“卫生部妇幼保健、基层医疗、慢病等7个信息系统的技术规范制订中，安全性问题提及太少。”在8月中旬举行的中国医院论坛“数字化建设”分论坛上，卫生部信息化建设领导小组专家组教授李包罗指出：“医院需要关心安全性的问题，不能看系统是否能够正常运作而已，这还远远不够。”

在中国，卫生信息化依然是一个新名词。在信息孤岛时代，安全性问题并不突出。但是随着“互联互通”成为“十二五”卫生信息化的目标之后，是否能保障信息安全，已经成为决定卫生信息化成败的关键因素。

据了解，美国作为卫生信息化的先行者就曾吃过安全性的亏。曾有医生把患者临床或手术预约信息放在基于互联网的日程表上，任何人都能访问该日程表。为此，当时美国亚利桑那凤凰城心外手术中心还因泄露病人信息被处以罚款10万美元。

卫生部统计信息中心主任孟群指出：“我国卫生信息化建设还存在信息安全保障建设的滞后。”对于复杂的卫生信息化而言，安全问题其实不是一个简单的问题。与会企业代表认为，尽快制定安全信息范围，确定信息安全的边界，才有利于开展信息化安全性建设。

安全问题少人问津

“无论是企业还是医院，都没有重点关注，这就说明信息化系统没有得到好好地利用。”李包罗指出。

目前，在我国医疗信息化过程中，医院内部信息安全、病人隐私保护，以及一系列跟安全有关系的问题，都没有引起医疗机构足够的重视。而这种忽视，主要体现在技术规范的制订方面。

李包罗表示：“这段时间，我去参加了7个信息系统的技术规范的制订，我发现，有的系统跟安全性毫不搭界，技术规范里面没有跟技术安全有关系的话语，哪怕有，也只是一两句话带过。制订技术规范的人，应该说已经是业界比较有经验、比较有水平的，如果他们都不对安全问题给予足够多的重视，是非常可怕的。”

虽然在卫生信息安全上我国与发达国家相比还存在不小的差距，但是卫生部对于安全问题已有所认识。卫生部、国家中医药管理局在2012年6月15日发布的《关于加强卫生信息化建设的指导意见》指出，要加强卫生信息安全保障体系建设，落实国家信息安全等级保护制度。加强卫生信息系统安全风险评估工作，确保信息安全和系统运行安全。继续完善居民电子健康档案、电子病历等涉及居民隐私的信息安全体系建设，建设以密码技术为基础的信息安全保障和网络信任体系，推广数字证书和电子签名应用，实现信息共享与隐私保护同步发展。

李包罗强调，信息安全问题首先是认识问题，但光有认识还不够，还要考虑投入。应用一个没有一定安全级别保护的系统和运行一个稳定可靠的有安全级别保护的系统，这之间的差异非常之大。

安全建设起步

卫生部统计信息中心主任王才有指出：“数字化如今被应用到医院业务运行的各个领域，成为医院业务活动的中枢神经和大脑，但信息化带来方便效益的同时，也产生了新的安全风险。”

据悉，卫生部一直在推进这方面的工作，包括制度设计、级别保护等。相关的概念和边界已经逐步建立起来。

王才有在会上介绍说：“信息安全等级保护从名词上来解释，就是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。”

与此同时，有关部门还从3个层面确定了信息安全等级保护的基本思想。王才有表示，首先，政府层面制定了统一信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对信息安全产品的使用分等级实行管理，对等级保护工作的实施进行监督和指导。

其次，在用户层面，公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护的监督、指导，保障信息系统安全。

最后，在社会层面，关于信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，应依据国家有关管理规定和技术标准开展相应工作，并接受国家信息安全职能部门的监管。

在政策逐步建立的过程中，医疗机构自身建设亦十分重要。“信息安全是专门的技术，但医院应该培养自己的安全人才，我看到许多医院还没有这样做，存在很大的风险。”