医疗卫生行业信息安全等级保护的现状与对策
来源:用户上传
作者:
摘 要:随着我国基本迈入信息化时代,信息技术已渗透到了人们生活的方方面面。在医疗卫生领域,各类信息系统早已取代了原始的纸质办公深入医疗单位的运行。随之而来的一个重要问题是如何确保相关信息安全日渐突出。一旦某些重要的信息遭到泄露,将会牵涉甚广,给社会带来重大的不利影响。因此,保障医疗卫生行业的信息安全迫在眉睫。基于此现状,卫生部于2011年11月印发了《卫生行业信息安全等级保护工作的指导意见》通知,明确提出了卫生行业信息安全等级保护工作的指导意见,由此相关的信息安全工作有文可依,有据可循。随着卫生行业等级保护工作已经开展数年,该文将结合笔者自身工作情况就当前行业等保工作的现状以及可行对策进行分析和阐述,希望能够对行业相关工作人员起到帮助。
关键词:医疗卫生 等级保护 现状 对策
中图分类号:R197.1 文獻标识码:A 文章编号:1672-3791(2019)06(b)-0220-02
信息安全事件分为4个等级,分别为:特别重大事件、重大事件、较大事件和一般事件,不同等级的安全事件将带来不同程度的后果,从而产生不同程度的影响。譬如:特别重大事件是指能够产生特别重大影响以及破坏的信息安全事件。一旦这种级别的医疗信息遭到破坏或泄露,不仅仅关系着个人隐私,而且在医患矛盾十分突出的今天可能造成恶劣的社会影响,甚至还可能影响到国家的医疗政策及应对措施。因此在医疗卫生行业开展信息安全等级保护并坚决贯彻落实是相当重要的,下面将具体地介绍当前等保工作存在的问题并且将就这些问题提出合理的解决措施。
1 当前医疗卫生行业信息安全等级保护的现状
1.1 缺乏专职专业管理人员
尽管目前许多医院尤其是三甲医院对信息安全等级保护工作已经十分重视,但就实际情况来看,仍然存在着诸多管理上的漏洞。基本上各级医院目前都配备有专门的信息部门来管理等级保护方面的工作,但碍于部门规模、专业技能等因素专职的信息安全管理人员为数不多,具有较高相关职业水准的人员更是凤毛麟角。这导致与信息安全等级保护相关的工作缺乏连续性,严重影响管理进程和贯彻落实。久而久之将会不可避免的产生一些问题,譬如等保评测检查出的问题却未有后续跟进,每次评测每次都是那些老问题。因此,缺乏专职专业的信息安全管理人员对信息安全等级保护工作危害巨大。
1.2 缺乏系统的管理标准
常言道:没有规矩无以成方圆。这句名言所隐含的道理同样可以适用到医疗卫生行业的信息安全等级保护当中。尽管医疗工作者们已经不断加强了信息安全保护的意识,但是缺乏系统的信息安全等级保护的管理标准同样会严重影响信息安全保护工作的有效开展和进行。因此,为了能够更好地保障医疗卫生领域的信息安全问题,管理者必须制定一套详细的管理制度,这样可以使信息安全管理工作有条不紊地进行,从而减少随意的、自由的、不按规定的“乱管理”现象频繁发生。并且制定系统的管理制度还可以提高管理效率,避免管理人员走弯路,有效确保安全管理工作的有序进行。
1.3 临床人员缺乏信息安全保护意识
即使医疗行业信息系统管理人员对信息安全等级保护的意识已经逐步建立并且不断加强,但是许多的临床部门医护人员依旧没有意识到信息安全保护工作的重要性。在他们看来,现有的保护措施已经足够保障信息的安全,没有必要再花费更多的人力、物力和财力在这些方面。“过度”的安全保障措施只会使工作流程更加复杂,降低工作效率,对某些安全管理措施甚至有抵触情绪。因此,为了能够更好地开展相关的管理落实工作,信息系统管理者首先必须加强医护人员对信息安全的认识,使他们认识到贯彻落实信息安全保护工作才能有效地保障信息安全。
2 改善现状的措施建议
