2015年11月5日，由中国数字医疗网携手爱普生(中国)有限公司共同主办的“巡爱科技 健康普生”2015全国系列沙龙第五站在拥有“岛城”之称的中国最具幸福感城市--青岛成功举办。本次活动以“区域医疗与医院信息化建设” 为主题，就如何更好发展医院信息化建设及区域医疗建设，邀请了青岛市卫计委领导及医院信息中心CIO共同探讨。青岛市卫计委发展规划处、医学信息学会副主委孙建军在会上就《网络安全与卫生信息化》从五方面作了分享。

卫生信息系统的特点

1.网络环境复杂。硬件环境、建设周期、地理空间、移动应用、物联网等等，给网络安全稳定运行带来很大困难。

2．医疗卫生机构应用信息系统开发难度高、技术复杂，开发周期长。

3.卫生信息系统的稳定性、安全性要求高，瞬时并发访问量大。在许多情况下需要极其迅速的响应速度和联机事物处理能力。

4.卫生信息的安全保密性要求高。医疗健康信息包括了个人在疾病控制、体检、诊断、治疗、医学研究过程中涉及到的肌体特征、健康状况、遗传基因、病史病例等个人信息，一旦受到非法侵犯和泄露，都将可能会给个人生活、工作带来较大的负面影响及损失。

5. 医疗卫生信息量大、类型复杂。患者的就医信息需要以文字、图表、影像等多种数据类型表达处理，系统后期数据维护工作量大。

卫生信息化的安全现状

随着卫生业务对信息系统的依赖程度越来越强，卫生信息化应用程度提高，信息化安全环境也日益恶劣，安全问题越来越突出。

1.我国卫生行业的信息安全管理领域的工作尚处于刚刚起步阶段，信息安全意识相对落后，没有成立专门的安全管理组织，也没有建立规范成套的安全管理体系，不能满足日益广泛、高速发展的卫生信息化建设工作需要。

2.随着卫生信息化程度的逐步提高，各种针对卫生信息系统网络犯罪行为已崭露头角，虽然各级医疗卫生机构已经部署了很多安全产品，但是仍然有很多的安全问题出现。

3.各级医疗卫生机构安全管理不够规范，加之火灾等自然灾害引起的灾难增多，由此导致安全事件逐渐增多，有可能导致重要数据的丢失破坏，形成难以弥补的损失，不仅影响卫生业务系统的正常运行，还直接威胁到患者的隐私，甚至是生命安全。

4.随着互联网、物联网、移动医疗技术，大数据应用等在卫生业务中的应用，卫生信息系统由机构内部扩展到整个全球网络，安全问题和风险愈加突出。

信息安全工作存在的问题

1.整体上看，网络和信息安全领域的关键技术、产品大部分掌握在美国和西方发达国家手中，从而使大量采用国外产品和服务的各级卫生信息系统受到国外势力渗透、攻击、控制的安全隐患进一步加大。

2.各类网络安全威胁不断增多，网络安全防范难度加大。病毒、木马、后门病毒利用安全漏洞对卫生信息系统实施入侵，窃取信息，对卫生信息系统安全运行造成很大危害。

3.信息安全建设工作缺乏规范，安全防护能力亟待提高。一些单位信息安全领导机制和工作机制未落实，人员安全管理、系统运维管理和系统建设管理制度不健全、不规范。缺乏常态化的系统安全保护状况的测评分析，在安全技术策略的选择、建设整改方案设计及实施等技术建设方面，既存在一定的盲目性，也缺乏完整性和系统性，导致信息安全整体防护能力和水平不高，给卫生信息系统正常运行留下安全隐患。

4.在信息安全建设方面，存在着重技术轻管理、重产品功能轻人为因素、缺乏整体性信息安全体系考虑等方面的问题。技术手段也许可以解决一部分问题，但却解决不了根本，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。

影响威胁信息安全的主要因素

1.没有设立信息安全的专门管理机构，没有行政和技术上的有效安全管理，网络设计缺陷威胁网络安全。

2.没有制定、公布卫生信息系统的信息安全规范和安全标准。

3. 没有对医疗机构信息系统实行强制性的安全监督、审查、验收机制，特别是没有第三方介入的监督、审查、验收机制。

4.没有重视和执行对用户的安全知识、法规、标准的宣传、培训、考核，没有规定和实行医疗信息系统安全员配备和持证上岗制度。

5.缺乏整体信息安全规划，“头痛医头，脚痛医脚”，很难实现整体的安全管控。

6.网络信息安全资金投入严重不足，甚至不能保证基本安全配置，极大影响系统安全建设。

做好卫生信息安全工作

1.领导重视。随着各级医疗机构卫生信息化应用程度的提高，各级医疗机构要在重视和加强卫生信息化建设的同时，根据业务需要加大卫生信息安全工作建设力度，加大并持续资金投入。信息安全建设工作要与信息化建设同步规划同步实施，在信息化建设工作中，要让领导能够在短时间看到成绩和效果。

2. 重在管理。网络信息安全工作三分技术七分管理，信息安全是一个管理过程，而不是一个技术过程。技术和产品要通过管理的组织职能才能发挥最好的作用，技术不高但管理良好的系统远比技术高但管理混乱的系统安全。技术和产品是基础，管理是关键。要根据医院和信息系统的实际情况，形成一套动态、系统、全员参与、制度化和以预防为主信息安全管理体系。

3. 等级保护。根据《信息安全等级保护管理办法》和省、市有关信息安全等级保护工作要求，各医疗机构要对医院信息系统完成定级、测评和备案工作，并从技术和管理两个方面采取保护措施使系统具有与其相适应的安全保护能力。在此基础上，根据医疗机构信息网络建设实际和业务应用情况，适时对信息系统做好安全规划。

4. 持续安全。随着卫生行业的数字化应用不断普及深入，卫生行业对信息系统的稳定性、安全性要求越来越高，网络和信息安全对医院业务有着巨大影响，通过采取各种各样的业务持续性计划、灾难恢复计划、网络安全保障措施、制定相应的安全策略、加强人员的安全管理，保证卫生信息系统的稳定安全运行。但是信息系统没有绝对的安全，随着业务应用、人员、技术发展，各项网络安全工作也会需要动态调整，只有这样才能保证持续安全。

5. 数据安全。卫生行业的特点决定了卫生信息系统对数据具有特殊的安全要求，特别是随着互联网医疗、互联网+和大数据等在卫生行业的应用，区域卫生平台、医保等系统与各医院信息系统数据交换共享，数据安全工作愈加突出，国家卫生计生委2014年5月下发了《人口健康信息管理办法（试行）》，进一步规范加强各级各类医疗卫生计生服务机构的人口健康信息采集、管理、利用、安全和隐私保护工作，明确管理和安全职责，在保证人口健康信息安全和保护个人隐私的前提下，促进人口健康信息互联互通和共享利用，推动人口健康信息化和卫生计生事业科学发展。