“第八届中国信息安全大会”于2007年4月18日在北京新世纪日航饭店隆重举行。本次大会以“和谐网络&应用安全”为主题,并组织了四场分论坛,主题分别为“安全网络&绿色上网”、“特色产品&行业应用”、“信息安全管理&合规性”以及“业务协同下的应急管理”,以下是本次大会的精彩演讲之一
宋忠良:各位朋友、专家下午好,很高兴在这里与大家共同探讨信息安全管理的问题,能够代表医疗卫生业参加这个会,下面我给大家谈一谈医疗行业在信息安全管理方面所做的工作,刚才刘海峰工程师讲的那些问题在医院里面都存在,而且很严重,所以根据这些情况我们卫生部门,特别是北京市卫生局从去年夏天开始研究医院信息系统和网络运行的质量如何提高,针对这些情况在去年8月26日召开了一个会议,制订两个文件,一个是《北京地区医院信息系统基础设施建设指南》,再一个是《北京地区医院信息系统建设设施运行于管理规范》,下面简称为指南和规范。下面介绍一下这两个文件的起草工作。
我大概分几部分来讲,一个是背景,二是定位,三是依据及参考,四是文件的组织架构。
应用技国家政策的需要。1、应用发展的需求,包括疾病监控系统;电子病历研究的不断深化并逐渐得到应用;病人隐私的不断提高对信息安全的要求;医保范围的扩大、社区医疗的开展、医院间的并购。第二是政府方面的要求,公安部82号令-《互联网安全保护技术措施规定》,其中有一条是互联网用户单位能够记载用户何时登录何时退出,何时下载等等信息;另外卫生部《医院信息系统基本功能规范》对运行环境的要求;还有《数字签名法》的颁布,这部法律对今后医院信息系统框架的建设有很重要的影响。所以从这些需求方面对医疗领域里面的信息安全提出了很高的要求,面对这些要求我们的现况是什么样的呢?刚才已经提了好多,举个例子,在过去一两年里面各家大医院基本上都出现了各种各样的故障,有切断光纤的,有因老鼠造成停电的,有导致数据库故障的,还有因施工造成故障的。另外就是时时刻刻影响运行的病毒。现实的状况,医院的IT组建不健全,缺乏切实有效的管理规章制度,缺乏明确的工作流程与操作规范,对IT的错误认识和对服务价值的低估,第三方服务的匮乏。业务发展的需求,如何提高自身的技术服务水平,如何得到医院更多的支持与资源,如何提高用户的满意度等等。
我们的定位有十六个字:指导建设、规范管理、保证安全、提高效率。对象主要包括卫生部主管部门、医院主管领导、医院信息中心、系统集成商和厂商。在这两个文件里面我们主要面向医院,因为医院和其它行业还我是有一些遵从性、可操作性、简单易读性。
这两个文件实际上是很相连的文件,《指南》主要作用在规划、建设阶段,侧重于技术层面。《规范》是作用在运行、维护阶段,侧重于管理层面。两者的共同目的是保障医院信息系统的有效运行。
具体《指南》的目标,在符合各层面安全需求的前提下,在技术层面保障医院业务的连续性,为医院信息系统基础设施的规划、建设和改造,提供整体技术架构的参考模型;为医院提供各个技术层面的技术方案参考,为建立可管理的基础设施打下基础,因为医院里面的技术水平参差不齐;使服务提供商了解医院的需求特点,指导设备厂商和集成商参与医院的信息系统建设项目。这样的话就会有一个比较好的接口,因为在需求方和供给方两者共同的认识上相差很大,所以希望双方有一个更好共同的机会。
《规范》的定位基本上是一样的,第一是管理层面保障医院业务的连续性,为医院信息系统基础设施的管理、运行,提供整体架构的参考模型。第二,规范医院信息系统的方法、操作规程,使医院的IT管理从诞辰的技术管理项服务管理转变,逐步走向标准化。第三,在国内医疗卫生行业信息化建设中,引入国际先进的IT治理方法。第四,规范厂商的服务行为,为服务指标的量化提供依据,从而保障服务提供者和医院双方的利益。目前我们的目标是朝着大目标做一个指向、路标。
这是两个文件的总体设计图,在前面的演讲里面已经谈到了,实际上还是以医院战略出发,然后是框架、方针,最后是结果,大的框架就是这样的。主要的参考分三大类,一个是国家、行业相关法律、法规。第二是国家、国际标准。第三是医疗行业的成功经验和案例。
主要的参考标准列表是这样的,在《指南》里面我们主要参照了ISO17799,后来又有了ISO27001,再有就是ISO13335,这是有关于安全规划的。再有就是其他相关技术标准,这是多层面的,机房的建设标准、安全等级标准,这将都是我们参照的标准。《规范》里面最重要的标准就是ITIL。
