浅析医院网络信息系统安全的要害岗位人员管理

◆黎庆严



浅析医院网络信息系统安全的要害岗位人员管理

◆黎庆严

（玉林市第三人民医院 广西 537001）

随着医院信息化的高速发展与医疗体制的深化改革要求，远程医疗、区域医疗、互联互通、移动支付、床边结算等新技术、新业务的应用，使得医院的日常工作和医疗业务与计算机网络技术全面融合,医院对网络信息系统的依赖性越来越强，医院的网络信息系统也越来越复杂。因此，医院的网络信息系统是否安全、稳定、可靠将是决定医院医疗业务工作能否正常开展的关键所在。本文结合多年来本人对医院网络信息系统的维护管理工作经验,对网络信息系统安全的要害岗位管理进行浅析。

网络安全；要害岗位人员；管理

0 前言

随着计算机网络技术的高速发展和医疗体制深化改革的发展需要，信息化系统安全措施建设是否完善与医院的生存发展已息息相关，紧密的结合在一起。医院之间、医院与上下级之间互联互通、区域资源数据共享、网上预约、网上挂号、移动支付、床边结算、远程医疗、远程会诊、医保结算等新业务、新技术应用使得医院的日常工作和医疗业务也与计算机网络技术全面融合，医院对网络信息系统的依赖性越来越强，医院的网络信息系统也越来越复杂。医院网络信息系统安全的重要性日益凸显。近年来出现的针对医院重要数据进行加密的勒索病毒事件、黑客攻击等一些重大安全隐患以及系统设备故障的发生，致使某些医院系统瘫痪，导致患者无法正常就诊，医院的业务、秩序受到影响，使得医疗界对医院网络信息系统的安全保障以及地位不得不重新定义。保障医院的网络信息系统安全、稳定、可靠的运行，成为医院的一项重大工作和政治任务。网络安全的信息系统，除了要有安全的网络管理设备，还要有安全的网络管理人员，因此人员的管理也是相当重要的，即要害岗位的管理要引以重视。本人以多年从事医院信息网络管理的经验对要害岗位人员的管理进行浅述。

1 信息网络管理的要害岗位

信息网络管理的要害岗位包括了与医院信息系统直接相关连的一系列岗位，具体有：医院信息化系统管理岗位、重要应用开发岗位、系统后期维护、业务操作等多个岗位。而每个要害岗位负责人需承担一系列的管理工作。

2 要害岗位人员的管理

2.1 重要岗位人员的选拔是由医院人力资源部门根据应聘要求进行严格选择，并且针对人员的专业技能、职业素养、工作实践经验等多方面进行了全方位的调查，不合格者不能上岗。用人原则“政治可靠，业务素质高，遵纪守法，恪尽职守”，是安全的第一关。管理人员不安全，谈何网络安全？对此，必须要制定针对要害岗位人员工作内容的相关规定，用于规范其在开展信息系统工作时可以承担自己应负的责任。同时，在开展工作前需要依照规定签署保密协议，保证医院网络信息系统的安全性。

2.2在赋予要害岗位人员权利时，可借助权限分散的方式，这样既能够保证在出现问题时可由多人进行商讨，提高决策的可靠性，也能够从根本上杜绝因一方权力独大而出现违背职业道德、影响医院网络信息系统安全的行为。同时，在无明确书面文字批准的情况下，要害岗位工作人员不得兼任医院网络信息系统开发人员。在此基础上，医院还应当定期对要害岗位人员工作进行审核，为其提供专业技能提升机会，加强要害岗位人员风险防范意识。

2.3如果医院信息网络管理要害岗位人员需要调离其工作岗位时，必须要提前办理调离手续，并做好工作的交接，同时需要签署离岗保密协议。涉及对医院网络信息安全管理有着直接联系的要害岗位人员在进行调离时，需要接受审计，并在脱密期结束后才可依照规定进行调离。如果是退休，则要及时将其工作期间应用的权限及帐号全部注销。

2.4 要害岗位人员的工作必须要有日志，可追踪，受审计监督。

3 要害岗位安全责任

3.1系统管理岗位安全责任：要害岗位工作人员在进行医院网络信息系统安全管理时，必须严格按照工作流程进行，同时要保证所有工作均在自己权限管理范围内，使整个系统可正常工作。同时，要害岗位工作人员还应当悉心观察网络系统运行期间的事项，并做好详细记录。一旦发现安全隐患，需及时向信息安全管理人员早报告，做到早发现、早治理。除此之外，要害岗位工作人员还应当对其他运行系统的人员进行监督，保障医院网络信息管理的安全。

3.2网络管理安全责任：要害岗位人员要保障医院网络信息系统运行的安全性，同时要严格按照规定来规范网络日常访问权限、运行模式、安全管理等。一旦发现安全隐患，应当及时请求信息安全人员的帮助。除此之外，需每天对网络运行情况进行细致的记录，以便后期进行查询使用。

