2018年���,醫(yī)療信息化�、互聯(lián)網(wǎng)醫(yī)療重量級(jí)政策和標(biāo)準(zhǔn)頻發(fā)��,這為醫(yī)院進(jìn)入下一個(gè)發(fā)展階段奠定了基礎(chǔ)�����。但無(wú)論是醫(yī)院信息化建設(shè)�、互聯(lián)網(wǎng)醫(yī)院還是遠(yuǎn)程醫(yī)療,都離不開(kāi)數(shù)據(jù)安全的問(wèn)題��。云時(shí)代的來(lái)臨��,更是讓醫(yī)院保障信息系統(tǒng)和數(shù)據(jù)的安全性���,顯得尤為重要����。
醫(yī)療行業(yè)的信息安全市場(chǎng)情況如何?醫(yī)院目前的信息安全的薄弱點(diǎn)有哪些�?醫(yī)院該如何應(yīng)對(duì)信息化創(chuàng)新產(chǎn)品下的信息安全,以及日益泛濫的網(wǎng)絡(luò)勒索��?這些問(wèn)題�����,將在本篇文章中得到深度探討�。
醫(yī)療信息安全市場(chǎng)缺乏活力,根本原因是�����?
下面這張表�,是動(dòng)脈網(wǎng)結(jié)合2018年《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》安全要求 ,以及中國(guó)醫(yī)院協(xié)會(huì)信息管理專(zhuān)業(yè)委員會(huì)CHIMA發(fā)布的《2017-2018中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》中的相關(guān)數(shù)據(jù)得出�����。將兩者相互印證之后���,動(dòng)脈網(wǎng)得出了目前三級(jí)醫(yī)院信息安全建設(shè)情況:
從表中可以看出��,目前三級(jí)醫(yī)院的信息安全建設(shè)����,主要集中在 防火墻、反病毒�����、VPN/網(wǎng)閘和容災(zāi)備份 這四個(gè)方面����;建設(shè)較差的主要包括 安全審計(jì)���、身份認(rèn)證��、隱私保護(hù)���、終端安全和網(wǎng)絡(luò)安全。
針對(duì)醫(yī)療行業(yè)信息安全市場(chǎng)的現(xiàn)狀���,廣州市婦女兒童醫(yī)療中心數(shù)據(jù)中心副主任曹曉均給出了自己的觀點(diǎn)��。他認(rèn)為�,市場(chǎng)的大小根本原因在于醫(yī)療行業(yè)的安全建設(shè)相對(duì)落后。
行業(yè)中��,并沒(méi)有整體的安全規(guī)劃或建設(shè)思路��。并且���,大部分醫(yī)院的安全建設(shè)都是滿(mǎn)足合規(guī)性要求上的投入��。如采購(gòu)幾臺(tái)防火墻�、終端管理軟件再加上管理制度����,就可以通過(guò)等保要求,真正用心做安全整體設(shè)計(jì)的并不多����。這種現(xiàn)狀互聯(lián)網(wǎng)醫(yī)院系統(tǒng),導(dǎo)致整個(gè)醫(yī)療信息安全市場(chǎng)缺乏活力�����。
此外��,目前國(guó)內(nèi)醫(yī)療行業(yè)更關(guān)注業(yè)務(wù)發(fā)展需求,缺乏專(zhuān)業(yè)的網(wǎng)絡(luò)安全人才儲(chǔ)備�����,這也是目前比較大的挑戰(zhàn)����。
一位業(yè)內(nèi)人士則透露,一方面醫(yī)院信息部門(mén)的地位相對(duì)弱勢(shì)����,信息化建設(shè)大多取決于院方領(lǐng)導(dǎo)的意識(shí)。對(duì)醫(yī)院來(lái)說(shuō)��,單位網(wǎng)絡(luò)設(shè)備體量不大�����,一般是純內(nèi)網(wǎng)的環(huán)境�����,當(dāng)前重點(diǎn)建設(shè)基本集中在網(wǎng)絡(luò)基礎(chǔ)設(shè)施完善�,安全建設(shè)相對(duì)滯后���。再加上醫(yī)療行業(yè)屬于財(cái)政差額撥款單位��,有相當(dāng)一部分醫(yī)院資金不富裕�,因此安全建設(shè)的優(yōu)先級(jí)相對(duì)較低。
對(duì)于國(guó)內(nèi)醫(yī)療信息安全市場(chǎng)現(xiàn)階段的產(chǎn)值規(guī)模��,作為國(guó)內(nèi)信息安全企業(yè)的代表���,綠盟科技相關(guān)負(fù)責(zé)人分析了以下兩點(diǎn)原因:
其一���,信息安全相關(guān)配套政策和標(biāo)準(zhǔn)較少。在網(wǎng)絡(luò)安全法正式實(shí)施之前�,國(guó)內(nèi)對(duì)于個(gè)人隱私信息的安全要求幾乎空白。而醫(yī)療行業(yè)是涉及個(gè)人隱私信息最為深入的領(lǐng)域����,沒(méi)有法律法規(guī)上的明確要求,沒(méi)有行業(yè)標(biāo)準(zhǔn)的具體指向����,各級(jí)醫(yī)療機(jī)構(gòu)很難認(rèn)識(shí)到信息安全對(duì)自身業(yè)務(wù)的深刻影響,也就很少會(huì)主動(dòng)考慮在安全方面有所投入����。
其二����,信息或網(wǎng)絡(luò)安全對(duì)醫(yī)療行業(yè)的實(shí)際業(yè)務(wù)推進(jìn)上缺乏直觀的價(jià)值感受���。舉例而言����,一所三甲醫(yī)院每年的IT類(lèi)投資可能達(dá)到千萬(wàn)級(jí)�。
但醫(yī)院決策者基于業(yè)務(wù)發(fā)展的考慮更多的會(huì)對(duì)臨床、研究��、醫(yī)技等業(yè)務(wù)領(lǐng)域方面進(jìn)行投入��,原因就在于這些IT投資對(duì)業(yè)務(wù)的推進(jìn)和支撐幾乎是肉眼可見(jiàn)���,而信息安全的價(jià)值卻很難被感知。
防護(hù)了多少安全攻擊����、解決了多少安全漏洞、抵御了多少次信息泄露��,這些都不會(huì)被直接展示到?jīng)Q策者的案桌上��。
正因如此,最近兩年���,各大信息安全廠商均在重點(diǎn)考慮和投入安全運(yùn)營(yíng)和效果可視化����。
互聯(lián)網(wǎng)醫(yī)院扎堆出現(xiàn)�����,如何保障它們的信息安全�?
如何保障互聯(lián)網(wǎng)醫(yī)院的信息安全?在回答這一問(wèn)題前��,首先要明確而其定義和具體要求�。
