北京地区二级以上公立中医医院信息安全现状分析与管理对策研究
作者单位:中国中医科学院
学位级别:硕士
导师姓名:朱佳卿
授予年度:2019年
学科分类:03[法学] 1004[医学-公共卫生与预防医学(可授医学、理学学位)] 10[医学] 0306[法学-公安学]
摘 要:近年来,随着大数据、移动互联网、云计算等信息技术的不断发展和广泛应用,信息技术对于推动中医药传承创新发展的影响日益显著。中医药信息化是我国中医药事业发展水平的重要标志,也是中医药事业可持续发展的技术支撑。中医医院作为中医药事业的中坚力量,加强信息化建设对中医医院的发展具有重要的推动作用,同时也对中医医院信息安全提出了更高的要求。但目前中医医院在信息安全方面仍然存在制度不够完善、信息安全人才缺乏、信息安全资金短缺等困难和问题,对中医医院的正常运行形成威胁。因此,如何加强中医医院信息安全建设,成为推进中医医院信息化建设的重中之重。1研究目的本文基于国家中医药管理局委托开展的政策研究项目《中医药行业信息安全督导检查》课题,并选择首先在北京地区开展中医医疗机构信息安全现状预调查,在总结经验的基础上开展全国中医药行业信息安全督导检查。本次调查旨在了解北京地区二级以上公立中医医院(包括中医专科医院、中西医结合医院与民族医医院,下同)信息安全现状,从信息安全机构设置、信息安全管理制度建设、信息安全基础设施和应用系统安全等方面进行分析,了解和掌握当前北京地区中医医院信息安全存在的主要问题及原因,并提出针对性的对策和建议,为中医医院的信息安全建设提供借鉴,为中医药管理部门相关决策提供参考依据,从而为国家开展《中医药行业信息安全督导检查》奠定基础。2研究方法本文选取北京地区39家二级以上公立中医医院作为研究对象,应用研究方法如下:(1)文献研究法。本论文通过对中医医院信息安全和网络安全(以下简称“信息安全)等相关检索文献进行整理分析,了解国内外医院信息安全、中医医院信息安全等方面的研究现状;了解国家相关信息安全及信息安全等级保护制度;了解和掌握医院信息化建设等相关的基础理论知识,为开展中医医院信息安全的相关研究打下基础。(2)问卷调查法。调查问卷的设计参照《中华人民共和国网络安全法》、《信息技术信息安全等级保护基本要求》、《中医医院信息系统基本功能规范》等国家发布的相关文件,并结合中医医院自身实际情况和特点编制调查问卷,对北京地区39家二级以上公立中医医院信息安全管理现状开展问卷调查,由被调查中医医院相关部门根据自身实际情况如实填写,作为本论文开展分析研究的材料支撑。(3)专家咨询法。本研究在调查问卷的设计、信息安全存在问题及对策建议等方面,反复咨询信息及信息安全等方面专家,听取他们的意见和建议,并结合中医医院信息安全的实际情况,突出中医医院的特色,形成本次调查问卷,作为中医医院信息调查报告的技术支撑。(4)统计分析法。对被调查的39家公立中医医院的基本情况、信息安全技术应用情况、信息安全管理等情况进行统计分析,运用描述性统计、卡方检验(x 2检验)等统计分析方法,对调查数据进行分析研究。(5)对比分析法。将中央在京直属三级甲等中医医院与北京市三级甲等中医医院、北京地区三级公立中医医院(包括三级甲等、三级乙等、三级丙等)与二级公立中医医院(包括二级甲等、二级乙等、二级丙等)的信息安全现状分别进行比较,分析不同中医医院间信息安全建设情况存在的问题和不足,为信息安全建设提出对策与建议。3研究结果目前北京地区二级以上公立中医医院的信息安全建设正处于发展阶段,医院信息安全问题受到较高的关注和重视。通过北京地区39家二级以上公立中医医院(包括中医专科医院、中西医结合医院与民族医医院)信息安全现状进行调查分析,得出主要研究结果如下:(1)医院对信息安全工作重视情况。28家中医医院设立专门的信息安全管理职能机构,38家中医医院成立了信息安全领导小组,25家建立信息安全工作小组,32家中医医院已进行等级保护定级工作,31家中医医院已完成等级保护备案及测评工作,8家中医医院尚未完成等级保护备案及测评工作。(2)信息安全投入情况。36家中医医院近三年对信息安全设备进行资金投入,11家中医医院投入金额在51-100万元之间,部分医院尤其是二级中医医院在对信息安全设备投入方面有待提高。在信息安全经费来源方面,36家中医医院信息安全经费来自于医院自筹资金,23家中医医院同时获得上级信息安全经费拨款。在信息安全经费预算方面,32家中医医院安排信息安全经费预算,存在少数中医医院未安排信息安全专项经费预算、投入随意或数量不足等情况。(3)医院信息基础设施安全建设情况。在机房安全方面,24家中医医院明确了机房安全等级,大部分医院对机房采取诸多安全措施,但仍存在如被调查的39家中医医院中,仅有10家中医医院机房具有防磁场干扰措施;并且不同级别的中医医院在机房门禁制度、配备不间断电源等措施方面存在显著差异。在服务器安全方面,大部分中医医院对服务器采取相应安全措施,但被调查的医院中有一家二级丙等医院未对服务器采取安全措施。