下面看一下在文件里面是怎么处理这些标准的,首先我们把这些标准分在三个层次上应用,第一个是把思想方法作为基础,这样把握我们的大方向不会出错。第二是拿技术框架作主要参照。第三,引用相应的技术参数。引用的方法主要是:不全面照搬,但不缺少要点。不要求全面,但要有所扩展。不一次到位,但要有所提升。按标准要求,但要切合实际。不直接引用,但要充分体现。
我们参照的主要方法论,现在大家都谈CIO的制度,实际上在医院里面也有所谓CIO俱乐部,但真正CIO的角色实际上在医院里面还没有出现,所以我们就希望通过《规范》、《指南》的制定对这个有一个认识,什么是CIO,主要做什么,我们也做了一些图,这是相关于ISO13335的。刚才大家探讨一个问题也谈了规章制度形同虚设,甚至都没有规章制度,我们如何让这种问题尽量减轻呢,我们在起草这个规程的过程中就想到强调PDCA动态管理,让它如何指导建设,对这些制度有所反馈,达到这样的良性循环。再有就是ITIL,我们看各个行业也在做,但是医疗我们觉得在其他行业里面算是比较新的,但是我们并没有真正去做ITIL,我们只是以这样的理念去规范我们现在的。刚才刘先生也讲了,几个行业里面重部署轻管理的现象,在医院里面也同样是这样,所以我们希望通过ITIL的推广把这个做些转变,这也是我们做规范的主要目的。
《指南》、《规范》的组织架构,《指南》分五篇,规范篇、布线系统篇等等。《规范》主要是运行在管理层,所以不是以技术层面来的,也有一个规划,但是这个规划跟刚才那个规划不一样,这个规划是规划整个医院运行体系的,刚才那个规划主要是在于基础架构如何满足医院基础需求方面的规划。这里的规划是技术规划的一个前提,安全策略制订的不好,所受保护的资源没确定出来,那么下一步的安全方案就不会很好的确定出来。但是在这里面组织规章管理流程我想是这里强调的,现在也有叫IT治理的,我们也借用这种历年来治理医院安全的问题。这是内容的一些组织形式,实际上我们通过制订一个《指南》、一个《规范》提高IT技术的认识水平,因为改进医院在IT投资方式和水平,是最后认识的一个解决,像过去医院里面总是以IT部门算一个成本中心,到现在为止医院里面信息中心的这些领导们总是在一再应付,使病人看病的时间缩短了,老去通过一年增加看了多少个病人给国家做了多大的贡献这样去计算,实际上IT部门是为医院提供业务的部门,医院的投资就是对这些服务的认可程度,我觉得提高医院对IT部门级IT技术的认识水平是很重要的。
再有就是提高医院对信息系统的规划、设计、实施和运维水平。再有就是加快各项的量化过程,使服务的提供和购买双方受益。刚才谈到外包,包一个岗位多少钱现在目前很难量化,通过目前这些规范的制订我 最后我要感谢支持本项目的一些公司,在整个项目的开展过程中这些公司都给了我们大力支持和帮助,给了好多资料,提供了一些产品详细很少见到的资料,所以我们希望有更多的厂商和集成商关心我们这项工作,谢谢大家。
主持人:非常感谢宋先生精彩的演讲,已经有人举手了,请这位先生。
提问:医院信息里面治疗这一块,我的感觉应该加大反欺骗的信息,听我详细说一下,现在不是医保了吗?一家有一个医保一家人都去看病。往往比较重大的检查,CT很少,这些都要几百块、上千都借着医保的名义去做,这种情况经常有发生,这就有欺骗嫌疑。但治疗反欺骗没有,说这是靠医生,但是医生是睁一只眼闭一只眼。
宋忠良:我觉得您说的很对,但是这些问题在医疗行业里面,医院内部,包括同行的交流,在技术层面上大家一致认同在技术层面解决不了这个问题,因为就连医院里面实名制挂号都很难实施,首先大夫、护士在职业上面没有鉴别人真伪的义务,这也是当时大伙提出的一个观点,比如说检查一个人从号贩子那买了一个号,护士、大夫给不给他看病?大伙儿最后的观点不一样,但是有相当一部分人认为大夫、护士没有鉴别人真伪的责任,他们的责任只是这是一位真正的病人,而挂号条的真伪还没有这样的业务。
提问:我刚才听到宋先生说ISO177799和ITIL,用这些的时候我不知道是不是跟那位老先生考虑一样,关于身份认证的问题,因为我看节目的时候有些医生、护士做假病历的现象,是否考虑了在后台实现真正身份的识别,是否用到了相应的技术?
宋忠良:目前信息系统安全在规范的时候主要是针对医生这块,对病人在诊治的过程中他的身份还没有涉及到,目前身份认证对将来的电子病历,你临时在内部是不是需要建立自己的CA,自己的CA和国家级CA到底是什么样的关系,这样的框架怎么弄,如果你要想把自己内部建的CA和外网,主要是在这个层面上来进行的指导。病人这个层面是应用层的,主要的目的不是为了信息的安全,而是指医疗事故的安全,比如在病人吃药打针,只用在他的身上才不会发生错误方面,跟目前我们谈的还是有些区别的。 | 
