【e医疗原创】四年等保路，依旧任重而道远

查看原文

其他

【e医疗原创】四年等保路，依旧任重而道远

Original 2016-02-22 e医疗 e医疗

点击上方蓝字关注我们，点击文末“写评论”激扬观点。

文

北京市公共卫生信息中心

网络管理部主任

郑攀

　　随着近几年卫生信息化建设的蓬勃发展，分级诊疗、移动医疗掌上App，医院信息平台、区域卫生平台等应用对卫生行业产生了巨大的影响。使得医疗行业面临着全新的从院内走向院外、从机构走向区域、从局域网走向互联网的格局。而由此引发的关于信息安全的问题将是今后应用系统建设发展的重大障碍：一方面各类医疗应用在缺乏足够安全规划和保障措施的情况下不断渗透；另一方面，医院为了保障核心业务系统的稳定运行，规避风险而将层出不穷的应用以“安全问题”为由拒之门外。

　　如何解决医院信息化发展面临的信息安全风险，其实早就有解决办法。2011年，原卫生部印发了《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号），要求全国卫生行业各单位于2015年12月30日前完成信息安全等级保护建设整改工作，并通过等级测评。

　　四年来，为落实上级文件要求，北京市卫生计生委与市经济信息化委和市公安局等部门紧密配合、共同推进，使得全市卫生医疗机构信息安全等级保护工作取得了长足的进步。

四年来截止至2015年10月，据不完全统计，按照《北京市卫生局关于进一步加强北京市卫生行业信息安全等级保护工作的通知》（京卫办字〔2012〕26号）文件要求，北京市66家三级以上医院（不含军队武警）全部完成了等保定级备案工作，已备案系统198个；区属医院已完成定级、备案工作的共98家；包括血液中心、疾控中心及监督中心等市卫生计生委直属单位已按要求落实定级、备案工作的10 家。到2015年12月30日，将有20余家三级医疗机构完成三级系统的信息安全等级保护整改工作并通过第三方测评。

　　等级保护制度在卫生行业推行四年来，医院信息安全工作取得了不小的变化。

变化不小

　　一是统一了安全架构规划，改变了以往打补丁式信息安全建设方式。以往是头疼医头、脚疼医脚。购买很多安全产品，将其部署在网络和系统上，但后来发现这些产品虽然有各自的安全功能，但很难把它们集成到一起形成统一的、系统的安全防护体系并发挥作用。

　　二是完善了信息安全组织与治理。以往没有信息安全组织结构，没有专职的信息安全管理员，缺乏安全治理机构和相应的信息安全应急保障机制。

　　三是增强了信息安全意识教育与培训。医院的整体安全水平，不仅要看专职的安全管理与技术人员的能力，还要看全体员工的安全意识是否到位，是否把信息安全融入到医院的文化当中，这与持续的安全意识教育与培训是密不可分的。

　　虽然较之以往，北京市医疗机构的信息安全工作取得了一定的成效，但从数据中我们也可以看到，真正能够按照要求完成投入“真金白银”进行等保整改建设工作的三级以上医疗机构目前仅占到三分之一。这其中存在着不少亟待进一步提升与解决的问题，还需要卫生行业的同道共同努力。

仍需努力

（1）医院的信息安全工作与其自身的信息化发展水平密切相关。随着应用系统数量的增多，与医院外部共享交换数据的保密性、及时性的提升，信息安全工作必然会得到重视和提升。

（2）信息安全工作与领导重视程度密切相关。领导在关注新应用、新技术解决医院管理问题的同时，应同步考虑信息安全规划并予以相应的资金支持。避免出现先应用、后安全，重应用、轻安全的局面。

（3）信息安全工作与政府资金保障密不可分。北京市市属三级医疗机构有市财政的专项资金保障信息安全建设。因此，目前22家市属医疗机构中均向市财政局申报了等保整改建设项目，建设资金超过亿元，年底前可以通过第三方等保测评完成验收的有18家医院。

（4）面对近年来互联网、医联体、区域卫生平台等医院面临的新应用、新问题，相关部门应有具有针对性的实施细则进一步指导行业信息安全建设工作。

以上来源：e医疗2015年12月刊