近年來(lái)，我國(guó)醫(yī)衛(wèi)行業(yè)信息化全面發(fā)展，在線掛號(hào)、線上問(wèn)診、電子病歷等數(shù)字化場(chǎng)景應(yīng)用廣泛。老百姓就醫(yī)便捷，醫(yī)院運(yùn)轉(zhuǎn)效率也得到提高。與此同時(shí)，大量數(shù)據(jù)匯入醫(yī)衛(wèi)系統(tǒng)，醫(yī)療信息數(shù)據(jù)中涉及大量患者個(gè)人隱私（真實(shí)身份、電話、家庭地址、疾病信息、檢查信息等），如何保障老百姓就診信息安全，避免隱私外泄風(fēng)險(xiǎn)？

十三屆全國(guó)政協(xié)常委，九三學(xué)社中央常委、河南省委主委，河南省政協(xié)副主席張亞忠表示，“當(dāng)前，我國(guó)醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)信息安全形勢(shì)較為嚴(yán)峻，有些醫(yī)衛(wèi)單位的內(nèi)網(wǎng)卻存在“僵木蠕”互聯(lián)網(wǎng)病毒”。

網(wǎng)絡(luò)安全隱患較多

據(jù)了解，醫(yī)療數(shù)據(jù)因隱私性強(qiáng)、可利用價(jià)值高、來(lái)源廣泛，容易成為黑客重點(diǎn)攻擊目標(biāo)。僅從媒體公開報(bào)道即可看到，因醫(yī)衛(wèi)信息安全問(wèn)題導(dǎo)致的泄露事件多次發(fā)生，小到醫(yī)護(hù)人員轉(zhuǎn)賣患者信息牟利，大到第三方公司利用外包服務(wù)便利，竊取患者醫(yī)療數(shù)據(jù)。2017年杭州某公司在承接疾病預(yù)防控制部門網(wǎng)站信息化建設(shè)時(shí)，非法下載接種疫苗兒童及家長(zhǎng)信息370余萬(wàn)條，曾造成惡劣社會(huì)影響。

張亞忠委員認(rèn)為，“由于我國(guó)醫(yī)衛(wèi)行業(yè)信息安全工作起步較晚，整體風(fēng)險(xiǎn)較高且防護(hù)能力較低，網(wǎng)絡(luò)信息安全形勢(shì)較為嚴(yán)峻。主要存在三個(gè)問(wèn)題：一是醫(yī)信系統(tǒng)存在安全隱患；二是安全管理建設(shè)不足，沒(méi)有真正施行《網(wǎng)絡(luò)安全法》要求的'三同步'建設(shè)原則；三是網(wǎng)絡(luò)安全專業(yè)人才稀缺。”

數(shù)據(jù)顯示，通過(guò)對(duì)我國(guó)醫(yī)衛(wèi)行業(yè)相關(guān)單位開展調(diào)研發(fā)現(xiàn)，部分單位應(yīng)用服務(wù)端口在沒(méi)有任何安全措施的情況下、直接暴露在公共互聯(lián)網(wǎng)，有些單位正常工作受到“僵木蠕”網(wǎng)絡(luò)病毒干擾，有些單位官方網(wǎng)站存在被篡改的安全隱患，甚至有單位網(wǎng)站已被篡改卻不自知。

張亞忠指出，“有些醫(yī)院的醫(yī)療信息系統(tǒng)（HIS）、電子病歷系統(tǒng)（EMRS）缺少有效安全措施和審查機(jī)制，系統(tǒng)賬號(hào)隨意借用、一號(hào)多用、使用簡(jiǎn)單密碼等情況導(dǎo)致核心業(yè)務(wù)數(shù)據(jù)存在盜用風(fēng)險(xiǎn)，醫(yī)院內(nèi)外網(wǎng)缺乏可靠的技術(shù)隔離措施、系統(tǒng)接口與合作單位及公共網(wǎng)絡(luò)未經(jīng)安全規(guī)劃直接互聯(lián)導(dǎo)致網(wǎng)絡(luò)攻擊、重要業(yè)務(wù)數(shù)據(jù)泄密風(fēng)險(xiǎn)加劇?！?/p>

對(duì)此，張亞忠建議“完善安全防控體系”：

一是完善醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)信息安全相關(guān)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范。建立符合醫(yī)衛(wèi)行業(yè)特色的安全體系架構(gòu)，制定具備行業(yè)特性的安全標(biāo)準(zhǔn)，出臺(tái)醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)信息系統(tǒng)設(shè)計(jì)、實(shí)施和運(yùn)維規(guī)范。