3.3系统开发岗位安全责任：开发医院网络信息系统时，需先将所有系统安全功能做好，并且进行反复运行检验后，方可进行应用，但在开发期间，不可泄漏有关医院网络信息系统相关的安全技术。

3.4系统维护岗位安全责任：做好医院网络信息的维护，在保障系统正常应用的情况下，做好安全保密功能。同时，系统维护岗位工作人员不得私自改变系统参数，发现软件所存在的安全隐患时要及时请求信息安全人员帮助。

3.5 业务操作岗位安全责任：按照系统操作流程开展工作，同时做好安全保障，要害岗位工作人员不能向他人提供自己操作密码，在发现系统异常情况时需及时报告系统安全管理人员。熟悉本岗位的业务操作流程和操作技能，能快速流畅完成各种业务操作。

所有重要岗位人员需严格依照医院网络信息系统安全管理条款条例及相关法律规定开展工作。

3.6 第三方服务安全责任管理

3.6.1医院第三方服务主要是指：当外部组织人员因一些不确定的原因需要对医院网络信息系统进行访问、操作时，对其所提供的服务项。

3.6.2管理目的：开展医院网络信息系统安全管理的主要目的便是保障其在被外部人员访问时，不会因一些不确定因素的干扰而降低对系统安全性的管理。与此同时，在保障医院网络系统安全的过程中也能够为外部访问人员提供优质的服务。

3.6.3第三方服务安全管理主要内容（不限于）：

（1）严格规定第三方服务组织必须要签署保密协议，保障医院网络信息系统的安全性，同时要将安全管理与服务的水平等内容写入保密协议中；

（2）医院网络系统中要害信息不允许外部人员访问，除非在得到相关审核与批准后，方可在技术人员的陪同下进行访问。

（3）第三方人员不得将其自带的设备与医院信息系统进行相连，必要时应该得到有关领导特别审批授权，在陪同技术人员下操作，并对其操作进行审计。

（4）对第三方组织所访问的内容要要进行权限限制、监控、跟踪，进行安全和风险分析。

4 要害岗位的安全制度管理

完善的要害岗位制度建设，是保证要害岗位人员操作的规范，科学的管理，提高网络信息系统安全性的重要保障，同时也是减少要害岗位人员的误操作引起安全事故，保证要害岗位人员的人身安全重要措施。在制度面前人人平等，既可以提高要害岗位人员的工作积极性，提高工作效率的同时保证安全工作的顺利开展。要害岗位人员管理制度建设应该包括（不限于）：

（1）系统管理岗位管理制度；

（2）网络安全管理制度；

（3）开发人员管理制度；

（4）维护人员管理制度

（5）业务操作人员管理制度；

（6）第三方服务人员管理制度；

5 要害岗位人员培训与教育

信息部门应定期组织要害岗位人员参加下列信息安全知识和技能培训以及政策学习，培训内容应该包括（不限于）以下内容：

（1）信息安全法律法规及行业规章标准的培训；

（2）信息安全基本知识的培训；

（3）信息安全专门技能的培训；

（4）定期接受政治思想教育、职业道德教育和安全保密教育。

6 要害岗位人员的考核管理

考核是检验人员能力的重要手段，考核也是促进员工主动学习的手段。

（1）首先要建设安全管理考核领导小组，负责制订考核办法以及考核标准。

（2）岗位要害人员必须定期接受安全知识、业务能力、职业道德、政治思想素质、保密知识的考核。

（3）考核不合格的人员必须换岗位或离岗培训，考核合格方可重新上岗，不合格者调离岗位。

7 结束语

完善的信息网络系统要害岗位安全管理，是保证医院信息网络系统安全、可靠以及高效、稳定地运行，是网络信息管理中心工作的关键。医院信息系统建设过程中，实现整个信息系统及网络的安全，保障信息系统安全、可靠、稳定运行是整个网络信息化建设的根本。信息网络安全防范不可能是一劳永逸的，信息网络安全的建设也只是个逐渐完善的过程已而，安全建设永远在路上。制定和完善科学的安全管理制度，提升要害岗位人员的业务素质和政治思想素质，是保证医院网络信息系统安全、可靠以及高效运行的手段，只有抓好了要害岗位的人员管理，才能构建一个安全、稳定、高效的医院网络信息系统。

[1]程兆生.影响医院网络安全的非技术性因素[J].网络安全技术与应用，2017.

[2]卢长伟，赵浩宇，李景波.医院网络安全管理方案与措施[J].中国医院管理，2017.

[3]朱晓庆.医院网络中的安全风险与防范措施探究[J].信息与电脑（理论版），2016.

[4]陈宏.医院网络管理技术分析[J].信息与电脑（理论版），2015.