首家信息安全达标医院花落阜外
阜外医院信息安全率先达标,对全国其他医院的信息安全建设起到了示范作用。
2012年底,北京两家三甲医院信息系统先后出现问题,导致患者就诊受到影响。虽然问题很快得以解决,但由此引发的医院信息系统安全性问题,仍引起了业界广泛关注。
针对此问题,早在2011年12月,卫生部办公厅就曾下发《卫生行业信息安全等级保护工作的指导意见》(下称《指导意见》),要求三甲医院核心业务信息系统信息安全保护等级不低于第三级,各家医院也应于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
2012年11月7日,中国医学科学院阜外心血管病医院(下称“阜外医院”)在全国率先通过国家信息安全等级保护第三级测评,成为全国首家信息安全达标医院。提前三年达标的同时,阜外医院还率先实践了医院等级保护测评和申报等工作,对其他医院进行医院信息安全建设起到示范作用。信息安全隐忧
, 百拇医药
随着现代信息技术的飞速发展,医疗机构对信息系统的依赖程度越来越强。在享受信息技术给医院日常运营带来便捷性的同时,医院信息系统安全也存在隐忧。医院信息系统一旦出现故障,将给医院业务运营受带来影响,甚至造成患者个人信息外泄,给社会和个人带来严重负面影响。
“医院信息系统稳定性和安全性的重要程度表现在方方面面。”阜外医院信息中心主任赵群向《中国医院院长》记者介绍:“医院业务对宕机时间要求短,尤其是门诊业务,若超过15分钟便会产生大范围的影响;很多医院的信息系统是多个厂商提供,各个厂商提供的系统没有内在构架之间的整体联系,因而只能采用集成的方式。而集成的混合性越高,出现信息安全风险的几率越大。”
2012年12月8日,北京协和医院因叫号系统发生故障,导致数百名抽血患者滞留门诊采血区。时隔半月,北京儿童医院也因网络系统突然瘫痪,导致门诊挂号、开处方等工作被迫暂停近3小时,患者就诊一度混乱无序。
, 百拇医药 尽管两家医院所发生的医疗信息事故很快得以解决,但其暴露出的信息安全问题却引发业内深思。正如中国医院协会信息管理专业委员会副主任委员沈韬所言,医院信息安全是医院信息系统建设到一定程度后,必然面临的一个问题。
事实上,为规范信息安全等级保护管理工作,2007年,公安部等四部委就联合制定了《信息安全等级保护管理办法》,并将信息安全保护等级划分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
而《指导意见》启动了医疗界加强信息安全管理的征程。
阜外医院通过测评,不仅提高了医院对患者隐私安全的服务能力,也增强了医院运营的安全性。阜外医院党委书记李惠君将医院做到门诊及住院费用双低、业务量及满意度提高,归功于医院信息化建设。
引领信息安全建设
, 百拇医药
阜外医院的信息系统建设始于2002年。经过十余年发展,目前该院已建成一套以电子病历为核心,信息高度集成、流程严格控制、知识系统完备、具备事前控制能力、具备医疗成本控制体系、符合心血管专科医疗特色的信息化支撑平台。
由于阜外医院的信息系统已经贯穿了患者从门诊到住院的每一个就医环节,任何环节一旦出现故障,就会导致医院业务停滞。“阜外医院从技术、管理、保证系统连续性三个方面入手,构建了具有医疗特色的信息安全等级保护纵深防御体系。”赵韓介绍。
就网络安全而言,阜外医院对整体网络进行了结构调整。不同级别的信息系统通过防火墙和网闸等专业防护设备进行隔离,使各个区域的计算机之间无法直接相互访问。核心机房到门诊设备间采用了不同路由的双路光纤,若出现由于施工等原因造成的光纤损害,可自动切换到备用光纤。门诊大厅还部署了一套无线应急网络,设备间有异地备份服务器,一旦出现极端情况,可以利用门诊大厅的无线网络与异地备份服务器进行组网,保证门诊业务正常运转。
, 百拇医药
除此之外,管理安全的建设内容则更为细致广泛。据赵韓介绍,在医院信息系统的建设过程中,医院组建了信息安全工作领导小组,并与各岗位工作人员签署保密协议。同时制定了沟通协调机制,对内定期组织会议,进行信息安全工作部署,对外每日向公安局上报备案信息系统的安全情况。此外,医院还制定了安全管理制度,除了对录用人员进行严格审查外,还定期对相关人员进行每周一次的内部培训和每年两次的外部培训。
再有,医院还制定了系统建设的相关管理制度,明确系统建设时的系统设计安全规范、安全产品采购管理办法、信息安全符合性实施规范以及新建系统的所有等级保护管理流程等。阜外医院按照IS020000标准,制定了一套符合医院信息运维的IT运维管理体系,并制定了各系统的应急预案,每月进行一次小范围演练,每年进行两次大规模多科室参与的应急演练。
但是,阜外医院目前的医疗信息化人才储备形势严峻。“医院管理和政府监管,对信息化人才需求都提出了要求。同时,各个厂商也在激烈竞争有限的人才。”尽管信息安全人才短缺,但让沈韬更为遗憾的是,信息安全人才培养机制仍存缺陷。“很多院校虽有医学信息学等类似课程,但由于师资和历史原因,常偏向于研究性质,而针对医院信息安全需要开展的人才培养专业几乎没有。”
此外,由于医疗卫生信息化本身的复杂性,导致人才培养周期长,成本高。“而相关人才的待遇又不能达到期望,导致人才缺口大,流动性强,这也成为制约医疗卫生信息化发展的重要因素之一。”沈韬如是说。, 百拇医药(曾耀莹)
