醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避管理策略研究.pdf

1、目的：在了解目前國(guó)內(nèi)外信息系統(tǒng)安全風(fēng)險(xiǎn)現(xiàn)狀的基礎(chǔ)上，進(jìn)一步明確目前我國(guó)在醫(yī)院信息系統(tǒng)安全方面存在的風(fēng)險(xiǎn)和問(wèn)題，借鑒目前已有的信息系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避策略的可取之處，從管理的角度提出規(guī)避醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)的可行措施和策略，為醫(yī)院決策人員和系統(tǒng)安全管理人員更好地實(shí)現(xiàn)信息系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避管理提供參考依據(jù)。 方法： 1.文獻(xiàn)檢索與情報(bào)分析法：文獻(xiàn)檢索與情報(bào)分析法是指通過(guò)搜集、鑒別、整理文獻(xiàn)并進(jìn)行研究，形成對(duì)事實(shí)科學(xué)認(rèn)識(shí)的方法。本文

2、在查閱信息系統(tǒng)安全及其風(fēng)險(xiǎn)規(guī)避管理策略相關(guān)理論和實(shí)踐研究進(jìn)展資料的基礎(chǔ)上，歸納出了一些可以借鑒的理論和方法，確定了本研究的對(duì)象、內(nèi)容、方法、調(diào)查問(wèn)卷及訪談提綱等。 2.描述性統(tǒng)計(jì)學(xué)分析法：描述性統(tǒng)計(jì)學(xué)分析法是指通過(guò)統(tǒng)計(jì)圖表和計(jì)算數(shù)據(jù)的分布特征來(lái)了解樣本觀察值的分布特征。本文運(yùn)用這種方法對(duì)調(diào)查醫(yī)院、人群的基本情況，系統(tǒng)安全人員配置、培訓(xùn)情況等進(jìn)行了資料匯總及分析。對(duì)不同分組的信息科人員對(duì)系統(tǒng)安全保護(hù)能力及安全產(chǎn)品的評(píng)價(jià)、資金投入充

3、足程度的認(rèn)知差異運(yùn)用了卡方檢驗(yàn)。 3.主成分分析法：主成分分析法是從多個(gè)變量之間的相互關(guān)系入手，利用降維的思想，將多個(gè)變量化為少數(shù)幾個(gè)互不相關(guān)的綜合變量的統(tǒng)計(jì)方法。本文對(duì)影響系統(tǒng)安全的多個(gè)風(fēng)險(xiǎn)因素進(jìn)行了主成分分析。 4.現(xiàn)場(chǎng)典型調(diào)查法：根據(jù)研究?jī)?nèi)容和目的選取具有代表性的地區(qū)或機(jī)構(gòu)進(jìn)行系統(tǒng)調(diào)查的方法。本文采用現(xiàn)場(chǎng)典型調(diào)查法對(duì)武漢市、鄂州市共7家醫(yī)院的信息科人員及子系統(tǒng)使用人員進(jìn)行了調(diào)查，共調(diào)查330人。 5.社會(huì)學(xué)

4、定性研究法：社會(huì)學(xué)定性研究法是對(duì)無(wú)法量化的指標(biāo)或無(wú)法通過(guò)調(diào)查問(wèn)卷直接獲取的信息進(jìn)行深層次探討的方法。本文運(yùn)用專題小組討論法邀請(qǐng)信息管理、衛(wèi)生統(tǒng)計(jì)等領(lǐng)域的專家探討了研究實(shí)施方案和資料分析方法等。對(duì)關(guān)鍵知情人進(jìn)行了個(gè)人半結(jié)構(gòu)式訪談，探討了醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避管理存在的相關(guān)經(jīng)驗(yàn)和問(wèn)題。 結(jié)果與分析： 1.醫(yī)院信息系統(tǒng)安全方面的人員配置與分工分析 醫(yī)院信息系統(tǒng)安全包括硬件、軟件、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、機(jī)房等方面，系統(tǒng)安全管理

5、均在分管院長(zhǎng)和信息科主任的統(tǒng)一領(lǐng)導(dǎo)下進(jìn)行，一些醫(yī)院是1人或多人負(fù)責(zé)管理某個(gè)方面的安全，一些醫(yī)院是1人需同時(shí)負(fù)責(zé)多個(gè)方面的安全，在發(fā)生重大安全事件時(shí)，多方面的系統(tǒng)安全管理員相互配合共同解決問(wèn)題。 存在部分醫(yī)院的系統(tǒng)安全管理人員工作任務(wù)過(guò)于繁重，學(xué)歷偏低，專業(yè)與系統(tǒng)安全管理不太相符。部分醫(yī)院的系統(tǒng)安全管理組織結(jié)構(gòu)不夠完善，缺少多部門之間的溝通與協(xié)調(diào)。 2.醫(yī)院信息系統(tǒng)安全人員培訓(xùn)情況分析 部分醫(yī)院對(duì)系統(tǒng)安全培訓(xùn)不太重

6、視，培訓(xùn)內(nèi)容和方式不夠豐富，培訓(xùn)時(shí)間和頻率的選擇不夠適當(dāng)，培訓(xùn)投入不太充足，培訓(xùn)效果不太好。 3.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)分析 醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)來(lái)源內(nèi)外都有，主要來(lái)自五個(gè)方面，分別是數(shù)據(jù)、網(wǎng)絡(luò)、硬件、軟件、機(jī)房安全風(fēng)險(xiǎn)。通過(guò)系統(tǒng)安全管理員工作監(jiān)測(cè)或安全產(chǎn)品發(fā)現(xiàn)系統(tǒng)安全風(fēng)險(xiǎn)比較好，然而仍存在部分醫(yī)院通過(guò)事后分析或意外才發(fā)現(xiàn)。 4.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避措施的有效選取分析 醫(yī)院在系統(tǒng)體系結(jié)構(gòu)、操作系統(tǒng)級(jí)、系

