医疗不同于其他行业，一旦数据泄露，兹事体大。然医院信息安全需大环境外部前拉、医院内部后推。——潘晓雷

医疗不同于其他行业，医疗数据通常包含了患 者的身份信息、治疗方案、治疗费用等敏感信息，一旦数据泄露，兹事体大。而且，医院对信息系统及相关硬件的依赖程度越高，也就意味着硬件设施、信息系统和网络环境的安全性越重要。

新时代下的医院信息安全压力

毫无疑问，信息化建设帮助医院实现了效率提 升、形象改变、医院管理能力提升、医疗安全得到保证，以及临床科研能力进步。十多年前，医院保障信息安全多采用内外网严 格物理隔离，拆掉了计算机的光驱和软驱。在当时，医院服务器很少采用双机方式，发生系统宕机的情况也比较普遍。随着数字化时代的到来，医院的网络架构逐渐复杂，信息系统已非常普及，信息安全涉及面更广，面临的威胁更多。随之而来的各种犯罪活动也日益猖獗。

进入“互联网+”时代，在医疗围城逐渐向互联网开放的过程中，安全信息问题也面临更大的挑战。信息主管的安全意识逐渐增强，医院在安全方面的投入也逐年增加，但是许多医院投入的资金并没有带来足够的安全。

“互联网+医疗”的出现导致诊疗活动不再局限于医院内部，远程会诊、网络医院等新型诊疗模式将逐渐常态化。医护人员对于信息系统的使用从院内走向院外，医疗数据在院内与院外的交换已成为趋势，内外网的物理隔离已无法实现。内外网物理隔离被打破后，对医院信息部门提出了更高的要求，重新评估内外网数据交换潜在的风险，保证数据交换不对院内信息系统造成压力和冲击。

安全意识并不乐观

一场“互联网+”的革命，将未来信息化建设的信息 安全问题摆到了首位。医院信息系统故障及应急处置 突发事件，也成为震撼行业的热点、难点。笔者认为，中国医院信息安全工作实施不好的原因有以下两方面：

一是外因，《网络安全法》未颁布前，单位做不做等保不需要负法律责任；医疗行业相关的等保要求、指 南、标准、细则有待统一；安全供应商的医疗行业信息 安全解决方案还须完善。

二是内因，主要是医院领导和全员的安全意识不 强，安全风险防范意识差；医院在信息化建设时，重系统应用轻安全，用于信息安全的经费投入不足；另外医院 缺少信息安全的相关人才，不知道如何做好等保工作。

医院信息系统出现安全事故，往往是疏于维护和 监管。因此不能单纯依靠购买信息安全产品来解决，而是要根据《网络安全法》要求，按照等保制度的标准规 范，结合医疗行业特点，从安全意识、安全制度、安全技 术及安全管理等方面采取多方位措施加强防护，排查 安全漏洞及潜在隐患，并建立和执行一套科学的安全管理制度。

作者潘晓雷为武警广东省总队医院信息科主任，

原文刊发于《中国医院院长》杂志2018年第06期，

原文标题《信息安全需内推外拉双发力》，有删改。