信息安全的外延和內(nèi)涵有很多，大部分醫(yī)院在建設(shè)信息系統(tǒng)的同時(shí)主要關(guān)注了物理安全和部分其他安全產(chǎn)品，主要是網(wǎng)絡(luò)版防病毒、隔離外部網(wǎng)絡(luò)的防火墻、入侵檢測(cè)、終端準(zhǔn)入控制、內(nèi)網(wǎng)與互聯(lián)網(wǎng)數(shù)據(jù)交換的網(wǎng)閘等。基本上能保證相對(duì)封閉的醫(yī)院信息網(wǎng)絡(luò)安全。但面對(duì)新的挑戰(zhàn)，為了系統(tǒng)性的有步驟、有條理的開展信息安全工作，可按照原國(guó)家衛(wèi)生部印發(fā)的衛(wèi)辦發(fā)〔2011〕85號(hào)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》（以下簡(jiǎn)稱《指導(dǎo)意見(jiàn)》）開展信息安全體系建設(shè)。

1.開展等級(jí)保護(hù)工作 《指導(dǎo)意見(jiàn)》中非常明確的說(shuō)明定級(jí)備案、整改、整改后的測(cè)評(píng)工作和要求。由于定級(jí)備案、整改方案需要熟知信息安全專業(yè)知識(shí)和有經(jīng)驗(yàn)的技術(shù)人員，醫(yī)院可委托專業(yè)的信息安全服務(wù)商協(xié)助完成差距測(cè)評(píng)工作，一方面可以通過(guò)差距測(cè)評(píng)找出醫(yī)院需要測(cè)評(píng)的系統(tǒng)與所定級(jí)之間的差距，同時(shí)服務(wù)商會(huì)提供整改方案，醫(yī)院可參考此方案進(jìn)行后續(xù)整改工作。

2.醫(yī)院關(guān)鍵系統(tǒng)的選擇 《指導(dǎo)意見(jiàn)》中規(guī)定三甲醫(yī)院核心業(yè)務(wù)系統(tǒng)等級(jí)不能低于三級(jí)。醫(yī)院可以把對(duì)患者提供關(guān)鍵服務(wù)的和具有商業(yè)價(jià)值的系統(tǒng)，如HIS、EMR定成三級(jí)，醫(yī)院的門戶網(wǎng)站、APP等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的定級(jí)級(jí)別可以根據(jù)在其上承載的為患者提供醫(yī)療服務(wù)的多少或重要程度確定二級(jí)或三級(jí)。

3. 安全服務(wù)外包  信息安全是非常專業(yè)的綜合學(xué)科，需要計(jì)算機(jī)網(wǎng)絡(luò)、計(jì)算機(jī)軟硬件、通訊、密碼、互聯(lián)網(wǎng)等多學(xué)科知識(shí)。醫(yī)院很難配備足夠的相應(yīng)專業(yè)的信息安全人員。因此，可以考慮將安全服務(wù)外包，與安全服務(wù)商簽訂年度服務(wù)協(xié)議，彌補(bǔ)醫(yī)院專業(yè)安全技術(shù)人員的缺失，最大程度保證醫(yī)院信息安全。

4.信息安全建設(shè)的PDCA PDCA持續(xù)改進(jìn)質(zhì)量環(huán)同樣適用于醫(yī)院信息安全工作。醫(yī)院信息系統(tǒng)的軟硬件變更較為頻繁，信息安全的評(píng)估、部署應(yīng)用及分析整改的循環(huán)過(guò)程應(yīng)納入信息化日常工作。例如，原來(lái)信息系統(tǒng)中有收費(fèi)系統(tǒng)，當(dāng)新增自助機(jī)收費(fèi)、支付寶微信移動(dòng)自助收費(fèi)，在制定實(shí)現(xiàn)技術(shù)方案時(shí)要有配套的安全方案，并在上線前進(jìn)行安全評(píng)估，安全評(píng)估通過(guò)后才能上線。系統(tǒng)安全方案和上線安全評(píng)估可由醫(yī)院信息安全管理員協(xié)調(diào)系統(tǒng)提供商和安全服務(wù)廠商一起完成。如果是對(duì)已定級(jí)備案的系統(tǒng)更改，可按照所定級(jí)別進(jìn)行評(píng)估；對(duì)于新上線的系統(tǒng)，省衛(wèi)生計(jì)生委下發(fā)的文件粵衛(wèi)辦函[2016]71號(hào)《關(guān)于做好信息系統(tǒng)安全等級(jí)測(cè)評(píng)與備案工作的通知》中要求須經(jīng)等級(jí)保護(hù)測(cè)評(píng)合格并進(jìn)行報(bào)批備案后方可投入使用。另外，醫(yī)院每年在對(duì)等保三級(jí)系統(tǒng)測(cè)評(píng)前也需要進(jìn)行差評(píng)和整改，以保證每個(gè)三級(jí)系統(tǒng)驗(yàn)收通過(guò)。按照PDCA的做法可以提升并保持醫(yī)院安全防護(hù)能力。

