NSC2014首都醫科大學附屬復興醫院信息中心主任宋炎
責編:rhliu |2014-10-24 10:43:35接下來我把醫療方面,以我們醫院為代表的一個縮影給大家匯報一下,我們醫院在信息安全建設方面的一些實踐和體會。
剛才李煒李總也介紹了一下他自己,我也介紹一下我自己。我1989年就在復興醫院從事信息化建設的工作,到今年25年時間。特別巧的是,我也是北大CIO班的一個班長,我們是醫療行業的首屆CIO班。下面我簡單跟大家說一下我們的情況。
我們醫院是首都醫科大學的附屬醫院,前身是公安部的醫院,現在的規模是800多張病床,一年的門診量100多萬,住院病人將近2萬,也是集醫、教、研、防為一體的綜合醫院。特別提到的就是1995年,我們把月壇醫院收并了,成為和我們醫院聯動的一個社區醫院,它也是屬于我們醫院的一部分,我們是三級醫院,月壇是社區衛生服務中心,社區衛生服務是大家議論的焦點。
我們醫院還有一個特點,我們院本部在木樨地,我們的門診在月壇北街,我們還有一個科教中心,在真武廟,我們的社區分布在月壇地區,覆蓋了13萬人口,10個社區站。最近我們又根據衛生局的要求,手拉手的互助,我們除了和自己的月壇社區進行互動以外,還和西長安街社區建立了一些信息共享的聯系。
我介紹一下我們的網絡現狀,看看這個機房,這是很舊的,實際上醫院的網絡建設和信息安全的建設起步都比較晚。網絡安全原來都是醫院內部的業務,但是隨著現在的醫保,還有整個互聯互通,以及各院之間要整個大醫療的概念,我們才逐步從內部的建設走向外部。這個機房實際上是我們在2005年,這個機房還是這樣的,2007年的時候我們醫院的機房也經過了一個改造,先把支持業務的這一部分,實際上還談不到安全,業務上這一部分我們先做了一個整體的規劃,從核心機房開始,從網絡的量開始做了一個改造。包括咱們的核心設備,還有就是整個的運行環境。
這是2006年我們的網,實際上很多大企業不是2006年的時候這樣,2006年已經很完善了,但是我們醫院在2006年就是這樣的。2007年以后我們做了一個網絡改造,首先關注的還是內網,就是我們的業務網,也是做了雙機的網絡互聯,而且隨著我們的建設,我們院本部原來都是獨立的網,數據之間的拼接都不能實現,2007年以后我們做了一個規劃,包括原來互聯網的鏈路,還有專網的鏈路實施都非常按規,但是現在很普及了。我們等于首先在內網建設和外網建設這方面做了一些我們內部的工作。
從醫院和社區互聯開始,我們在2007年的時候就和社區做了一個互動,但是當時也比較難,網絡不通,社區還是ADSL的網絡,我們當時用了一個VPN的形式去做了整個醫院和社區的互動。隨著現在的政府和衛生行業對信息化的重視,我們現在基本上政務網已經在西城普及了。所以說網絡業務的運行,首先先滿足,然后我們才考慮信息安全。包括我們的主機,主機原來別說雙機,我們主業務都是單機運行的。現在我們做到的是醫院本部我們肯定是雙機實時的備份,由于我們有一個異地,在門診那邊通過光纖有一個異地備份。并且如果光纖斷了以后,我們還會支持本地的業務,我們還真出過這么一個事。就是當時有一個大廈建設的時候就把我們的光纖鏟斷了,所以這一塊,實際上還沒提到安全設備,整個我們的設施如果保障不好,實際上安全也是一個問題。
現在大家看到的是我們醫院的信息系統架構,我們從1994年開始是網絡化的信息系統建設。但是經過10年的發展,到2005年的時候,我們基本上是以醫院內部,以醫院業務的財務部門為主導的這種信息化建設各管理,到2005年以后,我們逐步轉向臨床,包括現在提到的以病人為中心的管理。網絡系統在不斷的增加業務覆蓋,另外我們在”十二五”期間,現在”十二五”快收關了,我上面列的業務基本上百分之八九十都覆蓋了。原來醫院跟對外的數據上報,還有業務的移動終端也在不斷的發展,所以我們也考慮到這個信息安全的問題。
實際上醫院信息安全行業是從2007年開始的,在原衛生部,先了衛生計生委下發了《關于全面開展衛生行業信息安全等級保護工作的通知》,實際上還是參照這個指導意見,我們按照公安部的要求去做的條條框框,但是實際上三級等保的要求和醫療行業之間對照起來看還是有一定的問題。因此,我們在衛生局、衛生部的領導下,各個醫院也在摸索,就是說什么樣的安全保護的機制能夠更適用于醫療業務,并且原衛生部也提出來,就是三甲醫院在2015年12月30日之前不低于三級。實際上三級對很多大企業來說已經早就不是問題了,但是對于我們整個醫療行業,就拿北京來講,目前北京的醫院只有阜外醫院一家做了等保測評,其他的都是相關業務測評。我們在2012年的時候做了安全等保的二級備案,目前我們各個醫院也都在為三級的標準搞建設。
