医院网络信息安全如何管理？｜医院信息化百问百答

　　目前，CHIMA正在开展“百问百答”活动，根据已收集到的医院信息化管理者聚焦的关键问题，邀请CHIMA委员进行解答，以期通过专家的“分布式智慧大脑”，寻求破题思路。

　　在医院网络信息系统中，安全主要是涉及硬件、软件和管理三方面，重要性日益凸显。在具体实践中，信息科应该培养专业的网络信息安全工程师，还是把网络信息安全外包给第三方公司?对该话题，专家给出了解读。

　　信息科应该培养专业的网络信息安全工程师，还是把网络信息安全外包给第三方?

　　"专家A:

　　网络安全越来越重要，单纯一个解决方案难免不足以满足工作需要。建议一定设置专职的网络安全工程师，直接向信息中心主任负责，统管信息安全工作。但信息安全涉及面非常广泛，一个工程师能力难免有限，所以应该强化信息安全意识，需要全院参与，加强领导责任，循序渐进提升安全。也可以增加安全厂商的驻场或者辅助运维，比如安全数据分析、安全时间分析、紧急时间解决等。第三方解决了专业性的深度问题。但这样依旧人力和及时性有限，因此建议采购第三方MSS安全运维服务，在医院设置安全探针或者安全数据采集盒，云端服务商7X24服务，发现问题及时通知医院网络安全工程师，并及时处理，让安全问题动态清零。三级三线安全建设可以一定程度上加强网络安全。

　　"专家B:

　　应是两者相结合，既采购第三方的安全服务也培养自己专业的网络安全工程师。人才培养时间周期长，专业程度的深度不够，需要很长时间才能达到专业公司的水平，而完全外包给安全公司，他们对医院的业务和应用场景不熟悉，同时也容易被他们牵着鼻子走，所以需要两者相结合。可以建立联席制度，协同办公，互相督促、互相支持。

　　"专家C:

　　两者都需要：要有信息科专业的信息安全工程师，可以处理日常的信息安全问题;同时，像等保等专业的评审工作就需要非常专业的安全公司来做。

　　"专家D:

　　应该培养信息科专业的网络信息安全工程师。

　　"专家E:

　　自己培养专业的网络信息安全工程师，所有方案及管理由自己掌握，第三方公司只是实施和运维。

　　"专家F:

　　日常工作应该有一名网络信息安全工程师，但是仍需要外包给一家安全公司，确保出现安全事故时应急解决问题。

　　"专家G:

　　医院的网络建设是信息化建设的基础和核心，关乎医院信息系统能否正常运行，是重中之重，也可以说是信息科的核心岗位。因此，从医院的整体网络规划、设计、网络安全和日常运维实施等工作，都需要信息科自己掌握，不建议外包给第三方公司。如果实在没有网络工程师人才，建议只外包部分功能，不能全部都外包，信息科什么都不管，是非常危险的!

　　"专家H:

　　应该培养至少一名信息科专业的网络信息安全工程师，对医院全局网络信息安全进行把控，日常运维及疑难故障处理需外包给第三方安全公司，减轻医院压力，降低风险，提高稳定性。

　　"专家I:

　　需要两方面结合。国家越来越重视网络安全，上级行业管理部门、地方公安部门、审计部门等每年都有新的要求及各类检查，职责通常是放在信息科，因此科室一定要有自己的网络信息安全人员，负责安全体系的规划、管理等，而相对专业技术较强的安全技术实施及维护可以外包给第三方公司，由信息科网络安全人员进行统一管理。