互联网时代下，数字化医院的建设面临更加严峻的安全挑战。那么，信息安全管理对象有哪些?管理权限如何分配?如何制定管理制度?来自西京医院数字化中心蒋昆主任在“乐享互联 医路同行”医院信息化沙龙全国巡展沙龙西安站活动中，分享了“信息安全建设实施”主题演讲，摘录如下：

信息安全管理对象

信息安全管理的对象可以分为两类：

一类是数据安全。即人为未经加工的裸数据和密码管理。

另一类是信息安全。即经过加工的，从数据里面提取形成的报表和各种各样的电子文档，比如病历。针对这些对象，信息安全如何来管理呢?简单的来说：将对的人在对的地方，用对的方式做对的事。

如何达成信息安全目标?分为五个步骤。

一：信息做分级管理

信息分级关系怎么做?蒋主表示，依据现有业务模型构建信息访问的模型。从数据库设计阶段开始，各个环节都要设定权限和触发机制。针对不同的应用，完成不同的功能，数据库的对象都需要细分。在权限设计阶段，将应用系统跟数据库对象关联，接下来就是在应用系统设置相应的帐户，该帐户跟应用系统相对应。

二：应用权限分级管理

应用权限分级管理分为三个层次：第一层是制定严格的权限审批制度，第二层是专人负责权限分配档案并为往期审批制度留档，第三层是对相应上述制度的执行情况划分档案，并做不定期检查。

三：网络介入制度管理

网络介入控制首先是机房管理。机房一定要管好，包括钥匙，门禁，登记、监控等等都要有严格的管理机制。其次是区域建设，规划好安全区。再次，传统意义上经常做的VLAN、MAC+port端口绑定，很高级别的人真正想突破它的话还是很容易的;最后，除了工程师在专业设备上做这些配置之外，还可以借助第三方硬件设备和网络设备去做NAC。

四：终端桌面管理

医学上有句话叫病从口入，所有网络安全措施，除了管好配置安全之外，最主要的是管住“进”“出”两个口。蒋主任表示终端管理方面主要做了四个方面的工作：端口控制、远程桌面、应用许可、定制桌面。

五：岗位职责管理

谈到岗位指责的问题是，蒋主任提出岗位职责总的原则是分权、牵制、备份。重要人员备份，岗位跟岗位之间要有牵制，数据库管理人员要负责数据库直接的连接，服务器管理人员要负责服务器密码，还有机房管理人员专门管理机房，审计人员负责对所有上述人员的审计。

后记：管理铸就信息安全堡垒

在最后，蒋主任表示信息安全管理是一件非常重要的事情，在这件事情上应该是“七分管理、三分技术”。所有的管理在岗位的设置上，在人员的选择上如果不到位的话，你技术做的再好，堡垒一定会被从内部攻破。同时，在所有中间参数设置、权限分配上，永远不要过度授权，一定要从管理上限制他，永远不要过度授权。只有这样才能建设一个坚固而又安全的信息系统。