专业咨询
致力推进中国医疗卫生信息化

浙大二院许杰:保障信息安全重在提升专业服务能力

来源:HIT专家网      作者:姜浩 根据录音整理

“医院信息安全是一个令人紧张与不安的话题,因为无论信息部门如何努力,可能都无法做到面面俱到。”在2021西湖论剑•网络安全大会的健康数据安全分论坛上,浙江大学医学院附属第二医院(以下简称浙大二院)IT中心主任许杰从信息部门管理者的角度出发,分享了有关医院信息安全问题的思考与实践经验。

据许杰介绍,浙大二院目前拥有多个一体化院区,以解放路院区为主院区,同时设有滨江院区、江干院区,未来还将开设眼科院区、萧山院区。“医院的规模正在快速扩张,在这个过程中,医院信息部门将面临十分严峻的信息安全挑战。”

浙大二院IT中心主任许杰

信息安全的核心挑战是稳定运行和数据安全

许杰表示,近些年来,从政府层面到医院自身都高度重视信息安全。在合规性方面,法律、法规正在不断完善,包括已发布的《网络安全法》《信息安全技术 网络安全等级保护基本要求》和即将发布的《关键信息基础设施安全保护条例》等,要求日益严格。在检查方面,信息安全检查的方式正在不断增加与升级,包括医院自查、上级主管部门监察以及行业监管部门定期组织的攻防演习等。在重保方面,重保时期的网络安全保障压力越来越大,如两会、国庆及其他重大活动期间的网络安全保护等。

何为信息安全?“在不同的信息安全定义中,通过梳理抓取一些关键词,不难发现大多定义都关注两点,一是数据,或称之为信息,二是服务的可用性,或称之为功能的正常发挥。”许杰总结道,“信息安全的核心挑战是稳定运行和数据安全。信息安全的特征可归纳为:保密、完整、可用、可控。”

“信息安全运维的目标是:即便无法做到100%的完美,也要将风险尽可能降到最低。”许杰表示,信息安全风险来源分为内部与外部,内部风险存在于医院内网、局域网当中,包括病毒传播、非法访问、系统故障、数据丢失、运维不当等,外部风险则包括病毒渗透、黑客攻击、非法访问、数据窃取、信息泄露等。

“信息安全问题不是简单的设备问题、技术问题,而是一个涉及资源与管理的复杂系统性问题,即所谓的‘三分技术、七分管理’。”在解决这些信息安全问题时,医院信息部门面临很多痛点,许杰将其总结为三类:第一类痛点是运维人力短缺,导致专业技术岗位人员缺失,能力不够,使得安全运维工作顾此失彼,危机四伏。第二类痛点是经费投入不足,一方面导致IT基础架构的容灾能力存在缺陷,另一方面使得网络安全相关设备、软件、服务采购不足,难以抵御安全风险,导致安全失控。第三类痛点是安全意识薄弱,运维管理流程不规范,人为过失多,导致系统故障,另有数据采集、共享不规范等问题,导致信息泄露。

应对信息安全挑战,信息部门“以不变应万变”

“如何应对医院信息安全挑战?医院信息部门应具备一种‘超能力’,即以不变应万变之能力。”许杰表示,因资源及能力限制,医院信息部门可从管理架构、工作机制、核心能力提升、安全体系建设四方面着手,并介绍了浙大二院的探索与实践情况。

在管理架构方面,浙大二院采用“1+X”多院区一体化管理。对于IT中心而言,管理架构的顶层治理包括:规划治理,即实现各院区信息化顶层设计的统一性和一致性,兼顾特殊性;资源治理,即实现信息化资源的合理投入和分配,包括人员、预算、装备等;运维治理,即实现各院区IT运维管理的一体化和同质化;目标治理,即实现多院区信息互联互通和数据整合利用,利用信息化助力医院整体高质量发展。通过管理架构治理,可以“顺便”解决信息安全的底层隐患问题。

