醫(yī)院信息系統(tǒng)安全風險規(guī)避管理策略研究.pdf

1、目的：在了解目前國內外信息系統(tǒng)安全風險現(xiàn)狀的基礎上，進一步明確目前我國在醫(yī)院信息系統(tǒng)安全方面存在的風險和問題，借鑒目前已有的信息系統(tǒng)安全風險規(guī)避策略的可取之處，從管理的角度提出規(guī)避醫(yī)院信息系統(tǒng)安全風險的可行措施和策略，為醫(yī)院決策人員和系統(tǒng)安全管理人員更好地實現(xiàn)信息系統(tǒng)安全風險規(guī)避管理提供參考依據。 方法： 1.文獻檢索與情報分析法：文獻檢索與情報分析法是指通過搜集、鑒別、整理文獻并進行研究，形成對事實科學認識的方法。本文

2、在查閱信息系統(tǒng)安全及其風險規(guī)避管理策略相關理論和實踐研究進展資料的基礎上，歸納出了一些可以借鑒的理論和方法，確定了本研究的對象、內容、方法、調查問卷及訪談提綱等。 2.描述性統(tǒng)計學分析法：描述性統(tǒng)計學分析法是指通過統(tǒng)計圖表和計算數(shù)據的分布特征來了解樣本觀察值的分布特征。本文運用這種方法對調查醫(yī)院、人群的基本情況，系統(tǒng)安全人員配置、培訓情況等進行了資料匯總及分析。對不同分組的信息科人員對系統(tǒng)安全保護能力及安全產品的評價、資金投入充

3、足程度的認知差異運用了卡方檢驗。 3.主成分分析法：主成分分析法是從多個變量之間的相互關系入手，利用降維的思想，將多個變量化為少數(shù)幾個互不相關的綜合變量的統(tǒng)計方法。本文對影響系統(tǒng)安全的多個風險因素進行了主成分分析。 4.現(xiàn)場典型調查法：根據研究內容和目的選取具有代表性的地區(qū)或機構進行系統(tǒng)調查的方法。本文采用現(xiàn)場典型調查法對武漢市、鄂州市共7家醫(yī)院的信息科人員及子系統(tǒng)使用人員進行了調查，共調查330人。 5.社會學

4、定性研究法：社會學定性研究法是對無法量化的指標或無法通過調查問卷直接獲取的信息進行深層次探討的方法。本文運用專題小組討論法邀請信息管理、衛(wèi)生統(tǒng)計等領域的專家探討了研究實施方案和資料分析方法等。對關鍵知情人進行了個人半結構式訪談，探討了醫(yī)院信息系統(tǒng)安全風險規(guī)避管理存在的相關經驗和問題。 結果與分析： 1.醫(yī)院信息系統(tǒng)安全方面的人員配置與分工分析 醫(yī)院信息系統(tǒng)安全包括硬件、軟件、網絡、數(shù)據庫、機房等方面，系統(tǒng)安全管理

5、均在分管院長和信息科主任的統(tǒng)一領導下進行，一些醫(yī)院是1人或多人負責管理某個方面的安全，一些醫(yī)院是1人需同時負責多個方面的安全，在發(fā)生重大安全事件時，多方面的系統(tǒng)安全管理員相互配合共同解決問題。 存在部分醫(yī)院的系統(tǒng)安全管理人員工作任務過于繁重，學歷偏低，專業(yè)與系統(tǒng)安全管理不太相符。部分醫(yī)院的系統(tǒng)安全管理組織結構不夠完善，缺少多部門之間的溝通與協(xié)調。 2.醫(yī)院信息系統(tǒng)安全人員培訓情況分析 部分醫(yī)院對系統(tǒng)安全培訓不太重

6、視，培訓內容和方式不夠豐富，培訓時間和頻率的選擇不夠適當，培訓投入不太充足，培訓效果不太好。 3.醫(yī)院信息系統(tǒng)安全風險分析 醫(yī)院信息系統(tǒng)安全風險來源內外都有，主要來自五個方面，分別是數(shù)據、網絡、硬件、軟件、機房安全風險。通過系統(tǒng)安全管理員工作監(jiān)測或安全產品發(fā)現(xiàn)系統(tǒng)安全風險比較好，然而仍存在部分醫(yī)院通過事后分析或意外才發(fā)現(xiàn)。 4.醫(yī)院信息系統(tǒng)安全風險規(guī)避措施的有效選取分析 醫(yī)院在系統(tǒng)體系結構、操作系統(tǒng)級、系

