来源:HIT专家网 编辑:小虫
信息安全归根结底还是人的问题。所以,在医疗卫生信息安全等级保护的体系化实施过程中,更加注重对管理职责和人力资源管理的要求。为确保医疗卫生行业信息系统的信息安全岗位的人员能够胜任其工作,有必要对他们的能力提出基本要求,并且形成评价体系,促使各单位信息安全岗位人员不断提高自身信息安全能力,以适应新的安全环境,持续满足新的安全要求。作为HIT专家网系列丛书的第一部著作,由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)从等保政策,到等保实施做了系统的阐述,欢迎大家登录HIT专家网微店订购。
在《医院安全等保总体形势不容乐观,多位实战专家支招》一文中,多位专家一致认同,信息安全是七分管理,三分技术,但归根结底还是人的问题。所以,在医疗卫生信息安全等级保护的体系化实施过程中,更加注重对管理职责和人力资源管理的要求,各项信息安全控制措施的规划、实施、检查、改进,都要求相关员工发挥他们的作用,其中信息安全岗位尤为重要。他们作为各单位信息安全工作的全程参与者,其能力对各项安全控制措施的适宜性、有效性都起到关键的作用,自然对单位信息安全等级保护工作能否有效、能否满足国家要求也有直接的影响力。
为确保医疗卫生行业信息系统的信息安全岗位的人员能够胜任其工作,为各单位实现信息安全目标履行他们的职责,有必要对他们的能力提出基本要求,并且形成评价体系,促使各单位信息安全岗位人员不断提高自身信息安全能力,以适应新的安全环境,持续满足新的安全要求。
信息安全岗位能力要求
1.信息安全能力
医疗卫生行业信息系统信息安全岗位人员能否满足岗位要求,发挥他们的作用,取决于他们的信息安全能力。这种能力可通过以下方面予以证实:
- 个人基本素质,包括与人交流、善于学习、优秀的团队协作能力等;
- 具有信息安全相关知识和技能的应用能力,这些知识和技能可通过适当的教育、工作经历(专业经历、行业经历)和培训经历获得。
图1描述了医疗卫生行业信息系统信息安全岗位人员能力的概念。此外,医疗卫生行业信息系统信息安全岗位人员应通过持续的专业发展和不断的实践来获得、保持和提高其能力。
2、具备的知识和能力
医疗卫生行业信息系统信息安全岗位人员应具备的知识和技能:
1) 了解医疗卫生行业的特定环境及医疗卫生信息系统的特点;
2) 了解单位所适用的信息安全法律、法规和其他要求;
3) 业界最佳实践文档;
4) 主管或监管部门发布的指南文档。
5) 掌握适当的信息安全管理方法;
6) 了解适当的信息安全技术;
7) 了解信息安全威胁、脆弱性和控制措施的最新知识;
8) 了解适当的信息安全标准;
医疗卫生行业信息系统信息安全岗位人员要确保其能力的持续保持和提高。持续的专业发展、关注信息安全知识、技能和个人素质的保持和提高,这可以通过一些方法来实现,例如:更多的工作经历、培训、自学、参加各种有关会议或其他相关活动。各单位信息安全岗位人员每年应保持不少于25学时的持续专业发展。
信息安全岗位人员评价
为确保医疗卫生行业信息系统信息安全岗位人员持续满足能力要求,现实行信息安全岗位人员评价制度,评价将提供客观、一致、公正和可信的结果,评价过程要识别培训和其它技能提高的需要。
对信息安全岗位人员的评价有以下不同的阶段(图2描述了评价阶段之间的关系):
- 对希望成为信息安全岗位人员的申请人进行初始评价;
- 对信息安全岗位人员表现的持续评价,以识别知识和技能的保持与提高的需要,作为信息安全岗位人员的年度考核的组成部分;
评价过程内容在《医疗卫生行业信息安全等级保护实施指南》(第二版)第六章有详细叙述,在此不再赘述。
【内容预告】:【HIT180等保专栏】医疗行业信息安全等级保护实施案例
如果您对医疗行业的安全等保有自己的见解,欢迎给我们投稿,E-mail:public@hit180.com,投稿请注明“HIT180等保专栏”。
HIT专家网系列丛书的第一部著作、由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)已于2014年9月正式出版,同时HIT专家网推出【HIT180等保专栏】,摘编书中精彩内容以及业界投稿内容与读者分享,欢迎大家订阅!
版次:2014年9月第1版
印次:2014年9月第1次印刷
开本:889mm * 1194mm
印张:21
原价:48.00元 现在网上微店直接下单即可享受大幅折扣优惠。
咨询热线:010-82373062
评论前必须登录!
注册