医院信息系统安全规划
我国医院信息化建设进程不断加速,医院信息化在提高服务水平、促进业务创新、提升核心竞争力等方面发挥着越来越重要的作用,信息系统已成为推动医院发展的重要力量。随着医院信息化工作的推进,医院使用信息系统开展工作的比例越来越大,信息系统安全问题日趋严重,信息系统安全问题也逐渐成为影响业务运行、制约业务发展的重要因素之一。医院信息化的发展将面临信息安全方面的严峻考验。对信息系统安全进行全面的规划以适应形势发展成为人们共同关注的一个保证信息安全的重要环节。
(一)医院信息系统安全规划的目标
医院信息系统安全规划是一个涉及管理、法规和技术等多方面的综合工程。信息系统安全是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全的总和,它的最终目的是确保信息的保密性、完整性和可用性。信息系统主体包括医院、用户、社会和国家对于信息资源的控制。
医院信息系统安全规划是以医院信息化战略规划为指导,以医院的信息资源规划为基础,全面完整地规划信息系统应用和相关信息架构,确定信息系统的安全框架、管理模式与建设步骤。医院在信息系统安全规划的指导下建设的信息系统,才可以在信息安全机制的控制与制约下,让各种应用系统和数据都受到保护。信息系统安全规划,不应该只是规划未来几个月,而要规划未来几年,如何达到医院信息化远景规划指导下的安全建设目标的一个过程。信息系统安全规划比单独购买信息安全产品更重要。只有信息系统安全的整体布置有计划、有方向、有目的、有配合,才能构成真正意义上的信息安全。
(二)医院信息系统安全规划的范围
信息系统安全规划是在建和已建的信息系统中必须要考虑的重要内容。它主要是根据信息安全风险评估的结果和提取的安全需求,描述实施相应的安全保障的目标、措施和步骤。信息系统安全规划需要从管理和技术等多方面进行综合考虑,所涉及的是综合管理、技术规范、运行维护等多个方面的控制措施。
信息系统安全规划的范围应该是多方面的,涉及技术安全、规范管理、组织结构。技术安全是以往人们谈论比较多的话题,也是以往在安全规划中描述较重的地方,使用最多的是防火墙、入侵检测、漏洞扫描、防病毒、VPN、访问控制、备份恢复等安全产品。但是信息系统安全是一个动态发展的过程,过去依靠技术就可以解决的大部分安全问题,现在仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不会持续有效的。
医院信息系统安全建设是一项复杂的系统工程,要从观念上进行转变,在安全产品的支持下建设全方位的安全策略,使之成为一个可持续的、动态发展的、有安全保障的渐进的过程。目前在安全设备有一定规模的情况下,规范管理成为信息系统安全规划需要关注的核心内容。在信息系统安全规划中,一定要将管理的规划放在首位。管理包括风险管理、安全策略、规章制度和安全教育,这是信息系统安全规划的重要内容。信息系统安全规划需要有规划的依据,这个依据就是医院的信息化战略规划,同时,更需要组织与人员结构的合理布局来保证。如果没有合适的人员配合工作,任何事情都是不可能完成的。因此,在安全规划中不能忽视对组织结构建立和人员合理调配这个关键环节。
(三)医院信息系统安全规划的侧重点
医院信息系统安全规划的侧重点需要围绕技术安全和管理安全两部分来开展。
医院信息系统的技术安全包括物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复五个方面。物理安全主要针对机房建设与管理;网络安全包括网络拓扑结构、网络访问安全、网络安全审计、网络边界、入侵防范、网络设备防护:主机安全包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制;应用安全包括安全审计、通信完整性、通信保密性、软件容错、资源控制。目前,医院在应用安全方面特别薄弱,主要表现在安全审计、通信完整性、软件容错、资源控制等方面,需要在程序中进行修改补充。数据安全与备份恢复主要包括数据完整性、数据保密性、备份与恢复。
医院信息系统的管理安全包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运行维护五个方面。安全管理制度主要包括管理制度、制定与发布、评审与修订;安全管理机构主要包括岗位设置、人员配置、授权与审批、沟通与合作、审核与检查;人员安全管理主要包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理;系统建设管理主要包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施测试验收、系统交付、系统备案、等级测评安全服务商选择;系统运行维护主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理安全事件处置、应急预案管理。
(四)医院信息系统安全规划的作用
信息系统安全规划的作用应该体现在对信息系统与信息资源的安全保护方面,规划工作需要围绕着信息系统与信息资源的开发、利用和保护方面进行,主要包括目标、现状、需求、措施四个方面:第一,对信息系统与信息资源的规划需要从信息化建设的目标入手,要知道医院信息化发展策略的总体目标和各阶段的实施目标,制定出信息系统安全的发展目标;第二,对医院的信息化工作现状进行整体的、综合的、全面的分析,找出过去工作中的优势与不足;第三,根据信息化建设的目标提出未来几年的需求,这个需求最好可以分解成若干个小的方面,以便于今后的落实与实施;第四,要写明在实施工作阶段的具体措施与办法,加大规划工作的执行力度。
医院信息系统安全规划服务于医院信息化战略目标。信息系统安全规划做得好,医院信息化的实现就有了保障,信息系统安全规划是医院信息化发展战略的基础性工作,不是可有可无,而是非常重要。因为医院信息化的任务与目标不同,所以信息系统安全规划包括的内容就不同,建设的规模也就有很大的差异。因此,信息系统安全规划无法从专业书籍或研究资料中找到非常有针对性帮助的适用法则,也不可能给出一个规范化的信息系统安全规划的模板。在这里提出信息系统安全规划框架与方法,给出信息系统安全规划工作的建设原则、建设内容、建设思路,具体规划还需要深入细致地进行本地化的调查与研究。