根據三級等保對于醫院的適合度,我們也做了一些解決方案。包括我們醫院內部也做了一些規劃,包括網絡在逐步的根據業務的發展,我們是在逐步完善。另外我們也更多的考慮到業務和網絡安全設備之間的關系,實際上也是雙刃劍,剛才兩位專家也提到了,就是我的安全設備如果加載了很多,實際上也是故障點和風險的隱患。所以這一方面,就是看看怎么能夠更好的把安全建設做得更好。
我們在安全建設方面是兩大方面,首先是從技術方面,大家也看到了,我們在完善醫院的物理安全、網絡安全和主機安全的同時,實際上我們的應用不僅是在醫院內部,已經擴大到了外部。尤其是數據安全,大家也提到了,就是剛才主持人也說到了,實際上不是說光醫院的內部業務,還有就是咱們現在的信息利用,是不是能夠有利的、正常的利用?還有就是有一些病人,我舉例子,就是說我們醫院有產科,好比說這個人剛生完孩子,可能就會有一些推銷奶粉的,或者是有一些推銷嬰兒服務的公司去給他打電話,這個患者的自我保護的意識我覺得是一方面。對于醫院來講,這些病人的基本信息是不能夠從這個醫院端去泄漏的,所以我們醫院早就有這個病案保護的意識。從我們自身來講,我們也是在信息系統的安全和開發公司之間也都簽署了保密協議。還有一個就是說現在的大數據共享,什么樣的數據能共享,什么樣的數據我們是隱私的數據。實際上對于衛生行業來講,現在還沒有特別明確的標準,大家都談隱私,什么算隱私的數據,什么樣的數據算醫院的數據?什么樣的數據算病人自身的數據?這一塊其實我們這個醫療行業的探討也很多。
從安全管理的這些制度來講,我們醫院實際上做制度也做得比較少,大部分企業做ISO9000的管理,實際上我們醫院在醫療行業也算是比較早的做了這個ISO9000的工作,我們是2000年開始,就是各個制度、文檔,包括業務流程的管理還都是比較嚴密的。人員的管理,實際上原來我們沒有參照物,參照公安部的三級等保要求,我們也是做了人員管理的劃分,包括信息系統的管理員、網絡管理員,包括有一些安全意識的加強,包括運維,我們也上了一些手段。但是在上這些技術手段的同時,我們也是考慮到剛才李總也說的,云的應用,還有就是有一些新技術,真是像雪片一樣的飛向醫院,但是醫院什么業務能夠在這種技術上安全的落地?實際上也是我們在信息化建設當中考慮的一些問題。
我個人的體會,一個是安全意識,其實大家都有逐步的,包括原來只是對于企業的安全可能大家有這個意識,對個人的隱私有保護。但是這個安全意識的重要性,我就不用多說了。但是我們醫院還是重點保證業務的連續性。我給大家舉一個例子,就是為什么好多醫院掛號掛不好就要上報紙,實際上醫院所有的業務都要在計算機上去跑,除了結算。北京市全市的醫保管理,實際上我們在醫保管理的同時,醫院也承擔了大的風險。醫院的資金現在是墊付的,病人只拿自己的部分,這等于是跟大家都息息相關的。但是如果能滿足的話,能保證我們的系統和醫保的系統是暢通無阻的連通和連續的運營保障,才能讓病人不跑路,不用做二次報銷,去做這些事情。
為了保證業務的連續性,我們可能更多的是關注我們業務不出事。但是現在外界對外的上報,像疾控、傳染病,還有就是從2003年開始,我們上級的主管部門可能更多的也是要從醫院拿數據。現在基本上都是通過專網,利用醫保網的也比較多。但是還有不同的途徑,可能給醫院的業務也是帶來一些挑戰。從自身的業務來講,如果掛號掛不了了,醫生真的看不了病。原來就是咱們先得劃價,都記在心里。我們說一句比較通俗的話,當時沒有計算機,咱們去買東西,售貨員知道這個價格,我們也是這樣,收費處都能記出來,現在都是依靠計算機。所以這一塊的業務,不僅僅是醫院財務的結算,牽扯到醫院的電子病歷,牽扯到醫院的合規合理,是不是按照政策去執行業務。在業務發展的同時還是提到了,現在咱們的信息化建設和安全的建設實際上是同步進行的。但是我們發現,更多的我們是去滿足業務的要求,實際上更多的安全方面的加固就比較忽視,或者說是后置的。
在衛生信息化建設項目的立項過程中,上級部門更多的也在關注,你這個項目在業務的方面如果說要建系統的話,那安全配套是什么樣的?現在從上到下可能大家都有這個意識,但是是不是能夠做到這一點?是不是安全配套上面,這個業務之間是不是雙刃劍?能互相的達到這個平衡?所以談到我們的安全規劃的時候,我們也是需要合理規劃,要有一個度。不是說按照三甲醫院的等級標準,按照三級等保的要求把這些都部署上了,實際上我們更多的考慮這些安全的設施,還有就是安全的技術是不是能夠適用于醫院的建設,所以這一塊,我也想跟大家介紹,是我們各個企業未來面臨的一個問題,互聯互通的發展,隨著大數據、虛擬化,整個現在的技術和業務需求的膨脹,我覺得咱們做技術和做管理的人,一定要把這個事情搞清楚,才能踏踏實實的把醫院的信息化建設和各行業的信息化建設和安全的保障做好。
我今天就給大家匯報這些內容,謝謝!
