醫院信息系統信息安全防護探討

前言:尋找寫作靈感?中文期刊網用心挑選的醫院信息系統信息安全防護探討,希望能為您的閱讀和創作帶來靈感,歡迎大家閱讀并分享。

醫院信息系統信息安全防護探討

摘要:醫院信息系統信息安全按照“機構踐行方針,技術支撐管理,系統劃分門類”的建設原則,采用“外部感知試探,內部強化加固”的防護模式進行建設。倡導成立行業級監管機構和認證機構,對醫院信息系統進行認證。系統安全防護建設過程中,須要政策、財力、人力、后勤和技術五大層面的支持。

關鍵詞:醫院信息系統;信息安全;安全建設原則;安全防護架構;行業級監管機構和認證機構;安全防護實施

醫院信息系統的安全狀況及缺陷,我單位專家張杰宏同志已經在《電腦知識與技術》雜志中論述過,詳細內容請參考2019年9月版發表的論文《醫院信息系統安全現狀及缺陷》,在此不再贅述。本文主要針對醫院信息系統的安全缺陷,提出相應的安全防護方案。

1醫院信息系統安全建設原則

在《醫院信息系統安全現狀及缺陷》論文當中,張杰宏同志將醫院信息系統分為三類,傳統信息系統、智能醫療設備、傳統醫療設備。其中傳統醫療設備是安全防護的重點環節,理由是傳統醫療設備未被信息安全等級保護測評覆蓋,且構造精密,技術高端,市場被國外品牌壟斷,我國家未掌握主動權,所以是安全防護的重點。根據醫院信息系統分類和安全防護重點,依據“機構踐行方針,技術支撐管理,系統劃分門類”的建設原則,理所當然地將防護工作分為傳統信息系統條線、智能醫療設備條線、傳統醫療設備條線共三個條線。同時從安全方針、安全機構和人員、信息安全管理、信息安全技術四個角度,對醫院信息安全進行建設。

2醫院信息系統安全防護架構

醫院信息系統安全防護架構采用“外部感知試探,內部強化加固”的防護模式。安全防護邊界外部,采用勢態感知、風險評估、漏洞掃描、滲透測試、等保測評、上級檢查、公安檢查等等多種檢測方式,探測系統的安全能力。根據探測到的真實安全防護能力,對內部進行安全加固。安全的核心內容是網絡安全和數據安全。加固從兩個角度共八個方面進行。從技術角度加固安全規劃、安全建設、安全升級、安全運維。從管理角度,豐富安全方針、安全制度、安全機構和安全人員。

3倡導成立行業級監管機構和認證機構

醫院信息系統安全防護體系比較復雜,尤其是新興的智能醫療設備和種類繁多、技術含量高的傳統醫療設備。單獨一個醫院不具備足夠強大的人力、財力和技術力用以支持信息安全建設。須要建立專業的行業級監管和認證機構,對主流的傳統信息系統、智能醫療設備、傳統醫療設備進行全方位的安全認證,只有通過安全認證的產品和設備才允許被各大醫院購買。目的是保證信息安全工作貫徹執行,同時減輕醫院的工作負擔。

4醫院信息系統安全技術指標

依據前文分析,傳統信息系統、智能醫療設備和傳統醫療設備的安全需求差別較大,在制定安全指標時候,要分別為每個門類制定不同的安全指標。

5醫院信息系統安全防護實施

安全防護實施分為四個建設角度和五方面支持。建設方案:應授權專門的部門或者外聘專業團隊對信息系統的安全建設進行總體規劃。統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案,并形成配套文件。組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定,并且經過批準后,才能正式實施。安全設施:預先對產品進行選型測試,確定產品的候選范圍,并定期審定和更新候選產品名單。確保安全產品采購和使用符合國家的有關規定,確保密碼產品采購和使用符合國家密碼主管部門的要求。團隊配備:從內部人員中選拔從事信息安全崗位的人員,簽署崗位安全協議。成立信息安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責。對信息安全崗位的人員進行安全意識教育、崗位技能培訓和相關安全技術培訓。對安全責任和懲戒措施進行書面規定并告知相關人員,對違反違背安全策略和規定的人員進行懲戒。工程實施:授權專門的部門負責工程實施,制定詳細的工程實施方案控制實施過程,并要求工程實施單位能正式地執行安全工程過程。制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。授權專門的部門負責測試驗收的管理,并按照管理規定的要求完成測試驗收工作。測試驗收結束后,安全建設工程宣告結束并投入使用。各方支持:系統安全防護建設過程中,須要政策、財力、人力、后勤和技術五大層面的支持。

6總結

“態度決定一切”,醫院信息系統安全防護工作的核心是嚴肅認真的工作態度,呼吁大家一定要注意信息安全,不可疏忽大意。

參考文獻:

[1]張杰宏.醫院信息系統安全現狀及缺陷[J].電腦知識與技術,2019(9).

[2]GBT_22239—2015信息安全技術信息系統安全等級保護基本要求[S].

作者:王彩學 葉葳蕤 單位:中國網絡安全審查技術與認證中心 四川省軟件和信息系統工程測評中心 成都蜀都電子信息產品檢測技術有限公司

亚洲精品一二三区-久久