5.提高全員安全意識(shí)  信息安全產(chǎn)品可以用家里的防盜門來(lái)比喻，首先要在每個(gè)出入口安裝防盜門，其次，人員進(jìn)出要確保關(guān)好防盜門。再安全的防盜門，如果沒(méi)有關(guān)好，也是形同虛設(shè)。也需要防范正常進(jìn)入的外人從內(nèi)部進(jìn)行破壞。因此，醫(yī)院信息安全不是哪個(gè)人或哪個(gè)部門的事，醫(yī)院日常信息系統(tǒng)管理、建設(shè)、使用、運(yùn)維和對(duì)信息安全制度的依從，都是信息安全的一部分，信息系統(tǒng)的每個(gè)建設(shè)者、使用者、管理者都是信息安全的守護(hù)者。要對(duì)醫(yī)院系統(tǒng)使用者加強(qiáng)安全教育，

1.何時(shí)需要重新定級(jí)。醫(yī)院信息系統(tǒng)隨著業(yè)務(wù)需求的變化而變化，因此醫(yī)院信息系統(tǒng)安全等級(jí)按照國(guó)家《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》GB-T22240-2008中“6 等級(jí)變更”的要求，隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏�，尤其是�?dāng)系統(tǒng)改變可能影響其安全保護(hù)等級(jí)時(shí)，應(yīng)根據(jù)《定級(jí)指南》的定級(jí)方法重新定級(jí)。

2.制定可操作的信息安全制度，并配備信息安全管理崗位。《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GBT22239-2008）第一級(jí)中安全管理機(jī)構(gòu)的崗位設(shè)置要求除網(wǎng)絡(luò)管理員、系統(tǒng)管理員崗位之外，設(shè)立安全管理員崗位，但并未要求不同人不同崗。即使是一人多崗，也要遵守不同崗位制度。第二級(jí)安全管理機(jī)構(gòu)條款要求安全崗位分設(shè)安全主管、安全管理等各方面負(fù)責(zé)人崗位，并且要求安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。第三級(jí)安全管理機(jī)構(gòu)要求成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，并制定文件明確安全管理機(jī)構(gòu)各部門和崗位的職責(zé)、分工和技能要求。同時(shí)應(yīng)聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審。同時(shí)各級(jí)對(duì)最基本的人員的錄用、離崗；產(chǎn)品采購(gòu)、自行軟件開發(fā)、外包軟件開發(fā)等都有明確要求。

目前醫(yī)院定級(jí)最高基本為三級(jí)。因此醫(yī)院要按照系統(tǒng)所定級(jí)別要求，制定符合醫(yī)院實(shí)際運(yùn)行的有效的各種類信息安全制度，使得醫(yī)院網(wǎng)絡(luò)建設(shè)、信息系統(tǒng)建設(shè)、終端設(shè)備部署等都有實(shí)際可依從的可操作的流程，信息安全管理機(jī)構(gòu)各部門和各責(zé)任人能夠按照制度執(zhí)行。

 3.安全服務(wù)商的選擇。隨著醫(yī)院信息系統(tǒng)對(duì)外逐漸開放，醫(yī)院信息安全面臨的挑戰(zhàn)越來(lái)越嚴(yán)峻，醫(yī)院需要可信的信息安全服務(wù)商提供咨詢和安全保障。對(duì)于安全服務(wù)商的選擇，《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》針對(duì)不同等級(jí)有明確的安全服務(wù)商選擇條款，醫(yī)院可根據(jù)系統(tǒng)定級(jí)遵照對(duì)應(yīng)的要求執(zhí)行。此外，醫(yī)院在與安全服務(wù)商簽訂服務(wù)協(xié)議時(shí)要根據(jù)醫(yī)療信息安全的行業(yè)特點(diǎn)，如患者隱私、醫(yī)藥信息等，與安全服務(wù)商約定保密和安全責(zé)任。