2.1 设立专职专业的管理人员
医疗卫生机构等保工作管理部门应当设立专职管理人员,由此保证信息安全等级保护工作的有效性、连续性。专职人员一方面对等保工作起到管理监督作用,另一方面也可以督促相关人员积极参与配合,保证工作的落实。为了能够更好地执行管理工作,信息安全管理部门应当为专职人员安排定期的相关专业技能培训及定期的业务考评制度,由此保障提高管理人员的专业技能水平。部门内要进行分工合作,不同人员负责专门的职责,让每个人都有明确的工作对象和目标,这样可以调动员工的工作积极性,提高工作熟练度,提升效率。因此,设立信息安全等级保护工作专职专业管理人员是确保信息安全等级保护工作能贯彻落实的关键因素之一。
2.2 制定规范的管理标准
要想保障信息安全等级保护工作的有效进行,除了人员因素外还必须要制定一套系统的管理标准,这样可以使整个等级保护工作执行起来有制度可循,更有序、更高效。即使负责等级保护工作的管理人员时有更迭,还是可以根据规范标准的管理制度贯彻落实等级保护工作。制定出一整套这样的规范标准的管理制度起步阶段虽然有不小的困难,但是一旦规范标准完成,并坚持不断完善,对之后的等级保护工作将受益无穷。因此,制定规范的管理标准是确保信息安全等级保护工作的另一个关键因素。
2.3 加强临床人员信息安全意识
为了能够更有效开展信息安全等级保护工作,保障等保工作的有效性、持续性,有一个重要的方面是提高临床医护人员的信息安全意识。加强临床医护人员信息安全意识可以从以下诸多方面开展,例如:可以定期开展临床医护人员关于信息安全方面知识的简单培训,让他们从最基础的层面上了解到有关信息安全的重要性,认识到等级保护工作对医疗信息安全起到的关键作用。其次,可以在基础培训同时对临床医护人员进行培训相关的简单考核,使他们对信息安全基础信息能有更加深刻的认知,填补他们在这方面的空白。同时可设置相应的奖惩制度,确保考核工作的顺利有效进行。最后,可激发医护人员的工作热情,请他们根据之前的培训和考核对自身所服务的医疗机构的信息安全等级保护工作提出不同方面的意见和建议。因此,加强临床医护人员信息安全意识和对等级保护工作的认知是也是一个非常重要的因素。
3 结语
信息安全目前在各个领域都是重中之重,医疗卫生行业的信息安全等级保护工作对于医疗信息安全的建设和发展同样是重中之重。一旦重要医疗信息遭到泄露破坏将会对社会产生很大的不良影响。因此保障医疗信息安全,坚决贯彻等级保护工作是当前行业相关执业人员的重中之重。这不仅需要深刻认识到当前医疗行业信息安全等级保护工作开展的现状,还需要提高本身的专业技能水平,不断完善规范标准的管理制度。未来随着等级保护工作的持续和深入,将从政府、国家的层面自上而下地为等保工作贯彻落实提供更好的保障。
参考文献
[1] 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知[J].中国卫生信息管理杂志,2011(6).
[2] 肖革新,马家奇,周立平,等.公共卫生信息系统安全等级保护建设相关问题思考[J].医学信息学杂志,2012,33(2):2-8.
[3] 江杰波.医疗卫生行业信息安全等级保护的现状与对策研究[J].中国新通信,2018,20(11):138.
[4] 王丽娜,张东军.医疗卫生行业信息安全等级保护的现状与对策[J].医疗卫生装备,2013(6):87-88.
[5] 蔡雨蒙,朱一新,刘云,等.医疗卫生行业信息安全等级保护探讨[J].医学信息学杂志,2014,35(9):12-15.
转载注明来源:https://www.xzbu.com/8/view-15003022.htm
