信息安全的效應是一個木桶效應，信息安全建設不好就是醫院信息化建設的一個短板。其中，管理是信息安全的重中之重，是信息技術有效實施的關鍵。

信息安全是“短板”

信息安全是指信息系統受到保護，不會偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務連續性。

信息安全主要包括信息的保密性、完整性、可用性、可控性和可審查性五要素。這五要素也是我們信息安全的目的，主要歸結為5點：進不來，使用訪問控制機制，阻止非授權用戶進入網絡，保證網絡可用性；拿不走，使用授權機制，實現用戶權限控制，同時結合內容審計機制，實現網絡資源與信息的可控性；看不懂，使用加密機制，確保信息不暴露給未授權的實體，實現信息的保密性；改不了，使用數據完整性鑒別機制，保證只有得到允許的人才能修改數據，確保信息完整性；走不脫，使用審計、監控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者留有痕跡，實現信息的可審查性。

信息安全的效應其實就是一個木桶效應，信息安全建設不好就是醫院信息化建設的一個短板。信息系統安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，對信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

構建安全可信的信息消費環境基礎是大力推進身份認證、網站認證和電子簽名等網絡信任服務，推進國家基礎數據庫、金融信用信息基礎數據庫等數據庫的協同，支持社會信用體系建設。

提升信息安全保障能力，需要依法加強信息產品和服務的檢測和認證，支持建立第三方安全評估與監測機制。加強政府和涉密信息系統安全管理，保障重要信息系統互聯互通和部門間信息資源共享安全。落實信息安全等級保護制度，加強網絡與信息安全監管，提升網絡與信息安全監管能力和系統安全防護水平。

醫院信息安全存多重挑戰

如今，在縣醫院信息安全現狀方面，已全面建成全國傳染病和突發公共衛生事件報告網絡。同時，以電子病歷為核心的醫院信息化建設在提高醫療服務效率和質量方面發揮了越來越重要的作用。遠程醫療系統也初具規模，促進了優質醫療資源向基層延伸。而居民健康卡應用穩步推進，覆蓋13億人口的人口信息資源庫。

全國已有3700多家醫療機構開展以電子病歷為核心的醫院信息化建設，實現醫療機構內部信息共享。江蘇、浙江、河南、重慶等6省份建立全省電子病歷數據庫。天津、上海、江蘇、浙江、安徽、福建、山東、河南、湖南、重慶等10省份已建成省級信息平臺，實現部分人口健康信息實時采集與共享交換，支持跨區域業務協同，服務綜合管理與科學決策。上海、天津等17個省份采取依托政務外網，租用電信、聯通等虛擬專用網及獨立建設等多種方式，建立了省級人口健康信息專用網絡。

全國已有22家第三方電子認證機構通過國家衛生計生委電子認證監管平臺的符合性測試，遵循統一的證書格式標準、接口標準，實現全行業跨地域、跨信息系統的一證通用、互認互信。

醫院面對的安全挑戰，主要來自以下幾方面。行業應用的要求，醫院信息系統承載著越來越多的管理和醫療業務，要求7×24小時不間斷運行。醫院正常運行對信息系統的高度依賴，要求醫院信息系統必須具有高度的穩定性和安全性；區域醫療和系統整合的壓力，隨著信息化的發展，信息技術在各個領域的廣泛應用，醫院信息系統面臨著要與區域醫療信息平臺、遠程醫療系統、醫保系統、新農合系統等眾多外部系統的信息共享和數據交換，完全無力隔離的醫院信息系統已經不適應當前形勢下醫療信息化的發展。與外部系統的對接，將不可避免的帶來病毒、外部攻擊和信息泄露等安全挑戰；信息泄露的壓力，醫院信息系統涉及大量的醫院經營、緩則醫療等私密信息，信息泄露和傳播將會給醫院、社會和患者帶來安全風險；網絡安全漏洞，網絡設備、操作系統以及應用軟件都或多或少存在一些系統漏洞，與外界的醫保系統銜接也會出現漏洞；病毒、木馬的威脅。

據了解，目前，采用數據安全技術的醫院比例已經達到40%，未來規劃中數據安全技術名列第二，說明各醫院已經開始重視信息安全的保護，特別是病人數據也就是個人隱私信息的保護。數據庫鏡像備份和數據冷備份采用較多，電子簽名采用還較少。擁有1?2個獨立網絡，是當前大多數醫院網絡建設的主體行為，是其面對信息安全的重要舉措。

信息安全關鍵在管理

醫院信息化應用特點是，信息集中訪問，門診業務在上午10點之后業務量最大，網絡流量也隨之增加；響應要及時，調閱PACS、lis、藥房信息要能及時；多業務融合，臨床信息系統、管理信息系統、服務信息系統等多業務融合，對外互聯、區域融合、網上預約掛號等等。這些均需要在信息安全防護措施下完成，一旦信息安全出現問題，所有應用都將會瞬間破潰，醫院業務無法正常開展。

2008年6月，我國某市保健醫院一名內部人員利用職務之便將該院信息系統所有孕婦和嬰兒信息，以每條0.3元銷售4W萬多條數據；2011年福州某上哪家醫院每隔一個月某醫院信息系統的數據庫就會留下統方痕跡，被醫院外部人員獲取。

信息安全保護工作是一個循序漸進的，不是一蹴而就的工作，需要不斷發現問題、解決問題，不斷改進。業務信息安全等級方面，電子病歷數據一旦遭到破壞，會影響到公民利益、社會秩序、公共利益。系統服務安全等級方面，醫院系統一旦服務不可用，又會造成極大程度的影響。系統安全等級方面，安全等級從信息和服務的等級較高者確定。

開展建設整改，在這之前，對已經建設的系統，可以采用自評和邀請第三方測評機構對系統信息安全等級保護工作進行評測，查找問題，然后對發現的問題和漏洞進行整改。《信息系統安全等級保護基本要求》是我們開展信息安全保護的一個基本“標尺”、達標線，只是我們的出發點，而不是終點。

保障醫院信息系統安全穩定運行，必須在遵守國家信息安全基本要求的前提下，突出醫院自身特點，實現集中安全管理，特別是醫院電子病歷的廣泛應用，CA認證體系的應用將會更大促進醫院信息的安全。信息安全風險評估將會進一步促進醫院信息安全體系的建設。

信息安全“三分技術、七分管理”。足以見得管理是我們信息安全的重中之重，是信息技術有效實施的關鍵。

信息安全保護工作是一個循序漸進的，不是一蹴而就的工作，需要不斷發現問題、解決問題，不斷改進。