2012年底,北京两家三甲医院信息系统先后出现问题,导致患者就诊受到影响。虽然问题很快得以解决,但由此引发的医院信息系统安全性问题,仍引起了业界广泛关注。
针对此问题,早在2011年12月,卫生部办公厅就曾下发《卫生行业信息安全等级保护工作的指导意见》(下称《指导意见》),要求三甲医院核心业务信息系统信息安全保护等级不低于第三级,各家医院也应于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
2012年11月7日,中国医学科学院阜外心血管病医院(下称“阜外医院”)在全国率先通过国家信息安全等级保护第三级测评,成为全国首家信息安全达标医院。提前三年达标的同时,阜外医院还率先实践了医院等级保护测评和申报等工作,对其他医院进行医院信息安全建设起到示范作用。信息安全隐忧
, 百拇医药
随着现代信息技术的飞速发展,医疗机构对信息系统的依赖程度越来越强。在享受信息技术给医院日常运营带来便捷性的同时,医院信息系统安全也存在隐忧。医院信息系统一旦出现故障,将给医院业务运营受带来影响,甚至造成患者个人信息外泄,给社会和个人带来严重负面影响。
“医院信息系统稳定性和安全性的重要程度表现在方方面面。”阜外医院信息中心主任赵群向《中国医院院长》记者介绍:“医院业务对宕机时间要求短,尤其是门诊业务,若超过15分钟便会产生大范围的影响;很多医院的信息系统是多个厂商提供,各个厂商提供的系统没有内在构架之间的整体联系,因而只能采用集成的方式。而集成的混合性越高,出现信息安全风险的几率越大。”
2012年12月8日,北京协和医院因叫号系统发生故障,导致数百名抽血患者滞留门诊采血区。时隔半月,北京儿童医院也因网络系统突然瘫痪,导致门诊挂号、开处方等工作被迫暂停近3小时,患者就诊一度混乱无序。
, 百拇医药 尽管两家医院所发生的医疗信息事故很快得以解决,但其暴露出的信息安全问题却引发业内深思。正如中国医院协会信息管理专业委员会副主任委员沈韬所言,医院信息安全是医院信息系统建设到一定程度后,必然面临的一个问题。
事实上,为规范信息安全等级保护管理工作,2007年,公安部等四部委就联合制定了《信息安全等级保护管理办法》,并将信息安全保护等级划分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
而《指导意见》启动了医疗界加强信息安全管理的征程。
阜外医院通过测评,不仅提高了医院对患者隐私安全的服务能力,也增强了医院运营的安全性。阜外医院党委书记李惠君将医院做到门诊及住院费用双低、业务量及满意度提高,归功于医院信息化建设。
引领信息安全建设
, 百拇医药
阜外医院的信息系统建设始于2002年。经过十余年发展,目前该院已建成一套以电子病历为核心,信息高度集成、流程严格控制、知识系统完备、具备事前控制能力、具备医疗成本控制体系、符合心血管专科医疗特色的信息化支撑平台。
由于阜外医院的信息系统已经贯穿了患者从门诊到住院的每一个就医环节,任何环节一旦出现故障,就会导致医院业务停滞。“阜外医院从技术、管理、保证系统连续性三个方面入手,构建了具有医疗特色的信息安全等级保护纵深防御体系。”赵韓介绍。
就网络安全而言,阜外医院对整体网络进行了结构调整。不同级别的信息系统通过防火墙和网闸等专业防护设备进行隔离,使各个区域的计算机之间无法直接相互访问。核心机房到门诊设备间采用了不同路由的双路光纤,若出现由于施工等原因造成的光纤损害,可自动切换到备用光纤。门诊大厅还部署了一套无线应急网络,设备间有异地备份服务器,一旦出现极端情况,可以利用门诊大厅的无线网络与异地备份服务器进行组网,保证门诊业务正常运转。
, 百拇医药
除此之外,管理安全的建设内容则更为细致广泛。据赵韓介绍,在医院信息系统的建设过程中,医院组建了信息安全工作领导小组,并与各岗位工作人员签署保密协议。同时制定了沟通协调机制,对内定期组织会议,进行信息安全工作部署,对外每日向公安局上报备案信息系统的安全情况。此外,医院还制定了安全管理制度,除了对录用人员进行严格审查外,还定期对相关人员进行每周一次的内部培训和每年两次的外部培训。
再有,医院还制定了系统建设的相关管理制度,明确系统建设时的系统设计安全规范、安全产品采购管理办法、信息安全符合性实施规范以及新建系统的所有等级保护管理流程等。阜外医院按照IS020000标准,制定了一套符合医院信息运维的IT运维管理体系,并制定了各系统的应急预案,每月进行一次小范围演练,每年进行两次大规模多科室参与的应急演练。
但是,阜外医院目前的医疗信息化人才储备形势严峻。“医院管理和政府监管,对信息化人才需求都提出了要求。同时,各个厂商也在激烈竞争有限的人才。”尽管信息安全人才短缺,但让沈韬更为遗憾的是,信息安全人才培养机制仍存缺陷。“很多院校虽有医学信息学等类似课程,但由于师资和历史原因,常偏向于研究性质,而针对医院信息安全需要开展的人才培养专业几乎没有。”
此外,由于医疗卫生信息化本身的复杂性,导致人才培养周期长,成本高。“而相关人才的待遇又不能达到期望,导致人才缺口大,流动性强,这也成为制约医疗卫生信息化发展的重要因素之一。”沈韬如是说。, 百拇医药(曾耀莹)