7、統(tǒng)級、數(shù)據、網絡、管理和技術等方面安全措施的有效選取上都存在需改進的地方。 5.醫(yī)院信息系統(tǒng)安全保護能力和安全產品評價分析 多數(shù)人認為其所在醫(yī)院的系統(tǒng)安全保護能力并不是很高。信息科人員中不同年齡分布者（χ2=9.033，P=0.046）、不同學歷層次者（χ2=10.189，P=0.023）、從事目前工作年限不同者（χ2=13.168，P=0.005）、不同職稱分布者（χ2=10.567，P=0.016）對系統(tǒng)安全保護能力

8、的評價存在顯著性差異。 信息科人員中從事目前工作年限不同者（χ2=9.167，P=0.01）、不同年齡分布者（χ2=17.206，P=0.000）對系統(tǒng)安全產品的評價存在顯著性差異。市場上的系統(tǒng)安全產品主要問題集中在靈活性、穩(wěn)定性不夠，易用性不佳，技術層次滯后，費用偏高等。 6.醫(yī)院信息系統(tǒng)安全資金投入分析 系統(tǒng)安全方面的資金投入包括安全硬件設備購置及維修投入、安全軟件購置及其升級投入、安全管理人力和培訓投入等方

9、面。存在部分醫(yī)院無投入預算，投入隨意且數(shù)量不夠充足，投入方向的有效選取上需改進。信息科人員中不同年齡分布者（χ2=6.425，P=0.039）、不同學歷層次者（χ2=13.258，P=0.001）、從事目前工作年限不同者（χ2=11.723，P=0.004）、不同職稱分布者（χ2=10.381，P=0.003）對系統(tǒng)安全資金投入充足程度的認知存在顯著性差異。 討論與建議： 1.建立合理的組織結構，合理配置管理人員，加大對

10、重要設備的經費投入 醫(yī)院應形成科學合理的系統(tǒng)安全風險規(guī)避管理組織結構，成立以分管院長為組長的安全領導小組，合理配備系統(tǒng)安全管理人員，分工和職責應更加明晰，規(guī)定好協(xié)調部門的配合內容。醫(yī)院領導轉變觀念，充分認識到系統(tǒng)安全風險規(guī)避管理的重要性，加大其投入特別是重要設備的投入。 2.加強系統(tǒng)使用人員的系統(tǒng)安全知識宣傳、教育和培訓 對系統(tǒng)安全培訓不太重視的醫(yī)院，今后應豐富培訓內容和方式，注重培訓時間和頻率的選擇，適當增加培

11、訓投入，做好相關方面的改進以提高培訓效果。 3.建立一套較完善的、操作性強的管理制度和應急預案 根據實際情況對不同類型、不同敏感度的信息，規(guī)定合適的管理制度和使用方法，并制定相應的獎懲制度和考核制度，爭取將制度落到實處。針對不同的安全風險制定具體的常規(guī)處理和緊急處理應急預案并定期演練，提高醫(yī)院應對突發(fā)事件的能力，將系統(tǒng)中斷時間、故障損失和社會影響降到最低。 4.建立系統(tǒng)安全監(jiān)控體系，風險評估和檢測機制 對

12、給系統(tǒng)安全帶來嚴重隱患的行為和人員進行重點管理和監(jiān)督?？刹扇∨c專業(yè)安全服務公司建立長期合作的策略實現(xiàn)安全風險評估。制定安全檢測計劃和方案，并組織專門的檢測小組實施。做好硬件設備的預防性維護。 5.加強系統(tǒng)重要信息和文檔的管理 完整的系統(tǒng)文檔是分析、排除故障的基礎，因此應加強其管理。 6.完善系統(tǒng)功能，提高應用程序級的安全性 合理設置系統(tǒng)軟件的權限，慎重考慮系統(tǒng)功能。嚴格限制超級用戶數(shù)，定期更換系統(tǒng)登錄口令