如何在保障信息安全的同时，确保医疗服务的正常运行？｜医疗信息化MDT问答

　　Q

　　随着大数据的利用、便捷患者或医务人员使用（互联网应用越来越多），信息安全问题日益凸显，给医疗信息工作带来了极大挑战。在经费有限的情况下，如何在保障信息安全的同时确保医疗服务的正常运行？

　　A

　　1.信息安全思想认识

　　分析一下大家提出的问题“如何在保障信息安全的同时，确保医疗服务的正常运行”。保障信息安全的同时，就有可能无法保证医疗服务的正常运行吗? 答案一定是否定的。我们做好信息化建设和信息安全都是在保证医疗服务正常运行的大前提之下，能够给临床业务工作提供更多更好的技术支持和安全保障，使得医疗服务更加现代化和安全。所以，我们需要正确认识到信息化建设与信息安全如同一把双刃剑，既为我们带来了前所未有的便捷性革命，也让我们面临着严峻的安全挑战。在享受信息化带来便利的同时，我们不能忽视其可能带来的风险。为了实现信息化时代的可持续发展，我们需要加强技术研发、提升安全防护能力、处理好医疗发展协调与平衡。

　　2.对于经费投入的认识

　　在经费有限的情况下，不是在安全建设上花的钱越多，就会越安全。不妨先抽时间冷静地分析一下，已经使用了哪些安全工具以及它们的效果如何。如果长期在为一些并不需要的信息安全工具或功能付费，又或者可以通过工具整合和集成等措施以较低的总成本获得同样的防护效果，那么就意味着信息安全投资并没有获得合理回报。另一方面，可以对风险进行梳理并分级，制定中长期风险消除计划，利用有限的经费优先解决高风险问题、补齐明显短板，拉长投资周期，逐步提升安全防护水平。

　　随着网络技术的迅猛发展，信息安全问题也日益凸显，黑客攻击手段也越来越先进，“易攻难守”正在被用来形容信息安全攻防战的新常态，旧有的网络设备往往难以应对新的威胁，为了保护网络系统的安全性，需要投入一定资源及经费来进行信息安全的保护。

　　3.信息安全的预算

　　信息安全预算主要包括以下几个方面开支：

　　(1)信息安全基础设施投入(包括防火墙、入侵检测系统、数据备份和恢复系统等硬件设备的购置和维护费用)；

　　(2)信息安全软件投入(包括杀毒软件、漏洞扫描工具、安全审计软件等软件的购买和更新费用)；

　　(3)信息安全服务投入(包括外包安全审计、安全咨询、安全培训等专业服务费用)；

　　(4)信息安全人力投入(包括安全团队的薪酬、培训和招聘费用)；

　　(5)应急响应与恢复预算(为应对安全事件，设立的应急处理和业务恢复所需的预算)。

　　4.一些不花钱也需要特别做好的安全举措

　　(1)杜绝弱口令、弱密码；

　　(2)医生站护士站等工作电脑封USB端口；

　　(3)加强全院全员的安全意识和安全培训；

　　(4)加强安全的制度化和流程化建设；

　　(5)定期进行安全演练和安全大检查；

　　(6)加强厂商的安全管理，控制好运维权限；

　　(7)检查我们已有的安全产品是否都发挥作用，如防火墙都开启防毒功能、策略的合理性；

　　(8)定期进行数据备份与恢复的检查与核对工作；

　　(9)加强安全工程师的技术培训和主动发现问题的安全意识；

　　(10)经常向领导汇报信息安全风险和风险舆情，可以通过合规性要求、利用一些敏感热点事件争取更多的经费支持。

　　——孙国强 中国医学科学院北京协和医院

　　如果您在医疗信息化工作有任何困惑，欢迎发送邮件至邮箱：sec@chima.org.cn，我们将邀请行业资深人士答疑解惑。