7、統(tǒng)級(jí)、數(shù)據(jù)、網(wǎng)絡(luò)、管理和技術(shù)等方面安全措施的有效選取上都存在需改進(jìn)的地方。 5.醫(yī)院信息系統(tǒng)安全保護(hù)能力和安全產(chǎn)品評(píng)價(jià)分析 多數(shù)人認(rèn)為其所在醫(yī)院的系統(tǒng)安全保護(hù)能力并不是很高。信息科人員中不同年齡分布者（χ2=9.033，P=0.046）、不同學(xué)歷層次者（χ2=10.189，P=0.023）、從事目前工作年限不同者（χ2=13.168，P=0.005）、不同職稱分布者（χ2=10.567，P=0.016）對(duì)系統(tǒng)安全保護(hù)能力

8、的評(píng)價(jià)存在顯著性差異。 信息科人員中從事目前工作年限不同者（χ2=9.167，P=0.01）、不同年齡分布者（χ2=17.206，P=0.000）對(duì)系統(tǒng)安全產(chǎn)品的評(píng)價(jià)存在顯著性差異。市場(chǎng)上的系統(tǒng)安全產(chǎn)品主要問(wèn)題集中在靈活性、穩(wěn)定性不夠，易用性不佳，技術(shù)層次滯后，費(fèi)用偏高等。 6.醫(yī)院信息系統(tǒng)安全資金投入分析 系統(tǒng)安全方面的資金投入包括安全硬件設(shè)備購(gòu)置及維修投入、安全軟件購(gòu)置及其升級(jí)投入、安全管理人力和培訓(xùn)投入等方

9、面。存在部分醫(yī)院無(wú)投入預(yù)算，投入隨意且數(shù)量不夠充足，投入方向的有效選取上需改進(jìn)。信息科人員中不同年齡分布者（χ2=6.425，P=0.039）、不同學(xué)歷層次者（χ2=13.258，P=0.001）、從事目前工作年限不同者（χ2=11.723，P=0.004）、不同職稱分布者（χ2=10.381，P=0.003）對(duì)系統(tǒng)安全資金投入充足程度的認(rèn)知存在顯著性差異。 討論與建議： 1.建立合理的組織結(jié)構(gòu)，合理配置管理人員，加大對(duì)

10、重要設(shè)備的經(jīng)費(fèi)投入 醫(yī)院應(yīng)形成科學(xué)合理的系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避管理組織結(jié)構(gòu)，成立以分管院長(zhǎng)為組長(zhǎng)的安全領(lǐng)導(dǎo)小組，合理配備系統(tǒng)安全管理人員，分工和職責(zé)應(yīng)更加明晰，規(guī)定好協(xié)調(diào)部門的配合內(nèi)容。醫(yī)院領(lǐng)導(dǎo)轉(zhuǎn)變觀念，充分認(rèn)識(shí)到系統(tǒng)安全風(fēng)險(xiǎn)規(guī)避管理的重要性，加大其投入特別是重要設(shè)備的投入。 2.加強(qiáng)系統(tǒng)使用人員的系統(tǒng)安全知識(shí)宣傳、教育和培訓(xùn) 對(duì)系統(tǒng)安全培訓(xùn)不太重視的醫(yī)院，今后應(yīng)豐富培訓(xùn)內(nèi)容和方式，注重培訓(xùn)時(shí)間和頻率的選擇，適當(dāng)增加培

11、訓(xùn)投入，做好相關(guān)方面的改進(jìn)以提高培訓(xùn)效果。 3.建立一套較完善的、操作性強(qiáng)的管理制度和應(yīng)急預(yù)案 根據(jù)實(shí)際情況對(duì)不同類型、不同敏感度的信息，規(guī)定合適的管理制度和使用方法，并制定相應(yīng)的獎(jiǎng)懲制度和考核制度，爭(zhēng)取將制度落到實(shí)處。針對(duì)不同的安全風(fēng)險(xiǎn)制定具體的常規(guī)處理和緊急處理應(yīng)急預(yù)案并定期演練，提高醫(yī)院應(yīng)對(duì)突發(fā)事件的能力，將系統(tǒng)中斷時(shí)間、故障損失和社會(huì)影響降到最低。 4.建立系統(tǒng)安全監(jiān)控體系，風(fēng)險(xiǎn)評(píng)估和檢測(cè)機(jī)制 對(duì)

12、給系統(tǒng)安全帶來(lái)嚴(yán)重隱患的行為和人員進(jìn)行重點(diǎn)管理和監(jiān)督?？刹扇∨c專業(yè)安全服務(wù)公司建立長(zhǎng)期合作的策略實(shí)現(xiàn)安全風(fēng)險(xiǎn)評(píng)估。制定安全檢測(cè)計(jì)劃和方案，并組織專門的檢測(cè)小組實(shí)施。做好硬件設(shè)備的預(yù)防性維護(hù)。 5.加強(qiáng)系統(tǒng)重要信息和文檔的管理 完整的系統(tǒng)文檔是分析、排除故障的基礎(chǔ)，因此應(yīng)加強(qiáng)其管理。 6.完善系統(tǒng)功能，提高應(yīng)用程序級(jí)的安全性 合理設(shè)置系統(tǒng)軟件的權(quán)限，慎重考慮系統(tǒng)功能。嚴(yán)格限制超級(jí)用戶數(shù)，定期更換系統(tǒng)登錄口令