在终端设备安全方面,39家中医医院均已对PC端设备采取安全措施,但其中如监控使用者的行为和设备相关信息等措施应用率略低,并且不同级别的中医医院在屏蔽外界存储设备USB 口上存在显著差异。在数据安全方面,37家中医医院已采取必要的安全防御措施,但其中对于数据库的访问安全相关措施应用率还比较低。在网络安全方面,被调查的所有中医医院均采取了安全措施,但还停留在一般性的表浅层面,对在入侵检测、日志分析、漏洞扫描、身份鉴别安全防护等措施应用率仍然较低。在主机操作系统及数据库安全方面,38家中医医院已采取相应安全措施,但其中的系统镜像快速恢复、资源控制、身份鉴别等措施应用率较低,并且二级医院在防止恶意代码攻击、资源控制以及数据恢复等方面有所欠缺,急需改进。(4)医院业务应用系统安全建设情况。被调查的39家中医医院管理信息系统中门急诊挂号系统、门急诊划价收费系统、门急诊药房管理系统、住院收费系统、药库管理系统、医疗保险接口系统基本全覆盖,比例均为100%;但是其中对于远程问诊平台、适宜技术推广平台、医院人力资源招聘平台等系统应用率还比较低。中医医院的临床信息系统应用情况中门急诊医生工作站、住院医生工作站和住院护士工作站应用比例达到100%;其次为医学影像存储和传输系统和实验室信息系统,所占比例均为92.31%;但中医诊疗辅助信息系统和中医治未病信息系统应用还比较少,仅占15.38%(6家)和23.08%(9家),中医特色临床信息系统还需进一步完善和推广应用。38家中医医院已针对应用系统采用安全措施,但应用系统业务软件容错、应用系统灾难恢复等措施应用率较低等。(5)信息安全制度建设与落实情况。目前大多数中医医院信息安全管理的相关制度建设情况较好,但在落实上还有待进一步加强,如有15.91%的中医医院虽然制定有信息安全相关制度,但是一些制度都未能严格执行,或执行能力普遍较弱;少数中医医院对一些基本的信息管理制度甚至缺少,例如存在一家中医医院没有制定信息资产管理制度;有些中医医院虽然有相关制度,但调查发现这些制度内容不规范,或与实际要求偏离较远等,很难实施。(6)信息安全应急响应情况。37家中医医院建立应急响应组织,其中35家医院已明确组织内成员的职责、分工和责任追究。38家中医医院已经制定了信息安全应急预案,其中27家医院应急预案比较完善,能够根据事件的不同制定相应的应急预案。在应急安全措施采取方面,37家中医医院开展应急演练,内部技术支援应用率相对较低,占调查医院总数的53.85%。(7)信息安全人员配备与培训情况。从信息化部门中从事信息技术或信息管理方面员工的专业情况来看,有80.94%的员工为信息相关专业;从信息管理或技术员工的学历结构方面来看,本科学历人员占比最高为66.55%,其次为大专学历,比例为20.14%,学历偏低;从信息管理或技术员工的职称方面来看,有60.43%的员工职称主要集中在初级及以下;从信息管理或技术员工的年龄分布方面来看,有73.38%的员工年龄分布在31-49岁之间;从医院专职或兼职信息安全人员数量情况来看,24家中医医院中专职或兼职信息安全人员的人数集中在1-3人,6家中医医院没有专职或兼职信息安全的人员。另外对中医医院员工进行的信息安全培训情况进行调查,33家中医医院每年对员工开展信息安全相关培训在1-2次之间,还有部分医院未开展培训。(8)不同级别中医医院信息安全情况比较。对被调查的39家中医医院信息安全现状进行比较分析得出,三级中医医院信息安全建设情况要优于二级中医医院,中央直属三级甲等中医医院信息安全建设情况要好于北京市属三级甲等中医医院。4结论通过对北京地区39家二级以上公立中医医院信息安全现状的调查,总体来看,北京地区二级以上公立中医医院信息安全建设受到了各单位、各部门的高度重视,信息及网络安全软硬件等基础设施建设和信息安全组织管理、资金投入及相关专业人才培养等方面都取得了很好的成效,可以说中医医院信息安全建设正处于积极向上、蓬勃发展时期。但在发展过程中也面临着一些困难和问题,主要体现在各中医医院发展不平衡,对信息安全重视程度不一,中医医院信息安全还有进一步提升空间;部分中医医院信息基础设施安全建设需进一步加强、安全制度需进一步完善和落实、信息安全资金投入需进一步加大、应急响应需进一步完善以及信息安全人才培养需进一步加强等方面。因此,提出七个方面的建议,即进一步提高中医医院信息安全重视程度、加大信息安全资金投入、加强并完善信息安全基础设施建设、强化信息安全技术保障、健全信息安全管理制度、制定全面且严谨的信息安全应急预案、大力引进和培养信息安全专业人才等。总之,加强中医医院信息安全建设是中医医院信息化建设发展的重要保障措施之一,同时也是衡量中医医院信息化建设程度的重要指标之一。本研究结果将为即将开展的全国中医药行业信息安全督导检查工作提供参考,为中医药管理部门相关决策提供客观依据,同时也将对中医药信息化事业不断发展具有一定的推动和促进作用。
同方学位论文库