医院计算机信息安全风险管理策略

摘要：近些年，伴随着计算机技术以及信息技术的快速发展，该技术已经成功地运用到了多个领域，医疗领域也是其中之一。然而，计算机信息技术在为医疗事业带来便利的同时，也引发了一系列的安全风险问题。由于HIS系统（医院信息管理系统）是互联网的一部分，所以有些不法分子能够通过互联网以及局域网来非法获取医疗资料以及患者信息。因此，医院计算机信息安全风险管控成为了当前医院必须要重视的一个问题。本文对医院HIS系统风险管理以及风险识别进行了分析和探讨，旨在进一步保障医院计算机信息安全。

关键词：HIS；医院；风险识别；安全风险；

0前言

HIS系统涵盖医院的收费系统、医疗药物系统、病历系统等，信息化系统管理的应用提高了医院运作的效率，为患者提供了更好的服务。然而随着医院的信息化管理系统的全面运用，各方面存在的隐患也逐渐的暴露出来。所以加强对医院计算机信息安全风险管理具有重要意义。

1HIS安全风险管理

HIS是覆盖医院所有业务和业务全过程的信息管理系统，为医院的管理、科研、临床、后勤保障等提供全方位、自动化信息服务。目前，HIS安全风险管理一般分识别和控制两层控制手段，通过识别与监控来化解系统风险，降低损失程度，不断提高系统防范抵御和化解风险的功能。

2HIS安全风险识别

2.1系统原因

HIS的复杂性和互联网飞快地普及发展，新的黑客、病毒等恶意软件大量涌现，使得HIS防不胜防，难免存在疏漏，随时就能产生信息安全隐患，一旦HIS和信息遭到破坏的可能性与日俱增。因此，HIS和计算机及其宽带、无线网的风险安全控制是密不可分的一个整体。HIS的功能的先进全面不如安全可靠性重要，服务和数据的可靠性不达标，HIS安全没有保障，使用价值就完全失效。计算机和宽带、无线网等设备安全也很重要，目前，医院信息由封闭隔离转向全面开放，实现了信息共享，HIS作为国际互联网的组成部分，极大地方便了患者网上医疗服务，但也给恶意软件的攻击加大了进入的可能性，信息安全隐患很多，增加了HIS管理和维护的难度。

2.2操作原因

HIS的使用涉及医院的各个层次，诸如医生、护士、科研人员、管理者以及病人和家属等。每个人的操作熟练程度、技术水平、使用目的和维护意识都会对系统的安全运行产生影响。从当前大多数HIS安全风险隐患排查来看，人为因素占很大比例，其中包括违规操作、失误操作、信息安全意识不强、安全操作规程监管不到位、技术水平低、设备安全配置不当和恶意软件侵入盗取数据等，不断引发信息资源的破坏和大量浪费的风险。

2.3管控原因

HIS的安装使用，使医院的各项活动信息服务实现了自动化，方便了广大患者的医疗服务。要使系统达到高效优质服务，就要搞好HIS的组织管理。当前，各个医院在管理方面还存在很多缺陷。如：缺乏防范信息风险预案，查找故障流程制度不健全，维护分工不专业，信息技术专业人员不足，所有这些原因都对HIS的安全运行和故障及时排除不利。医院系统的管理分宏观管理和微观管理。从宏观管理角度出发，以统领医院活动全局为目标，不断完善各种”管理体系”，实现HIS管理使用一体化。

3系统的安全风险管理

实现HIS安全风险控制，就达到了医院系统安全风险管理的目的，医院信息系统安全风险控制主要通过风险识别与评估，采取高效的技手段术和科学的管理机制，不断减少和化解信息安全风险隐患，把风险事件发生的可能性和风险造成的损失程度降到最低。所以，笔者认为对于医院信息系统安全风险控制医院必须把设备技术的可靠性放在首位，安装的系统要可靠达标，同时加强岗位人员的使用操作技术培训，提高业务素质，减少操作违规和失误，建立全面的HIS控制系列机制，提高监管效能，确保安全目标如期实现。

3.1HIS的技术控制

HIS是技术性很强的软件系统，包括医院的财务管理系统、人事管理系统、住院病人管理系统、药品库存管理系统等，其安全风险控制是人工防范很难做到的，必须采用高新技术手段，才能确保信息系统的安全风险得到控制。一是安装防御软件对核心的数据库服务器实施控制监管，如安装高性能防火墙软硬件等；二是对HIS安装高效统一的防病毒软件，如：火绒、360卫士等，实现恶意软件入侵检测、监控、防御自动化；三是局域网连接系统，必须实施高效的信息加密技术；四是对HIS设置专用口令和账号，严格系统操作者的身份鉴别与认证；五是定期开展核心系统的操作审计；六是存储重要数据库的软件，必须异地备份，物理隔离。

3.2管理是HIS安全风险控制的动力

医院的信息系统安全风险必须实行持续性控制，一是制定高效严格的管理制度。各个医院的情况不同，对业务信息的保密程度和应用服务能力也不一样，参照规范的HIS安全管理章程，根据管理、业务和服务的需求，修订切实可行的具体实施办法，做到部门责任明确，人员分工清楚，岗位职责到位，操作程序规范，训练方法得当，管理要求具体和检验标准适合，使HIS安全风险控制机制逐步达到规范化、制度化；二是制定高效实用的应急预案。医院的管理部门、门诊住院科室和财务后勤单位，制定相应的应急风险预案，不断定期演练，以利于处置预测风险事件及时有效。

3.3系统主体是HIS安全风险控制的保证

HIS的使用主体是人，人的素质高、专业技术过硬，HIS安全风险控制就有保证。加强HIS使用队伍建设很有必要。一是搞好岗位培训，不断提高保护系统资源和HIS风险控制的意识。定期开展系统使用技能和知识考核，逐步培养人们安全操作、预测风险和随机处理的技能和业务水平；二是强化HIS风险控制的制度落实，普及信息技术操作规程知识。内强素质，外求规范，提高风险识别能力和风险控制效果。

4结语

综上所述，从20世纪60～70年代，发达国家开始运用计算机技术和信息技术来建立医院信息系统，我国作为发展中国家，起步较晚，发展较快。HIS的运用极大地提高了病例登记、诊断和检测的标准，但同时也会引发信息安全风险。只有加强风险管理，及时化解各种风险，才能更好的为患者进行医疗服务。因此，完善信息系统风险控制机制，提高控制水平尤为重要。

参考文献：

[1]陈瑜.企业信息安全风险管理的框架研究[J].价值工程,2017.

[2]袁翰超.医院计算机信息安全风险管理控制方法探究[J].科技创新与应用,2016.

作者：官尚卿 王敏 单位：沙洋县人民医院