Q
隨著大數(shù)據(jù)的利用��、便捷患者或醫(yī)務(wù)人員使用(互聯(lián)網(wǎng)應(yīng)用越來越多)���,信息安全問題日益凸顯,給醫(yī)療信息工作帶來了極大挑戰(zhàn)�����。在經(jīng)費(fèi)有限的情況下,如何在保障信息安全的同時(shí)確保醫(yī)療服務(wù)的正常運(yùn)行����?
A
1.信息安全思想認(rèn)識(shí)
分析一下大家提出的問題“如何在保障信息安全的同時(shí),確保醫(yī)療服務(wù)的正常運(yùn)行”�。保障信息安全的同時(shí),就有可能無法保證醫(yī)療服務(wù)的正常運(yùn)行嗎? 答案一定是否定的�����。我們做好信息化建設(shè)和信息安全都是在保證醫(yī)療服務(wù)正常運(yùn)行的大前提之下�����,能夠給臨床業(yè)務(wù)工作提供更多更好的技術(shù)支持和安全保障����,使得醫(yī)療服務(wù)更加現(xiàn)代化和安全。所以�����,我們需要正確認(rèn)識(shí)到信息化建設(shè)與信息安全如同一把雙刃劍���,既為我們帶來了前所未有的便捷性革命�����,也讓我們面臨著嚴(yán)峻的安全挑戰(zhàn)���。在享受信息化帶來便利的同時(shí)���,我們不能忽視其可能帶來的風(fēng)險(xiǎn)。為了實(shí)現(xiàn)信息化時(shí)代的可持續(xù)發(fā)展�����,我們需要加強(qiáng)技術(shù)研發(fā)���、提升安全防護(hù)能力、處理好醫(yī)療發(fā)展協(xié)調(diào)與平衡����。
2.對(duì)于經(jīng)費(fèi)投入的認(rèn)識(shí)
在經(jīng)費(fèi)有限的情況下,不是在安全建設(shè)上花的錢越多����,就會(huì)越安全��。不妨先抽時(shí)間冷靜地分析一下���,已經(jīng)使用了哪些安全工具以及它們的效果如何。如果長(zhǎng)期在為一些并不需要的信息安全工具或功能付費(fèi)�,又或者可以通過工具整合和集成等措施以較低的總成本獲得同樣的防護(hù)效果,那么就意味著信息安全投資并沒有獲得合理回報(bào)�。另一方面,可以對(duì)風(fēng)險(xiǎn)進(jìn)行梳理并分級(jí)���,制定中長(zhǎng)期風(fēng)險(xiǎn)消除計(jì)劃��,利用有限的經(jīng)費(fèi)優(yōu)先解決高風(fēng)險(xiǎn)問題����、補(bǔ)齊明顯短板����,拉長(zhǎng)投資周期,逐步提升安全防護(hù)水平�����。
隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展����,信息安全問題也日益凸顯����,黑客攻擊手段也越來越先進(jìn)�,“易攻難守”正在被用來形容信息安全攻防戰(zhàn)的新常態(tài),舊有的網(wǎng)絡(luò)設(shè)備往往難以應(yīng)對(duì)新的威脅�,為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全性,需要投入一定資源及經(jīng)費(fèi)來進(jìn)行信息安全的保護(hù)����。
3.信息安全的預(yù)算
信息安全預(yù)算主要包括以下幾個(gè)方面開支:
(1)信息安全基礎(chǔ)設(shè)施投入(包括防火墻、入侵檢測(cè)系統(tǒng)�����、數(shù)據(jù)備份和恢復(fù)系統(tǒng)等硬件設(shè)備的購(gòu)置和維護(hù)費(fèi)用)����;
(2)信息安全軟件投入(包括殺毒軟件�����、漏洞掃描工具��、安全審計(jì)軟件等軟件的購(gòu)買和更新費(fèi)用);
(3)信息安全服務(wù)投入(包括外包安全審計(jì)����、安全咨詢、安全培訓(xùn)等專業(yè)服務(wù)費(fèi)用)��;
(4)信息安全人力投入(包括安全團(tuán)隊(duì)的薪酬��、培訓(xùn)和招聘費(fèi)用)����;
(5)應(yīng)急響應(yīng)與恢復(fù)預(yù)算(為應(yīng)對(duì)安全事件,設(shè)立的應(yīng)急處理和業(yè)務(wù)恢復(fù)所需的預(yù)算)�。
4.一些不花錢也需要特別做好的安全舉措
(1)杜絕弱口令、弱密碼����;
(2)醫(yī)生站護(hù)士站等工作電腦封USB端口;
(3)加強(qiáng)全院全員的安全意識(shí)和安全培訓(xùn)�;
(4)加強(qiáng)安全的制度化和流程化建設(shè);
(5)定期進(jìn)行安全演練和安全大檢查�;
(6)加強(qiáng)廠商的安全管理,控制好運(yùn)維權(quán)限�����;
(7)檢查我們已有的安全產(chǎn)品是否都發(fā)揮作用,如防火墻都開啟防毒功能���、策略的合理性�����;
(8)定期進(jìn)行數(shù)據(jù)備份與恢復(fù)的檢查與核對(duì)工作���;
(9)加強(qiáng)安全工程師的技術(shù)培訓(xùn)和主動(dòng)發(fā)現(xiàn)問題的安全意識(shí);
(10)經(jīng)常向領(lǐng)導(dǎo)匯報(bào)信息安全風(fēng)險(xiǎn)和風(fēng)險(xiǎn)輿情����,可以通過合規(guī)性要求、利用一些敏感熱點(diǎn)事件爭(zhēng)取更多的經(jīng)費(fèi)支持�。
——孫國(guó)強(qiáng) 中國(guó)醫(yī)學(xué)科學(xué)院北京協(xié)和醫(yī)院
