电子病历安全管理探讨.pdfVIP

电子病历安全管理探讨 ① ① ① ① ① 苏韶生 张淑娟 杜宜 余元龙 牛瑛 ①中山大学附属中山医院, 528403，广东省中山市 关键词 电子病历 信息安全 电子签名 摘 要 分析了当前电子病历的安全需求,并对各类安全风险进行了分析,以中 山市人民医院为案例,探讨电子病历的安全管理,重点介绍电子签名认证在电子 病历中的应用。 1 引言 电子病历 (Electronic mcdical Record，EMR)，美国国立医学研究所将其 定义为:EMR 是基于一个特定系统的电子化病人记录,该系统提供用户访问完整 准确的数据、警示、提示和临床决策支持系统的能力[1]。从狭义角度认为，是医 务人员在门诊和住院医疗活动中获得的有关资料和进行归纳、分析、整理形成的 医疗活动记录。电子病历安全管理的目的就是要保证系统资源不被破坏，不被非 法使用，保证系统自身的运行不受干扰和破坏。 2 安全需求 电子病历安全的核心包括两方面：一是保证电子病历系统正常运行。医院工 作的不间断性决定医院电子病历要求具有很高的可用性(7 天×24 小时运行),由 于没有非营业时间,所以电子病历几乎没有停机维护时间；另外,社会公众对医疗 服务抱有很高的要求，这都给医院电子病历系统安全运行提出很高的要求。二是 保证系统的信息安全。由于病人的信息属于个人的隐私信息，也属于医院医疗级 的保密信息；同时，病案资料也是患者住院期间唯一有法律效应的证明文件, 《医 疗机构病历管理规定》中要求无关机构和个人不得擅自查阅患者的病历，不得泄 露患者隐私；《电子签名法》第 4 条至第 6 条分别对符合法律、法规要求的数据 电文的“书面形式”、“原件形式”和“保存要求”做出了详细规定，对电子病历 信息的保密性、安全性、可靠性提出了更高要求。 3 安全风险分析 3.1 网络结构的安全风险 对于一般医院来说,网络一般都被物理或逻辑上隔离 划分成内部网(Intranet)和外部网(Internet)，网络结构的安全风险主要来自于 内部局域网和网络设备安全隐患。 1035 3.2 电子病历系统的安全风险 电子病历系统的安全涉及多方面，主要有：病历 信息的安全风险，病案信息是医院重要的信息资源，数据在网络上传输、存储， 必须确保数据的安全性，防止数据被非法窃取、篡改；数据库服务器的安全风险， 包括防止非授权用户访问、数据库服务器漏洞、系统崩溃等；病毒侵害和操作系 统漏洞；应用服务器的安全风险；用户的误操作。 3.3 管理的安全风险 “三分靠技术、七分靠管理”，管理是系统安全的重要组成 部分，管理的安全风险主要有：用户设置简单口令，不注意及时更新口令，职责 [2] 不清，管理制度不健全 。 4 中山市人民医院概况 中山市人民医院是中山市三甲综合医院，现有开放病床 900 张，年出院病人 约 4 万人次，至 2003 年，医院在多系统大规模集成方面取得了有效的突破，研 制出了一套以医院实际运作为依托，功能模块涵盖门诊及其相关辅助科室、病房、 放射影像中心、医技科室、行政管理、社区卫生服务和网络安全等 50 余个子系 [3] 统，全方位覆盖医院所有业务流程，并达到高度集成和无缝连接 ，在此基础上 于2005年10月开始实施电子病历系统,现有在线客户机1500余台。 5 安全管理策略 安全管理策略是对付威胁、保护网络资源的所有措施的总和，针对来自不同 方面的安全威胁，需要采取不同的安全管理对策。安全管理是一个主动防御技术， 必须从威严的制度、严格的管理和先进的技术三个方面上寻求最佳结合点，采取 综合措施，做到“未雨绸缪，亡羊补牢”，以便达到较好的安全效果。目前针对 我院电子病历的安全需求，采用以下有效的安全管理策略。 5.1 建立、执行安全管理制度 结合我院的实际情况和所采