二是加強(qiáng)健康醫(yī)療數(shù)字身份管理。建設(shè)全國(guó)統(tǒng)一標(biāo)識(shí)的醫(yī)療衛(wèi)生人員和醫(yī)療衛(wèi)生機(jī)構(gòu)可信醫(yī)學(xué)數(shù)字身份、電子實(shí)名認(rèn)證、數(shù)據(jù)訪問(wèn)控制信息系統(tǒng)，推進(jìn)醫(yī)衛(wèi)數(shù)據(jù)可信體系建設(shè)。

三是建立服務(wù)管理留痕可溯、診療數(shù)據(jù)安全運(yùn)行、多方協(xié)作參與的健康醫(yī)療管理新模式。指導(dǎo)醫(yī)衛(wèi)行業(yè)相關(guān)單位設(shè)置網(wǎng)絡(luò)信息安全管理專門機(jī)構(gòu)和崗位，明確職責(zé)任務(wù)。

網(wǎng)絡(luò)安全管理建設(shè)不足

張亞忠指出，“有些醫(yī)衛(wèi)單位投資網(wǎng)絡(luò)信息安全建設(shè)時(shí)缺乏統(tǒng)籌、規(guī)劃和審計(jì)，單純注重硬件設(shè)備建設(shè)，且購(gòu)買、招標(biāo)、利用、分配全過(guò)程缺少嚴(yán)格審計(jì)。對(duì)信息安全的建設(shè)投入和宣傳教育重視不足，安全管理機(jī)制不健全，忽視安全設(shè)備和專業(yè)人員的管理使用效能，發(fā)生安全事故無(wú)法高效啟動(dòng)安全措施，追蹤溯源避免損失擴(kuò)大?！?/p>

對(duì)此，張亞忠建議盡快“健全安全審查機(jī)制”，加強(qiáng)對(duì)醫(yī)療設(shè)備及商業(yè)化軟件的安全審查和安全檢測(cè)，制定設(shè)備遠(yuǎn)程運(yùn)維監(jiān)管制度。嚴(yán)格落實(shí)內(nèi)外網(wǎng)絡(luò)分離，嚴(yán)格落實(shí)系統(tǒng)用戶分級(jí)分類接入，改進(jìn)安全感知、安全處置和安全審計(jì)等方面的數(shù)據(jù)防護(hù)能力，加強(qiáng)對(duì)第三方安全運(yùn)維單位的監(jiān)管。

網(wǎng)絡(luò)安全專業(yè)人才稀缺

醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)安全是我國(guó)網(wǎng)絡(luò)安全的重要組成部分，受到國(guó)家高度重視。黨中央、國(guó)務(wù)院及醫(yī)療監(jiān)管部門陸續(xù)出臺(tái)相關(guān)政策法規(guī)，逐步完善行業(yè)網(wǎng)絡(luò)安全體系。但傳統(tǒng)醫(yī)院體系里缺少網(wǎng)絡(luò)安全人才，即使服務(wù)外包，也無(wú)法專業(yè)把控第三方公司所存在的安全風(fēng)險(xiǎn)。

張亞忠認(rèn)為，應(yīng)全力培養(yǎng)醫(yī)衛(wèi)系統(tǒng)內(nèi)部的網(wǎng)絡(luò)安全專家?！搬t(yī)院里多以醫(yī)衛(wèi)專業(yè)人員替代管理網(wǎng)絡(luò)信息系統(tǒng)，其專業(yè)性、敏感性較低，對(duì)網(wǎng)絡(luò)安全認(rèn)知存在不足，易出現(xiàn)安全事故處置失當(dāng)、人為加劇事故等情況?！?/p>

對(duì)此，張亞忠建議，“通過(guò)資質(zhì)認(rèn)證、教育培訓(xùn)、攻防演練等方式，提升醫(yī)衛(wèi)系統(tǒng)現(xiàn)行信息安全隊(duì)伍的專業(yè)技能，全力培養(yǎng)行業(yè)安全專家。建立行業(yè)網(wǎng)絡(luò)、信息系統(tǒng)及數(shù)據(jù)安全?？仃?duì)伍，定期開展行業(yè)重要信息系統(tǒng)的安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估以及安全應(yīng)急演練等工作。對(duì)于醫(yī)療專業(yè)人員定期開展信息安全宣傳教育，有針對(duì)性的開展保護(hù)患者隱私、醫(yī)療數(shù)據(jù)安全、反釣魚、反欺詐宣傳，增強(qiáng)醫(yī)務(wù)人員的網(wǎng)絡(luò)信息安全意識(shí)和法制觀念?！?/p>

今年兩會(huì)，張亞忠已提交《關(guān)于加強(qiáng)醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)信息安全的提案》，他呼吁盡快“對(duì)癥下藥”完善安全防控體系、健全安全審查機(jī)制、強(qiáng)化專業(yè)隊(duì)伍建設(shè)。讓技術(shù)更好守護(hù)人民群眾健康，保障醫(yī)衛(wèi)系統(tǒng)信息安全的全生命周期。

(李賢娜)