北京市医疗卫生行业信息安全等级保护工作现状和体会.docVIP

北京市医疗卫生行业信息安全等级保护工作现状和体会 　　北京市共有各级各类医疗机构9000余家，其中三级以上医疗机构66家，还包括重要的公共卫生部门如血液中心、疾控中心、卫生监督所等，信息系统众多。医疗卫生机构作为涉及民生的重要组成部分，其信息系统与广大人民群众密切相连，信息安全事关群众生命安全和社会稳定。 　　信息安全等级保护工作细则 　　2012年4月，原北京市卫生局按照原卫生部下发的《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）和《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号）文件要求，统筹全市医疗卫生行业信息化发展状况以及信息安全等级保护发展状况两个大局，总结全市医疗卫生行业信息安全等级保护工作开展经验，研究制定下发了《北京市卫生局关于进一步加强北京市卫生行业信息安全等级保护工作的通知》（京卫办字〔2012〕26号）。 　　这个通知不是对原卫生部文件一个简单的转发，还包括了《北京地区卫生行业信息安全等级保护工作实施细则》（以下简称《细则》），对原卫生部文件提出的定级要求进行了细化。三级甲等医院核心业务系统原则上信息安全等级保护定级不低于第三级，一些重要的公共卫生信息系统不低于第三级，一些区域平台信息系统不低于第三级，这是属于比较大块的分类。那么具体到医疗机构，具体到公共卫生部门，到底什么样的系统定为第三级，大家可能会感觉不太清晰。所以我们在《细则》里定义了三级甲等医院什么样的信息系统定为第三级。例如《细则》中写道，“三级甲等医院的核心业务信息系统的安全保护等级原则上不低于第三级”，应结合医院业务及信息系统实际情况，从以下指标确定医院核心业务系统：医院平均日门诊量；医院住院床位数；业务系统承载病患个人隐私信息、一旦泄露对社会秩序构成重大影响的；业务中断使医院正常运营蒙受重大经济损失的；其他如何遭到损害会对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益产生重大影响的系统。因此，无论是医院的门急诊信息系统、电子病历系统还是今后将要建设的其他信息系统，都可以从这些方面来分析，从而更准确地定级。 　　这个《细则》的制定使得我市医疗卫生行业更加明确了信息安全等级保护工作的要求及落实方法，对我们之后的备案、安全整改和等级测评工作起到了很大的帮助作用。 　　信息安全等级保护工作开展情况 　　我们北京市公共卫生信息中心（原北京市卫生局信息中心），是北京市卫生和计划生育委员会直属的事业单位，负责全市医疗卫生行业网络与信息安全指导工作。北京市的信息安全等级保护工作是从2007年开始开展的。总结来说，主要有以下几点做法： 　　一是强化组织，落实责任。每年年初组织召开北京市医疗卫生信息化工作会，市卫生计生委领导、市公安局领导均出席会议，对全年信息安全工作提出部署，明确全行业信息安全保障重点任务，为落实全年信息安全工作的组织开展奠定了坚实的基础。 　　二是联合检查，摸清底数。自2008年起，我们每年都与市公安局联合开展医疗卫生行业信息安全检查工作。在市公安局的指导下，我们针对卫生行业机构众多的特点，设立了由市区两级卫生行政部门与市区两级公安部门联合检查的工作机制。全市三级医疗机构及市卫生局直属单位由市卫生计生委、市公安局负责，区县医疗卫生机构由区县卫生局与区县公安分局联合进行。目前，我市所有三级以上医疗机构和重要公共卫生部门均已完成了信息安全等级保护定级和备案工作。 　　三是政策落实，推动整改。近几年，市财政、市经信委大力支持卫生行业信息安全等级保护工作，在2012年度至2014年度的市卫生信息化项目申报指南中，明确规定了信息安全等级保护建设属于政府支持项目。到目前为止已有10家市属三级医院（世纪坛医院、朝阳医院、地坛医院、儿童医院、安定医院、北京胸科医院、友谊医院、佑安医院、中医医院、首都儿童研究所）完成信息整改项目的申报工作，已由市经济信息委审核通过项目资金共计3670.902万元，现在建设资金正在陆续拨付到位。通过安全整改、等级测评，完成信息安全等级保护工作，切实提高了本市医疗卫生机构信息安全保障能力。 　　四是制定预案，强化值守。 　　五是及时总结，持续改进。 　　信息安全等级保护工作的体会 　　从2007年开始参与信息安全等级保护工作，我个人经历了北京市等级保护工作推动的全过程，在这里谈几点个人对于信息安全等级保护相关工作的思考。 　　首先，信息安全等级保护制度为我们医疗卫生行业带来了很大的变化。第一是看待信息安全工作视角的变化。以前，我们可能更关注技术本身，有了等级保护要求之后，使得我们从一个整体的角度来看待信息安全这件事情。因为信息安全是符合木桶原理的，最薄弱的地方往往是最容易出现问题的地方，也代表着整个安全防护的水