网络安全宣传周,信息科能做什么?

发布时间:2023-09-18
浏览次数:

  2023年国家网络安全宣传周(以下简称网安周)于9月11日至17日在全国范围内统一开展。今年的网安周以“网络安全为人民,网络安全靠人民”为主题,深入宣传《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等重要法律法规、政策文件、国家标准,通过论坛、研讨、展览、竞赛等形式,党政机关、科研机构、高校、企业、社会组织、群众等各方力量广泛参与网络安全宣传活动,全面营造全社会共筑网络安全防线的浓厚氛围。

  站在医院信息科角度,如何正确认识和充分利用网安周,首先要摒弃一种错误的心态。

  错误心态:网络安全这件事,信息科平时已经够重视了,也作为评级、等保的硬性要求,老生常谈。因此,没必要刻意强调。而且,网络安全,更多地应该面向全院工作人员做好宣传,信息科都是专业人士,无论知识储备和实操能力,都够用。

  正确认识:信息科既是医院网络和数据安全的责任主体,也是医院网络安全方面的专业人士。对于网络安全宣传周这个“限时福利”,信息科应该“借势”发挥,有所作为,展示自己有担当、不缺位、够专业的态度精神。

  每逢网安周,在网上都能看到信息科精心策划的节目,来看几个典型案例:

  主动发声。在网安周期间,解放军总医院信息科、中山三院粤东医院信息科等,借助医院公众号,对外宣传网络安全知识,解放军总医院信息科更是通过漫画与知识相结合的形式,把网络安全知识讲得更细、更丰富、更通俗易懂。

1.jpg

2.jpg

  实战演练。如何在不干扰临床诊疗秩序的前提下,组织一场事关网络安全的全院演练,并且让大家都有所收获?这方面有个很好的案例,华山医院信息中心,于8月下旬,利用5天时间,对全院员工(近5千余个)开展了网络钓鱼邮件测试,旨在提升全院人员安全意识,加强防护意识。

  别小看这个活动,这个测试本身就是该院网络安全周的配套内容,集原创性、趣味性于一体,也展示了信息科的担当和专业精神。

  也别以为在内网就没人上钩,从活动来看,确实有工作人员放松警惕,向钓鱼邮件提交了全套个人数据。因此,在活动结束后,该科又专门发文,提醒大家如何防范钓鱼邮件。可以说,活动善始善终,达到了应有的效果。

  查漏补缺。很多医院的信息科“家大业大”,即使平时大家都很尽责,难免有一些琐碎的日常业务和边边角角,存在安全隐患。借助网络安全周的活动氛围,信息科可以跳出技术思维,站在安全管理的角度,进行一次安全形势分析,查漏补缺,看看有无潜藏的隐患。

  比如,有些信息科负责全院的门禁及业务账号的审核发放。那么,在各业务子系统中,还有没有离职工作人员的门禁和账号,没有及时注销;有些在职人员,岗位已经发生变化,账号权限给得过多过大,等等问题隐患。这些账号和权限,会不会通过外借、外租的方式,继续行使各项权限,为个人提供便利,甚至牟利?

  看到这里,信息科可能会说,门禁、账号确实归我管,但离职人员名单需要人力资源部门提供,这就是我在文章开头说的,这些平时没人管的事,此时就该借助网安周这个阶段性的福利,作为自查隐患,把问题拿到台面上来讲,趁势推动解决。

  除了上述几个案例,信息科还可以采取向全院授课等方式,在配合活动的同时,提升科室形象。当然,具体情况要根据信息科的能力水平和繁忙程度决定,想要省时省力,一篇新闻稿足以;想要独具匠心,则需要精心设计、通盘考虑,不仅考验技术,还涉及跨部门沟通等,出精品不容易,但是也锻炼人。

  以上是几点个人想法,参照了部分医院的案例,不到之处还请大家批评指正。如果有好的做法,也请多分享。

  作者简介

  李楠,CHIMA委员。现从事医院管理和信息化工作。作者观点仅代表个人,纯属技术交流,与供职单位无关。