醫(yī)院信息系統(tǒng)安全風(fēng)險規(guī)避管理策略研究.pdf

1、目的：在了解目前國內(nèi)外信息系統(tǒng)安全風(fēng)險現(xiàn)狀的基礎(chǔ)上，進(jìn)一步明確目前我國在醫(yī)院信息系統(tǒng)安全方面存在的風(fēng)險和問題，借鑒目前已有的信息系統(tǒng)安全風(fēng)險規(guī)避策略的可取之處，從管理的角度提出規(guī)避醫(yī)院信息系統(tǒng)安全風(fēng)險的可行措施和策略，為醫(yī)院決策人員和系統(tǒng)安全管理人員更好地實現(xiàn)信息系統(tǒng)安全風(fēng)險規(guī)避管理提供參考依據(jù)。 方法： 1.文獻(xiàn)檢索與情報分析法：文獻(xiàn)檢索與情報分析法是指通過搜集、鑒別、整理文獻(xiàn)并進(jìn)行研究，形成對事實科學(xué)認(rèn)識的方法。本文

2、在查閱信息系統(tǒng)安全及其風(fēng)險規(guī)避管理策略相關(guān)理論和實踐研究進(jìn)展資料的基礎(chǔ)上，歸納出了一些可以借鑒的理論和方法，確定了本研究的對象、內(nèi)容、方法、調(diào)查問卷及訪談提綱等。 2.描述性統(tǒng)計學(xué)分析法：描述性統(tǒng)計學(xué)分析法是指通過統(tǒng)計圖表和計算數(shù)據(jù)的分布特征來了解樣本觀察值的分布特征。本文運用這種方法對調(diào)查醫(yī)院、人群的基本情況，系統(tǒng)安全人員配置、培訓(xùn)情況等進(jìn)行了資料匯總及分析。對不同分組的信息科人員對系統(tǒng)安全保護(hù)能力及安全產(chǎn)品的評價、資金投入充

3、足程度的認(rèn)知差異運用了卡方檢驗。 3.主成分分析法：主成分分析法是從多個變量之間的相互關(guān)系入手，利用降維的思想，將多個變量化為少數(shù)幾個互不相關(guān)的綜合變量的統(tǒng)計方法。本文對影響系統(tǒng)安全的多個風(fēng)險因素進(jìn)行了主成分分析。 4.現(xiàn)場典型調(diào)查法：根據(jù)研究內(nèi)容和目的選取具有代表性的地區(qū)或機(jī)構(gòu)進(jìn)行系統(tǒng)調(diào)查的方法。本文采用現(xiàn)場典型調(diào)查法對武漢市、鄂州市共7家醫(yī)院的信息科人員及子系統(tǒng)使用人員進(jìn)行了調(diào)查，共調(diào)查330人。 5.社會學(xué)

4、定性研究法：社會學(xué)定性研究法是對無法量化的指標(biāo)或無法通過調(diào)查問卷直接獲取的信息進(jìn)行深層次探討的方法。本文運用專題小組討論法邀請信息管理、衛(wèi)生統(tǒng)計等領(lǐng)域的專家探討了研究實施方案和資料分析方法等。對關(guān)鍵知情人進(jìn)行了個人半結(jié)構(gòu)式訪談，探討了醫(yī)院信息系統(tǒng)安全風(fēng)險規(guī)避管理存在的相關(guān)經(jīng)驗和問題。 結(jié)果與分析： 1.醫(yī)院信息系統(tǒng)安全方面的人員配置與分工分析 醫(yī)院信息系統(tǒng)安全包括硬件、軟件、網(wǎng)絡(luò)、數(shù)據(jù)庫、機(jī)房等方面，系統(tǒng)安全管理

5、均在分管院長和信息科主任的統(tǒng)一領(lǐng)導(dǎo)下進(jìn)行，一些醫(yī)院是1人或多人負(fù)責(zé)管理某個方面的安全，一些醫(yī)院是1人需同時負(fù)責(zé)多個方面的安全，在發(fā)生重大安全事件時，多方面的系統(tǒng)安全管理員相互配合共同解決問題。 存在部分醫(yī)院的系統(tǒng)安全管理人員工作任務(wù)過于繁重，學(xué)歷偏低，專業(yè)與系統(tǒng)安全管理不太相符。部分醫(yī)院的系統(tǒng)安全管理組織結(jié)構(gòu)不夠完善，缺少多部門之間的溝通與協(xié)調(diào)。 2.醫(yī)院信息系統(tǒng)安全人員培訓(xùn)情況分析 部分醫(yī)院對系統(tǒng)安全培訓(xùn)不太重

6、視，培訓(xùn)內(nèi)容和方式不夠豐富，培訓(xùn)時間和頻率的選擇不夠適當(dāng)，培訓(xùn)投入不太充足，培訓(xùn)效果不太好。 3.醫(yī)院信息系統(tǒng)安全風(fēng)險分析 醫(yī)院信息系統(tǒng)安全風(fēng)險來源內(nèi)外都有，主要來自五個方面，分別是數(shù)據(jù)、網(wǎng)絡(luò)、硬件、軟件、機(jī)房安全風(fēng)險。通過系統(tǒng)安全管理員工作監(jiān)測或安全產(chǎn)品發(fā)現(xiàn)系統(tǒng)安全風(fēng)險比較好，然而仍存在部分醫(yī)院通過事后分析或意外才發(fā)現(xiàn)。 4.醫(yī)院信息系統(tǒng)安全風(fēng)險規(guī)避措施的有效選取分析 醫(yī)院在系統(tǒng)體系結(jié)構(gòu)、操作系統(tǒng)級、系

