廣州艾力彼醫(yī)院管理中心主任莊一強博士接受媒體采訪時表示���,在醫(yī)療信息化高度發(fā)達的當下,信息系統(tǒng)發(fā)生故障是有一定發(fā)生概率的��,面對此類故障�,醫(yī)院要“留好后手”“做好預案”,確保預案的督導、檢查�、總結、反饋���、改進����。
近年來�����,國內外醫(yī)療信息系統(tǒng)故障時有發(fā)生
隨著醫(yī)院信息化程度的不斷提升���,信息化覆蓋的業(yè)務范圍越來越廣�,信息系統(tǒng)已經成為醫(yī)療服務的重要支撐和管理工具����。醫(yī)院信息系統(tǒng)故障時有發(fā)生率�,一旦出現(xiàn),可能對醫(yī)院的運行和患者就醫(yī)造成嚴重影響����。
信息安全作為醫(yī)院安全管理重要一環(huán),《三級醫(yī)院評審標準》對于醫(yī)院信息安全和應急預案管理都重點提及。綜合近年來艾力彼星級醫(yī)院標準化管理和醫(yī)院信息化建設輔導經驗總結����,當前眾多醫(yī)院的風險管理,包括信息安全�,未能定期開展風險評估及實戰(zhàn)化的應急預案編制和演練,仍普遍存在預案制定與演練流于形式�,當故障發(fā)生時預案難以充分發(fā)揮作用的情況。醫(yī)院如何通過“年度災害脆弱性分析”建立相關改進計劃和控制措施���,有效消除�����、降低故障發(fā)生的概率�,同時當在故障無法避免時���,如何通過相關預案將故障影響降到最低��,這是莊一強博士接受媒體采訪時提及的“留好后手”和“做好預案”���。
如何“留好后手”?針對信息安全工作�����,醫(yī)院是否做足相關工作?
系統(tǒng)故障發(fā)生涉及多方原因�,醫(yī)院越大涉及因素越多,系統(tǒng)�����、流程也越復雜��。原因主要可分為兩大類即硬件和軟件:
硬件主要包括服務器�、存儲設備、網(wǎng)絡設備及相關硬件基礎設施����,一旦核心服務器或交換機故障,或者主要光纖鏈路中斷���,就可能對整體系統(tǒng)運行造成重大影響�。
軟件包括操作系統(tǒng)���、數(shù)據(jù)庫、軟件平臺等�����,人為操作錯誤、硬件損壞或遭受攻擊導致軟件數(shù)據(jù)文件損毀是故障的主因�。
結合艾力彼智慧醫(yī)院HIC標準分析,為了消除����、減低系統(tǒng)故障的發(fā)生,提高系統(tǒng)的穩(wěn)定性和可靠性��,可從以下三方面著手:
- 定期維護和保養(yǎng)硬件設備����,包括服務器、存儲設備和網(wǎng)絡設備�����,確保設備正常運行����。
- 強化硬件設備的安全防護措施,包括防火墻���、入侵檢測系統(tǒng)等�����,防止硬件損壞或遭受攻擊���。
- 完善監(jiān)控和預警措施����,及時發(fā)現(xiàn)并解決硬件故障��,避免故障擴大化���。
- 定期更新和升級硬件設備的固件�����,修復已知問題并提高系統(tǒng)穩(wěn)定性����。
(二)軟件方面:
(三)容災方面:
盡管信息安全常常在相關政策文件中被提及���,然而因信息安全建設和維護需要持續(xù)的投入��,且與軟件功能使用時的直觀體驗相比����,這部分的投入并不會產生直接的顯性效果��,往往容易被醫(yī)院管理者忽略����。而一旦發(fā)生故障,其造成的影響不堪設想���。因此����,各級醫(yī)院應加強信息建設規(guī)劃,制定每年信息建設預算投入的同時�����,充分評估信息安全方面的投入��。在整體信息建設預算中��,明確有一定比例用于設備更新維護和安全管理建設����,以確保醫(yī)院信息系統(tǒng)的穩(wěn)定運行和數(shù)據(jù)安全。
如何“做好預案”���?面對無法避免的故障��,應急預案能否真正發(fā)揮作用���?
信息安全建設永無止境。隨著技術的不斷突破,服務器集群����、虛擬化以及數(shù)據(jù)實時備份和恢復、信息安全防護技術已相對成熟����。然而,面對不可預測的災害�、網(wǎng)絡外部攻擊及可能的人為失誤�,仍有可能對系統(tǒng)運行穩(wěn)定性造成威脅,故障發(fā)生的概率始終存在����。面對無法避免的故障,醫(yī)院需要完善相關應急預案����。特別是在系統(tǒng)較長時間內無法恢復的情況下,如何通過“替代”方案保障醫(yī)院的重點業(yè)務開展不受影響��,是醫(yī)院必須重點考慮的另一方面����。盡管大部分醫(yī)院已建立相關信息安全預案,并進行了相關演練,但預案的完整性和可操作性�,以及在實際故障中是否能夠充分發(fā)揮作用,值得醫(yī)院管理者關注�。結合艾力彼GAHA醫(yī)院應急預案編寫導則V4.2,醫(yī)院在信息安全預案����、現(xiàn)場處置方案制定時需重點考慮以下幾個方面:(一)全面性和針對性:預案需要全面覆蓋各種可能發(fā)生的系統(tǒng)故障情況,針對可能發(fā)生風險的評估����、識別及描述必需完整清晰,同時需具有針對性�����,結合醫(yī)院的具體情況和需求制定��。(二)清晰明確的責任分工:預案中應明確相關責任人的職責和任務��,如統(tǒng)籌部門��、安全專員和專家團隊���,確保在發(fā)生故障時能夠迅速找到責任人��,并能有效的協(xié)調相關人員���。(三)可操作性和實用性:預案應具有可操作性和實用性�,能夠在發(fā)生故障時快速判斷�����、啟動��,同時信息能得到準確接報����,各項工作有效地執(zhí)行����,確保應急響應的及時性和有效性。(四)資源準備和保障:預案執(zhí)行所需的物資設備���、應急隊伍等需提前準備���,并加強日常預防和補充,如當系統(tǒng)全面故障時����,相關手工單據(jù)���、藥品物價目錄等的提前準備,確保預案啟動時有需要充足的資源和設備支持�。(五)培訓與周期性演練:針對預案啟動人員、信息接報人員�、應急響應人員、協(xié)同人員有周期性培訓與演練��,并根據(jù)演練實際情況和經驗不斷完善和優(yōu)化�,確保預案與時俱進,能適應不斷變化的環(huán)境�,形成督導、檢查����、總結、反饋�����、改進的閉環(huán)���。
信息部門作為醫(yī)院信息建設主管科室��,在大部分醫(yī)院自然而然的承擔起信息安全相關預案制定�,但預案制定、資源保障�、定期演練都需醫(yī)院領導層支持與協(xié)調,處置方案也需要全院各部門配合細化��。安全無小事�����,信息安全應急預案制定�、執(zhí)行同樣需發(fā)揮“一把手工程”作用。同時�,醫(yī)院管理者應該深刻理解到,所有未經過實際演練和檢驗的應急預案����,作用都是非常有限的���,甚至只是“紙上談兵”���。只有在演練后進一步優(yōu)化、更新和重新編制����,才能指導實戰(zhàn)���,確保在面對無法避免的信息故障時,真正發(fā)揮應急作用��。
