医院网络信息安全如何管理?|医院信息化百问百答
目前,CHIMA正在开展“百问百答”活动,根据已收集到的医院信息化管理者聚焦的关键问题,邀请CHIMA委员进行解答,以期通过专家的“分布式智慧大脑”,寻求破题思路。
在医院网络信息系统中,安全主要是涉及硬件、软件和管理三方面,重要性日益凸显。在具体实践中,信息科应该培养专业的网络信息安全工程师,还是把网络信息安全外包给第三方公司?对该话题,专家给出了解读。
信息科应该培养专业的网络信息安全工程师,还是把网络信息安全外包给第三方?
"专家A:
网络安全越来越重要,单纯一个解决方案难免不足以满足工作需要。建议一定设置专职的网络安全工程师,直接向信息中心主任负责,统管信息安全工作。但信息安全涉及面非常广泛,一个工程师能力难免有限,所以应该强化信息安全意识,需要全院参与,加强领导责任,循序渐进提升安全。也可以增加安全厂商的驻场或者辅助运维,比如安全数据分析、安全时间分析、紧急时间解决等。第三方解决了专业性的深度问题。但这样依旧人力和及时性有限,因此建议采购第三方MSS安全运维服务,在医院设置安全探针或者安全数据采集盒,云端服务商7X24服务,发现问题及时通知医院网络安全工程师,并及时处理,让安全问题动态清零。三级三线安全建设可以一定程度上加强网络安全。
"专家B:
应是两者相结合,既采购第三方的安全服务也培养自己专业的网络安全工程师。人才培养时间周期长,专业程度的深度不够,需要很长时间才能达到专业公司的水平,而完全外包给安全公司,他们对医院的业务和应用场景不熟悉,同时也容易被他们牵着鼻子走,所以需要两者相结合。可以建立联席制度,协同办公,互相督促、互相支持。
"专家C:
两者都需要:要有信息科专业的信息安全工程师,可以处理日常的信息安全问题;同时,像等保等专业的评审工作就需要非常专业的安全公司来做。
"专家D:
应该培养信息科专业的网络信息安全工程师。
"专家E:
自己培养专业的网络信息安全工程师,所有方案及管理由自己掌握,第三方公司只是实施和运维。
"专家F:
日常工作应该有一名网络信息安全工程师,但是仍需要外包给一家安全公司,确保出现安全事故时应急解决问题。
"专家G:
医院的网络建设是信息化建设的基础和核心,关乎医院信息系统能否正常运行,是重中之重,也可以说是信息科的核心岗位。因此,从医院的整体网络规划、设计、网络安全和日常运维实施等工作,都需要信息科自己掌握,不建议外包给第三方公司。如果实在没有网络工程师人才,建议只外包部分功能,不能全部都外包,信息科什么都不管,是非常危险的!
"专家H:
应该培养至少一名信息科专业的网络信息安全工程师,对医院全局网络信息安全进行把控,日常运维及疑难故障处理需外包给第三方安全公司,减轻医院压力,降低风险,提高稳定性。
"专家I:
需要两方面结合。国家越来越重视网络安全,上级行业管理部门、地方公安部门、审计部门等每年都有新的要求及各类检查,职责通常是放在信息科,因此科室一定要有自己的网络信息安全人员,负责安全体系的规划、管理等,而相对专业技术较强的安全技术实施及维护可以外包给第三方公司,由信息科网络安全人员进行统一管理。
上一篇: HIS人生(一):职业结缘
下一篇: 李巍:医院信息系统项目失败案例经验谈