7、統(tǒng)級、數(shù)據(jù)、網(wǎng)絡(luò)、管理和技術(shù)等方面安全措施的有效選取上都存在需改進(jìn)的地方。 5.醫(yī)院信息系統(tǒng)安全保護(hù)能力和安全產(chǎn)品評價分析 多數(shù)人認(rèn)為其所在醫(yī)院的系統(tǒng)安全保護(hù)能力并不是很高。信息科人員中不同年齡分布者（χ2=9.033，P=0.046）、不同學(xué)歷層次者（χ2=10.189，P=0.023）、從事目前工作年限不同者（χ2=13.168，P=0.005）、不同職稱分布者（χ2=10.567，P=0.016）對系統(tǒng)安全保護(hù)能力

8、的評價存在顯著性差異。 信息科人員中從事目前工作年限不同者（χ2=9.167，P=0.01）、不同年齡分布者（χ2=17.206，P=0.000）對系統(tǒng)安全產(chǎn)品的評價存在顯著性差異。市場上的系統(tǒng)安全產(chǎn)品主要問題集中在靈活性、穩(wěn)定性不夠，易用性不佳，技術(shù)層次滯后，費用偏高等。 6.醫(yī)院信息系統(tǒng)安全資金投入分析 系統(tǒng)安全方面的資金投入包括安全硬件設(shè)備購置及維修投入、安全軟件購置及其升級投入、安全管理人力和培訓(xùn)投入等方

9、面。存在部分醫(yī)院無投入預(yù)算，投入隨意且數(shù)量不夠充足，投入方向的有效選取上需改進(jìn)。信息科人員中不同年齡分布者（χ2=6.425，P=0.039）、不同學(xué)歷層次者（χ2=13.258，P=0.001）、從事目前工作年限不同者（χ2=11.723，P=0.004）、不同職稱分布者（χ2=10.381，P=0.003）對系統(tǒng)安全資金投入充足程度的認(rèn)知存在顯著性差異。 討論與建議： 1.建立合理的組織結(jié)構(gòu)，合理配置管理人員，加大對

10、重要設(shè)備的經(jīng)費投入 醫(yī)院應(yīng)形成科學(xué)合理的系統(tǒng)安全風(fēng)險規(guī)避管理組織結(jié)構(gòu)，成立以分管院長為組長的安全領(lǐng)導(dǎo)小組，合理配備系統(tǒng)安全管理人員，分工和職責(zé)應(yīng)更加明晰，規(guī)定好協(xié)調(diào)部門的配合內(nèi)容。醫(yī)院領(lǐng)導(dǎo)轉(zhuǎn)變觀念，充分認(rèn)識到系統(tǒng)安全風(fēng)險規(guī)避管理的重要性，加大其投入特別是重要設(shè)備的投入。 2.加強(qiáng)系統(tǒng)使用人員的系統(tǒng)安全知識宣傳、教育和培訓(xùn) 對系統(tǒng)安全培訓(xùn)不太重視的醫(yī)院，今后應(yīng)豐富培訓(xùn)內(nèi)容和方式，注重培訓(xùn)時間和頻率的選擇，適當(dāng)增加培

11、訓(xùn)投入，做好相關(guān)方面的改進(jìn)以提高培訓(xùn)效果。 3.建立一套較完善的、操作性強(qiáng)的管理制度和應(yīng)急預(yù)案 根據(jù)實際情況對不同類型、不同敏感度的信息，規(guī)定合適的管理制度和使用方法，并制定相應(yīng)的獎懲制度和考核制度，爭取將制度落到實處。針對不同的安全風(fēng)險制定具體的常規(guī)處理和緊急處理應(yīng)急預(yù)案并定期演練，提高醫(yī)院應(yīng)對突發(fā)事件的能力，將系統(tǒng)中斷時間、故障損失和社會影響降到最低。 4.建立系統(tǒng)安全監(jiān)控體系，風(fēng)險評估和檢測機(jī)制 對

12、給系統(tǒng)安全帶來嚴(yán)重隱患的行為和人員進(jìn)行重點管理和監(jiān)督?？刹扇∨c專業(yè)安全服務(wù)公司建立長期合作的策略實現(xiàn)安全風(fēng)險評估。制定安全檢測計劃和方案，并組織專門的檢測小組實施。做好硬件設(shè)備的預(yù)防性維護(hù)。 5.加強(qiáng)系統(tǒng)重要信息和文檔的管理 完整的系統(tǒng)文檔是分析、排除故障的基礎(chǔ)，因此應(yīng)加強(qiáng)其管理。 6.完善系統(tǒng)功能，提高應(yīng)用程序級的安全性 合理設(shè)置系統(tǒng)軟件的權(quán)限，慎重考慮系統(tǒng)功能。嚴(yán)格限制超級用戶數(shù)，定期更換系統(tǒng)登錄口令