Q

　　隨著大數據的利用、便捷患者或醫務人員使用（互聯網應用越來越多），信息安全問題日益凸顯，給醫療信息工作帶來了極大挑戰。在經費有限的情況下，如何在保障信息安全的同時確保醫療服務的正常運行？

　　A

　　1.信息安全思想認識

　　分析一下大家提出的問題“如何在保障信息安全的同時，確保醫療服務的正常運行”。保障信息安全的同時，就有可能無法保證醫療服務的正常運行嗎? 答案一定是否定的。我們做好信息化建設和信息安全都是在保證醫療服務正常運行的大前提之下，能夠給臨床業務工作提供更多更好的技術支持和安全保障，使得醫療服務更加現代化和安全。所以，我們需要正確認識到信息化建設與信息安全如同一把雙刃劍，既為我們帶來了前所未有的便捷性革命，也讓我們面臨著嚴峻的安全挑戰。在享受信息化帶來便利的同時，我們不能忽視其可能帶來的風險。為了實現信息化時代的可持續發展，我們需要加強技術研發、提升安全防護能力、處理好醫療發展協調與平衡。

　　2.對于經費投入的認識

　　在經費有限的情況下，不是在安全建設上花的錢越多，就會越安全。不妨先抽時間冷靜地分析一下，已經使用了哪些安全工具以及它們的效果如何。如果長期在為一些并不需要的信息安全工具或功能付費，又或者可以通過工具整合和集成等措施以較低的總成本獲得同樣的防護效果，那么就意味著信息安全投資并沒有獲得合理回報。另一方面，可以對風險進行梳理并分級，制定中長期風險消除計劃，利用有限的經費優先解決高風險問題、補齊明顯短板，拉長投資周期，逐步提升安全防護水平。

　　隨著網絡技術的迅猛發展，信息安全問題也日益凸顯，黑客攻擊手段也越來越先進，“易攻難守”正在被用來形容信息安全攻防戰的新常態，舊有的網絡設備往往難以應對新的威脅，為了保護網絡系統的安全性，需要投入一定資源及經費來進行信息安全的保護。

　　3.信息安全的預算

　　信息安全預算主要包括以下幾個方面開支：

　　(1)信息安全基礎設施投入(包括防火墻、入侵檢測系統、數據備份和恢復系統等硬件設備的購置和維護費用)；

　　(2)信息安全軟件投入(包括殺毒軟件、漏洞掃描工具、安全審計軟件等軟件的購買和更新費用)；

　　(3)信息安全服務投入(包括外包安全審計、安全咨詢、安全培訓等專業服務費用)；

　　(4)信息安全人力投入(包括安全團隊的薪酬、培訓和招聘費用)；

　　(5)應急響應與恢復預算(為應對安全事件，設立的應急處理和業務恢復所需的預算)。

　　4.一些不花錢也需要特別做好的安全舉措

　　(1)杜絕弱口令、弱密碼；

　　(2)醫生站護士站等工作電腦封USB端口；

　　(3)加強全院全員的安全意識和安全培訓；

　　(4)加強安全的制度化和流程化建設；

　　(5)定期進行安全演練和安全大檢查；

　　(6)加強廠商的安全管理，控制好運維權限；

　　(7)檢查我們已有的安全產品是否都發揮作用，如防火墻都開啟防毒功能、策略的合理性；

　　(8)定期進行數據備份與恢復的檢查與核對工作；

　　(9)加強安全工程師的技術培訓和主動發現問題的安全意識；

　　(10)經常向領導匯報信息安全風險和風險輿情，可以通過合規性要求、利用一些敏感熱點事件爭取更多的經費支持。

　　——孫國強 中國醫學科學院北京協和醫院

　　如果您在醫療信息化工作有任何困惑，歡迎發送郵件至郵箱：sec@chima.org.cn，我們將邀請行業資深人士答疑解惑。