中国医院协会信息管理专业信息中心表示:首先,安全对于医院信息化非常重要,该买的产品一定要买;其次,安全方案不要太复杂;再次,还应重视应用的安全。安全方案复杂了以后不稳定的因素是客观存在的,会导致网络出现问题。比如,如果加太多的防火墙、防病毒网关、行为管理软件等等以后,将会导致网络的实际带宽可能只剩有20%、30%。
面对由新医改而引发的新一轮医疗信息化的热潮,保持清醒的认识,同时尽快在制度与规范方面保障医疗信息化的健康发展,这是医院领域众多有识之士共同关注的话题。
值得关注的是,目前国内有关部门已经在医院的信息化,尤其是在信息安全方面,已经积极行动起来。按照国际标准《信息系统安全等级保护基本要求》(GB/T22239-2008)对医院信息安全工作提出了具体要求。
鉴于医院业务应用的特殊性,其信息安全必然与国家标准中的一般信息安全内容有所不同。医院信息系统更关注防止信息非法篡改及数据安全性等方面。医院信息系统中的一些子系统可能会更关注业务连续性方面的要求。医院信息安全建设的主要内容就是按照国家《信息系统安全等级保护基本要求》标准,针对医院信息化建设特点和要求,加强信息安全的保护能力。
国家还有一个相关技术标准叫《信息系统等级保护安全设计技术要求》,该标准目前还处于审批阶段。这个标准从安全计算环境,安全区域边界,安全通信网络和安全管理中心等方面提出了整体设计要求。安全计算环境就是以访问控制为核心的信息处理环境,安全区域边界就是进入和流出的信息必须得到控制,安全通信网络就是保证信息交换过程中的安全性,防止被掉包,篡改,窃听等。此外,还需要设计一个安全管理中心制定安全策略,提供一个信息处理的三权分立体制,从而实现对信息的安全管理,不能想干什么就干什么,谁都没有绝对的权力。安全管理中心将安全管理制度与安全技术手段结合在一起,实现对信息安全的管理和控制,强调的是从整体上实现信息安全的要求。
面对由新医改而引发的新一轮医疗信息化的热潮,保持清醒的认识,同时尽快在制度与规范方面保障医疗信息化的健康发展,这是医院领域众多有识之士共同关注的话题。
值得关注的是,目前国内有关部门已经在医院的信息化,尤其是在信息安全方面,已经积极行动起来。按照国际标准《信息系统安全等级保护基本要求》(GB/T22239-2008)对医院信息安全工作提出了具体要求。
鉴于医院业务应用的特殊性,其信息安全必然与国家标准中的一般信息安全内容有所不同。医院信息系统更关注防止信息非法篡改及数据安全性等方面。医院信息系统中的一些子系统可能会更关注业务连续性方面的要求。医院信息安全建设的主要内容就是按照国家《信息系统安全等级保护基本要求》标准,针对医院信息化建设特点和要求,加强信息安全的保护能力。
国家还有一个相关技术标准叫《信息系统等级保护安全设计技术要求》,该标准目前还处于审批阶段。这个标准从安全计算环境,安全区域边界,安全通信网络和安全管理中心等方面提出了整体设计要求。安全计算环境就是以访问控制为核心的信息处理环境,安全区域边界就是进入和流出的信息必须得到控制,安全通信网络就是保证信息交换过程中的安全性,防止被掉包,篡改,窃听等。此外,还需要设计一个安全管理中心制定安全策略,提供一个信息处理的三权分立体制,从而实现对信息的安全管理,不能想干什么就干什么,谁都没有绝对的权力。安全管理中心将安全管理制度与安全技术手段结合在一起,实现对信息安全的管理和控制,强调的是从整体上实现信息安全的要求。
