有将个人医疗记录与身体或逻辑网络分开。在移动计算和远程工作方面，远程医疗有很多需求，但由于安全问题，现在它也不被允许。

三、网络安全管理系统的问题及对策

安全是信息系统不可或缺的组成部分，因此安全要求应该通过信息系统的获取，开发和维护等各个环节来验证。信息系统获取，开发和维护，密码控制控制和信息系统安全需求的平均百分比分别为65.8％，49.5％和53.3％。技术漏洞管理比例为55.0％。在信息系统获取和开发的情况下，网络加密不适用。包含患者个人健康信息的测试数据被用于信息系统的获取，开发和更改，并且没有适当地进行审查。

对于合法性，医院应审查现行的信息安全法律法规。遵守法规要求，符合法律要求，但知识产权（IPR）尤其是软件知识产权管理不足。应定期审查是否遵守安全政策和标准，但不存在用于检查技术合规性的法规或准则。信息系统审计结果和后续行动已经实施，但信息系统审计计划处于较低水平。在管理方面，医院应根据内部和外部变化审查现有政策并配备详细的政策文件，包括声明，法规，指导等。此外，还需要组织一支信息安全团队，其信息安全角色和职责明确。新员工的聘用合同文件应包含信息保护的责任，医院应建立终止或变更雇佣的程序。以及确保教育和评估时间表来培训所有员工。随着医院业务效率和成本效益的外包增加，第三方协议应提出安全要求。为了遵守规定，严格加强对知识产权的限制。

随着技术的不断增加，技术漏洞的范围和水平需要定期确定和审查。尽管医院的灾难恢复系统没有针对安全事件行为和业务连续性的强制性规定，但需要安全事件处理系统。此外，跟踪安全事件以及防止它们也很重要。灾难恢复系统的成本非常高，因此需要对其规模进行适当的测量。对于改进信息安全条款不足以验证的成本和人力来说，这可能是一个很大的负担。然而，有必要在医院建立ISMS，以确保患者的信任，确保他们的隐私，并为各种目的安全使用医疗记录。最重要的是实施ISMS 的意愿，并尝试以长期和全面的视角来满足信息安全的国际标准，并定期对其进行审核。医院可以从可行的安全要求（如制定政策和法规或补充安全缺陷）来处理信息安全。这是是非常必要的。

（作者单位：南阳医学高等专科学校第一附属医院）