目前，CHIMA正在開展“百問百答”活動，根據(jù)已收集到的醫(yī)院信息化管理者聚焦的關鍵問題，邀請CHIMA委員進行解答，以期通過專家的“分布式智慧大腦”，尋求破題思路。

　　在醫(yī)院網(wǎng)絡信息系統(tǒng)中，安全主要是涉及硬件、軟件和管理三方面，重要性日益凸顯。在具體實踐中，信息科應該培養(yǎng)專業(yè)的網(wǎng)絡信息安全工程師，還是把網(wǎng)絡信息安全外包給第三方公司?對該話題，專家給出了解讀。

　　信息科應該培養(yǎng)專業(yè)的網(wǎng)絡信息安全工程師，還是把網(wǎng)絡信息安全外包給第三方?

　　"專家A:

　　網(wǎng)絡安全越來越重要，單純一個解決方案難免不足以滿足工作需要。建議一定設置專職的網(wǎng)絡安全工程師，直接向信息中心主任負責，統(tǒng)管信息安全工作。但信息安全涉及面非常廣泛，一個工程師能力難免有限，所以應該強化信息安全意識，需要全院參與，加強領導責任，循序漸進提升安全。也可以增加安全廠商的駐場或者輔助運維，比如安全數(shù)據(jù)分析、安全時間分析、緊急時間解決等。第三方解決了專業(yè)性的深度問題。但這樣依舊人力和及時性有限，因此建議采購第三方MSS安全運維服務，在醫(yī)院設置安全探針或者安全數(shù)據(jù)采集盒，云端服務商7X24服務，發(fā)現(xiàn)問題及時通知醫(yī)院網(wǎng)絡安全工程師，并及時處理，讓安全問題動態(tài)清零。三級三線安全建設可以一定程度上加強網(wǎng)絡安全。

　　"專家B:

　　應是兩者相結合，既采購第三方的安全服務也培養(yǎng)自己專業(yè)的網(wǎng)絡安全工程師。人才培養(yǎng)時間周期長，專業(yè)程度的深度不夠，需要很長時間才能達到專業(yè)公司的水平，而完全外包給安全公司，他們對醫(yī)院的業(yè)務和應用場景不熟悉，同時也容易被他們牽著鼻子走，所以需要兩者相結合。可以建立聯(lián)席制度，協(xié)同辦公，互相督促、互相支持。

　　"專家C:

　　兩者都需要：要有信息科專業(yè)的信息安全工程師，可以處理日常的信息安全問題;同時，像等保等專業(yè)的評審工作就需要非常專業(yè)的安全公司來做。

　　"專家D:

　　應該培養(yǎng)信息科專業(yè)的網(wǎng)絡信息安全工程師。

　　"專家E:

　　自己培養(yǎng)專業(yè)的網(wǎng)絡信息安全工程師，所有方案及管理由自己掌握，第三方公司只是實施和運維。

　　"專家F:

　　日常工作應該有一名網(wǎng)絡信息安全工程師，但是仍需要外包給一家安全公司，確保出現(xiàn)安全事故時應急解決問題。

　　"專家G:

　　醫(yī)院的網(wǎng)絡建設是信息化建設的基礎和核心，關乎醫(yī)院信息系統(tǒng)能否正常運行，是重中之重，也可以說是信息科的核心崗位。因此，從醫(yī)院的整體網(wǎng)絡規(guī)劃、設計、網(wǎng)絡安全和日常運維實施等工作，都需要信息科自己掌握，不建議外包給第三方公司。如果實在沒有網(wǎng)絡工程師人才，建議只外包部分功能，不能全部都外包，信息科什么都不管，是非常危險的!

　　"專家H:

　　應該培養(yǎng)至少一名信息科專業(yè)的網(wǎng)絡信息安全工程師，對醫(yī)院全局網(wǎng)絡信息安全進行把控，日常運維及疑難故障處理需外包給第三方安全公司，減輕醫(yī)院壓力，降低風險，提高穩(wěn)定性。

　　"專家I:

　　需要兩方面結合。國家越來越重視網(wǎng)絡安全，上級行業(yè)管理部門、地方公安部門、審計部門等每年都有新的要求及各類檢查，職責通常是放在信息科，因此科室一定要有自己的網(wǎng)絡信息安全人員，負責安全體系的規(guī)劃、管理等，而相對專業(yè)技術較強的安全技術實施及維護可以外包給第三方公司，由信息科網(wǎng)絡安全人員進行統(tǒng)一管理。