前言：尋找寫作靈感？中文期刊網用心挑選的醫(yī)療衛(wèi)生行業(yè)信息安全論文，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

一、信息安全等級保護工作開展情況

我們北京市公共衛(wèi)生信息中心（原北京市衛(wèi)生局信息中心），是北京市衛(wèi)生和計劃生育委員會直屬的事業(yè)單位，負責全市醫(yī)療衛(wèi)生行業(yè)網絡與信息安全指導工作。北京市的信息安全等級保護工作是從2007年開始開展的?？偨Y來說，主要有以下幾點做法：

1.強化組織，落實責任。每年年初組織召開北京市醫(yī)療衛(wèi)生信息化工作會，市衛(wèi)生計生委領導、市公安局領導均出席會議，對全年信息安全工作提出部署，明確全行業(yè)信息安全保障重點任務，為落實全年信息安全工作的組織開展奠定了堅實的基礎。

2.聯(lián)合檢查，摸清底數(shù)。自2008年起，我們每年都與市公安局聯(lián)合開展醫(yī)療衛(wèi)生行業(yè)信息安全檢查工作。在市公安局的指導下，我們針對衛(wèi)生行業(yè)機構眾多的特點，設立了由市區(qū)兩級衛(wèi)生行政部門與市區(qū)兩級公安部門聯(lián)合檢查的工作機制。全市三級醫(yī)療機構及市衛(wèi)生局直屬單位由市衛(wèi)生計生委、市公安局負責，區(qū)縣醫(yī)療衛(wèi)生機構由區(qū)縣衛(wèi)生局與區(qū)縣公安分局聯(lián)合進行。目前，我市所有三級以上醫(yī)療機構和重要公共衛(wèi)生部門均已完成了信息安全等級保護定級和備案工作。

3.政策落實，推動整改。近幾年，市財政、市經信委大力支持衛(wèi)生行業(yè)信息安全等級保護工作，在2012年度至2014年度的市衛(wèi)生信息化項目申報指南中，明確規(guī)定了信息安全等級保護建設屬于政府支持項目。到目前為止已有10家市屬三級醫(yī)院（世紀壇醫(yī)院、朝陽醫(yī)院、地壇醫(yī)院、兒童醫(yī)院、安定醫(yī)院、北京胸科醫(yī)院、友誼醫(yī)院、佑安醫(yī)院、中醫(yī)醫(yī)院、首都兒童研究所）完成信息整改項目的申報工作，已由市經濟信息委審核通過項目資金共計3670.902萬元，現(xiàn)在建設資金正在陸續(xù)撥付到位。通過安全整改、等級測評，完成信息安全等級保護工作，切實提高了本市醫(yī)療衛(wèi)生機構信息安全保障能力。

4.制定預案，強化值守。

5.及時總結，持續(xù)改進。

二、信息安全等級保護工作的體會

從2007年開始參與信息安全等級保護工作，我個人經歷了北京市等級保護工作推動的全過程，在這里談幾點個人對于信息安全等級保護相關工作的思考。

1.信息安全等級保護制度為我們醫(yī)療衛(wèi)生行業(yè)帶來了很大的變化。第一是看待信息安全工作視角的變化。以前，我們可能更關注技術本身，有了等級保護要求之后，使得我們從一個整體的角度來看待信息安全這件事情。因為信息安全是符合木桶原理的，最薄弱的地方往往是最容易出現(xiàn)問題的地方，也代表著整個安全防護的水平。第二個變化是讓我們更清晰地梳理了醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，以往可能主要從系統(tǒng)功能來區(qū)分，現(xiàn)在會考慮從業(yè)務連續(xù)性的高低、數(shù)據(jù)安全防護需求的高低來區(qū)分。

2.通過對信息系統(tǒng)的梳理、劃分也清楚了信息安全等級保護要求里哪些要求對我們醫(yī)療衛(wèi)生行業(yè)更適用。信息安全等級保護相關標準是各行業(yè)通用的，因此在行業(yè)內推動時，一定要結合行業(yè)特點，按照信息安全等級保護工作要求制定適合本行業(yè)的標準和規(guī)范。我們之前推出的《細則》其實就是基于這個思路，但由于行業(yè)的復雜性，真正形成一套適合醫(yī)療衛(wèi)生行業(yè)的完整的標準規(guī)范，難度還是非常大的。

3.醫(yī)院的院長、信息中心主任在增加新的信息系統(tǒng)時，都應從信息安全的角度對信息系統(tǒng)進行分析，在項目規(guī)劃申報階段就將信息安全需求整合考慮。現(xiàn)在大部分醫(yī)院都上線了移動醫(yī)療、移動護理，面向公眾開通了微信、手機App，增加這樣一些新的業(yè)務之后，醫(yī)院原有信息安全防護體系發(fā)生了較大改變，具體應如何解決？另外數(shù)字醫(yī)療設備信息安全的問題也應得到廣泛的關注，根據(jù)我們的調研，隨著影像檢查、生化檢驗等設備的數(shù)字化，這些設備都接入到醫(yī)院的信息網絡當中，但對這些設備的安全管理基本屬于空白，存在較多安全隱患。其實這些問題都可以在信息安全等級保護要求的指導下通過技術手段和管理制度的完善而解決。

4.既然面臨這么多問題，那么我們信息安全等級保護工作到底應該怎么做？從衛(wèi)生行政部門、從專家的角度，如何推進等級保護工作？答案是將信息安全等級保護制度跟國外的信息安全最佳實踐，如信息安全管理體系ISMS、ISO/IEC27001等結合起來落實。不管是增加什么樣的新系統(tǒng)、新業(yè)務，都不要就這個應用本身去考慮太多，而應該按照一個整體思路方式來進行梳理，進行考慮。因此我市醫(yī)療機構在信息安全等級保護整改建設工作中，都重點考慮了將等級保護的管理要求和信息安全管理體系結合。

5.在推動信息安全等級保護工作過程中，我們發(fā)現(xiàn)近幾年大家對信息系統(tǒng)安全工作的認識有了很大的提高。但即使北京市醫(yī)療衛(wèi)生行業(yè)等級保護工作推動得比較早、比較好，全市醫(yī)療衛(wèi)生機構信息安全等級保護工作的整改工作到現(xiàn)在依然沒有完全完成，主要原因還是資金落實進度的問題。各地衛(wèi)生行政部門還是應該多與政府、財政進行溝通，爭取財政資金支持衛(wèi)生行業(yè)信息安全等級保護工作。在資金落實到位之前，醫(yī)療衛(wèi)生機構可以先按照信息安全等級保護的要求加強信息安全制度的建設，提升信息安全管理水平，同樣也會使安全水平得到提升。

作者：鄭攀 單位：北京市公共衛(wèi)生信息中心網絡管理部