网络安全宣传周，信息科能做什么？

　　2023年国家网络安全宣传周(以下简称网安周)于9月11日至17日在全国范围内统一开展。今年的网安周以“网络安全为人民，网络安全靠人民”为主题，深入宣传《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等重要法律法规、政策文件、国家标准，通过论坛、研讨、展览、竞赛等形式，党政机关、科研机构、高校、企业、社会组织、群众等各方力量广泛参与网络安全宣传活动，全面营造全社会共筑网络安全防线的浓厚氛围。

　　站在医院信息科角度，如何正确认识和充分利用网安周，首先要摒弃一种错误的心态。

　　错误心态：网络安全这件事，信息科平时已经够重视了，也作为评级、等保的硬性要求，老生常谈。因此，没必要刻意强调。而且，网络安全，更多地应该面向全院工作人员做好宣传，信息科都是专业人士，无论知识储备和实操能力，都够用。

　　正确认识：信息科既是医院网络和数据安全的责任主体，也是医院网络安全方面的专业人士。对于网络安全宣传周这个“限时福利”，信息科应该“借势”发挥，有所作为，展示自己有担当、不缺位、够专业的态度精神。

　　每逢网安周，在网上都能看到信息科精心策划的节目，来看几个典型案例：

　　主动发声。在网安周期间，解放军总医院信息科、中山三院粤东医院信息科等，借助医院公众号，对外宣传网络安全知识，解放军总医院信息科更是通过漫画与知识相结合的形式，把网络安全知识讲得更细、更丰富、更通俗易懂。

　　实战演练。如何在不干扰临床诊疗秩序的前提下，组织一场事关网络安全的全院演练，并且让大家都有所收获?这方面有个很好的案例，华山医院信息中心，于8月下旬，利用5天时间，对全院员工(近5千余个)开展了网络钓鱼邮件测试，旨在提升全院人员安全意识，加强防护意识。

　　别小看这个活动，这个测试本身就是该院网络安全周的配套内容，集原创性、趣味性于一体，也展示了信息科的担当和专业精神。

　　也别以为在内网就没人上钩，从活动来看，确实有工作人员放松警惕，向钓鱼邮件提交了全套个人数据。因此，在活动结束后，该科又专门发文，提醒大家如何防范钓鱼邮件。可以说，活动善始善终，达到了应有的效果。

　　查漏补缺。很多医院的信息科“家大业大”，即使平时大家都很尽责，难免有一些琐碎的日常业务和边边角角，存在安全隐患。借助网络安全周的活动氛围，信息科可以跳出技术思维，站在安全管理的角度，进行一次安全形势分析，查漏补缺，看看有无潜藏的隐患。

　　比如，有些信息科负责全院的门禁及业务账号的审核发放。那么，在各业务子系统中，还有没有离职工作人员的门禁和账号，没有及时注销;有些在职人员，岗位已经发生变化，账号权限给得过多过大，等等问题隐患。这些账号和权限，会不会通过外借、外租的方式，继续行使各项权限，为个人提供便利，甚至牟利?

　　看到这里，信息科可能会说，门禁、账号确实归我管，但离职人员名单需要人力资源部门提供，这就是我在文章开头说的，这些平时没人管的事，此时就该借助网安周这个阶段性的福利，作为自查隐患，把问题拿到台面上来讲，趁势推动解决。

　　除了上述几个案例，信息科还可以采取向全院授课等方式，在配合活动的同时，提升科室形象。当然，具体情况要根据信息科的能力水平和繁忙程度决定，想要省时省力，一篇新闻稿足以;想要独具匠心，则需要精心设计、通盘考虑，不仅考验技术，还涉及跨部门沟通等，出精品不容易，但是也锻炼人。

　　以上是几点个人想法，参照了部分医院的案例，不到之处还请大家批评指正。如果有好的做法，也请多分享。

　　作者简介

　　李楠，CHIMA委员。现从事医院管理和信息化工作。作者观点仅代表个人，纯属技术交流，与供职单位无关。