我曾经在2017年e医疗的新年展望约稿中提到,信息安全将是医疗行业信息化建设的热点。但是很不幸的是,我的预言早了一点,信息安全在2017年并没有引起太多医院信息科的关注,“三级等保是不可能做的,要做也是做假的,杀毒软件是没有的,要有也是摆设的,安全投入是没有钱的,有钱也用来上应用系统了”。信息科需要做的事太多了,人少事多还繁杂,很多医院正埋头搞信息化建设,行业内说的更多的是HIS升级、集成平台建设、互联网医院等、大数据、人工智能等的业务应用。在一片繁忙中,就算是重要的“网络安全法”、“等保2.0”也并没有引起医院信息管理界同仁的整体重视。

2018年刚过,勒索病毒事件导致几家医院成为了媒体关注的焦点,也给我们敲响了安全的警钟。把我们从内网隔离就安全的自我麻醉中敲醒过来了。

安全工作是刚需,是医院信息化的保底工程。就像北京协和医院信息管理处常务副处长朱卫国说的一样,对于医院而言,安全如果不是重点,其他重点都将成为痛点。说信息人不重视安全,确实也是冤枉了我们,说到信息安全,估计医疗行业的人都会本能的想到,管理者、责任者、执行者那都是信息科呀。没出事,那是信息科应该做的,出了事自然也是信息科应该背的锅。从我了解的情况看,以往医院信息界普遍是不重视信息安全的,或者说落实到执行层面,信息安全建设非常薄弱。在信息安全等保要求时,大家普遍的做法是HIS三级等保、LIS二级等保既然业务上各个系统彼此紧密相连,互联互通,怎么就能出现在一张网络里既有三级又有二级等保标准呢。信息安全永远生效的是木桶理论,也就是说一张网络里,你既然存在二级标准的,那整体就只能是二级标准了。所以信息科别再自己曲解等保标准了,扎实做好信息安全,这是首要职责。

在“等级医院评审”标准里关于网络安全一项,达到三级等保为A类达标,也就是得最高分。随着等保2.0标准的推行,在以后修订的等级医院标准中一定会被改为C类必备条款。也就是说三级医院三级等保应为基本条件,网络安全建设与医院等级相关,这样才会引起医院真正重视

各医院普遍缺乏专业信息安全人员,从各类调查问卷里可以看出,信息科人员主要组成为计算机相关的专业人员、医学相关专业人员、以及其他专业人员。那么网络安全、信息安全专业人员的有么?凤毛麟角。而大家又普遍缺乏安全知识和安全意识,今年我科拟招聘3名程序开发人员,在招聘会上我就挨个询问了前来的13个应聘者,“你如何看待网络安全工作,在你的软件开发工作中都有哪些常见安全措施。”很遗憾的是13名具有2年以上开发工作经验的应聘者,没有一个人认真思考过网络安全、数据安全、信息安全的相关内容。我们的互联网发展初期,大家以提供免费资源为乐趣,尤其是软件开发人员,经常寻找开源代码来解决问题,实话说对网络安全有着天然的漠视,这就是软件行业的整体现状。想到安全,大家可能都是采取购买安全产品来进行保障。所以提升整个行业的信息安全意识,首先得从我们信息人做起。

工欲善其事,必先利其器。做好信息安全,首先我们得具有相关的知识,通过持续学习建立起信息安全知识体系,有了安全知识体系,才会知道如何去做好网络安全的工作。网络安全课,反正我们学校当年本科是没有开设这门课的。当年我们系里一大牛,还非常可爱的用酒精去给磁盘消毒来达到杀毒目的。当年也根本没有互联网,单机做安全也要简单的多,更多的考虑物理安全,把门锁好,别被撬门进去偷走了内存、硬盘啥的。研究生课程倒是学过网络安全,加密解密,社会工程学,各种算法、搞得我满脑袋雾水,啥都没有掌握。所以在工作中,随着时代发展,大家必须要学习相关的安全知识。

那么在我们做医院网络安全管理时到底需要学习哪些知识呢。就我个人的经验(欢迎大家留言拍砖)包括以下一些内容。

从个人技术技能的培养,注册信息安全专业人员CISP的培训内容可以借鉴下,它给出了安全管理人员必须具备的知识体系。

  • 信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。

  • 信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、系统软件和应用等层次的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。

  • 信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、具体信息安全管理措施等同信息安全相关的管理知识和实践。

  • 信息安全工程:主要包括同信息安全相关的工程知识和实践。

  • 信息安全标准法规:主要包括信息安全相关的标准、法律法规和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。

当然对于我们医院网络安全人员还应该数据医学伦理、医疗常规基本知识,医院的质量安全管理制度等。

对于信息科管理者还应该具有标准管理能力,如使用ITIL去做日常信息服务标准化运维;借鉴信息安全管理制度参考模板去梳理完善本单位的相关制度;还有ISO27000网络安全管理体系对于安全管理非常有借鉴意义;除此之外经常关注网络安全委的网站,了解相关的安全动态和法律法规及标准建设情况,及时更新我们的安全知识也是必要的。

医疗信息安全不仅包括安全威胁,还包括针对保护个人医疗隐私的问题,国家卫生健康委员会规划与信息司司长于学军表示,根据“互联网+医疗健康”的新特点,要严格执行信息安全和医疗健康数据保密的规定,建立完善个人隐私保护体制,严格管理患者的信息、用户的信息,特别是对于像基因、生物的这样一些特别重要的信息,要特别加以严格管理,对于非法买卖泄露信息的行为,要依法依规进行严肃的处理,所以大家在做新技术应用时更要有安全意识。

从我画的这张表可以看出,网络安全知识要学的很多,信息人不仅要应对快速发展的信息技术浪潮,而且还得学会如何在变化的安全形势下做好信息安全。我们的任务很重,这也是我们价值的体现。努力吧,各位同道。

 

声明:本文来自愚人老黄,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。