在工作机制方面,浙大二院从2018年开始尝试初步将IT服务与管理工作流程化、数据化,目的在于解决沟通问题与审批问题,基于数据评价IT管理(包括工作量、效率、满意度等)。2020年,浙大二院IT中心由业务数字化的初级阶段步入数字化转型阶段,引入并应用了信息技术服务标准ITSS,将自身经验与标准进行整合,目的在于以理论体系支撑IT学科建设。从2020年3月至2021年4月,浙大二院IT中心梳理了内部管理体系,将岗位、角色与ITSS理论体系架构进行对标,使每个岗位、每项工作都具备理论支撑,同时将实践与理论相辅相成,为进一步的能力提升打下基础。

目前,浙大二院正在探索实践精益IT管理,即在有限的资源下,以最高的效率、最低的成本支撑医院的发展。具体做法包括:将IT人员分为一线与二线,“分级”提供专业服务,一线为运维人员,主要通过人员的素质改善提升运维效率,二线专家提供较强的沟通、咨询与设计能力;建立多能实用型人才培养体系,使IT人员全面融入医院业务,快速提升专业能力。

在核心能力方面,许杰认为,医院信息部门要掌控自身安全与发展主动权,守住核心命脉,认清自身优势,借力外部资源,创新发展路径。具体表现为:掌握信息安全发展战略,包括顶层设计与理论体系;掌握优势能力,做好需求管理、项目管理及数据开发;掌握IT基础架构、数据和业务需求,做好信息安全与应急响应、数据管理与共享利用、业务逻辑与流程设计等工作。

在安全体系方面,“医院信息部门应深度参与安全体系的规划与应用,层层筑牢安全防线。”许杰分享了浙大二院有关风险感知与访问安全两项内容的做法。

风险感知上,一方面是对比较明确的对象进行运维监控与应急处置,浙大二院的监控系统对全院的数据库、服务器、网络设备等进行监控,可在第一时间预知风险,同时将设备进行网格管理,责任到人,定期巡检,一旦出现预警提示,相关负责人应及时响应。另一方面是通过态势感知洞悉安全风险,在运维监控系统还没有提醒与报警时,基于大数据的人工智能技术,捕获、感知风险的存在,应用安全模型,进行理解与分析,预警工作人员,提前做出干预。鉴于该技术是一项全新的技术,仍需置于医疗场景下进行充分验证,因此医院成立了风险应对处置工作小组,由IT中心的网络安全管理人员与态势感知厂商专业技术人员共同组成。

访问安全上,许杰认为,应基于“零信任安全架构”建立数据安全管理体系,包括数据资产治理、数据隐私保护、数据共享授权、数据安全监管等内容。据介绍,浙大二院正在试行利用数据防火墙进行数据运维监管,从访问者身份到终端、应用、账户、数据,进行全链路数据认证、授权和保护。

许杰总结道:“保障信息安全重在持续增强医院自身和厂商的专业服务能力。”具体做法如:加强顶层设计,网络安全、数据安全是智慧医院建设过程中实现患者安全目标的基础;结合行业发展趋势,定期开展系统性的安全整改和建设,持续提升安全技术和服务能力水平;提高自身网络安全的支撑和保障能力;健全信息安全管理规范,约束内部人员和厂商服务人员的操作行为,降低安全风险;提升安全服务厂商的安全服务能力和服务质量;促进安全技术和服务能力逐步与医疗场景深度融合,增强医疗服务的稳定性。

未来,建设多层级、多院区、集团化的新型数字化智慧医院将成为各大医院的发展目标。许杰认为,在此过程中,智慧医院的核心基础架构中必须内置“智慧安全”。他表示,希望可以通过探索应用风险智能预警与推荐处置等人工智能技术,为智慧医院的安全建设保驾护航。

关注HIT专家网微信订阅号
精彩不容错过!

【责任编辑:陈曦】

赞(9)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 浙大二院许杰:保障信息安全重在提升专业服务能力
分享到: 更多 (0)