近年來，我國醫(yī)衛(wèi)行業(yè)信息化全面發(fā)展，在線掛號、線上問診、電子病歷等數(shù)字化場景應(yīng)用廣泛。老百姓就醫(yī)便捷，醫(yī)院運轉(zhuǎn)效率也得到提高。與此同時，大量數(shù)據(jù)匯入醫(yī)衛(wèi)系統(tǒng)，醫(yī)療信息數(shù)據(jù)中涉及大量患者個人隱私（真實身份、電話、家庭地址、疾病信息、檢查信息等），如何保障老百姓就診信息安全，避免隱私外泄風(fēng)險？

十三屆全國政協(xié)常委，九三學(xué)社中央常委、河南省委主委，河南省政協(xié)副主席張亞忠表示，“當(dāng)前，我國醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)信息安全形勢較為嚴(yán)峻，有些醫(yī)衛(wèi)單位的內(nèi)網(wǎng)卻存在“僵木蠕”互聯(lián)網(wǎng)病毒”。

網(wǎng)絡(luò)安全隱患較多

據(jù)了解，醫(yī)療數(shù)據(jù)因隱私性強、可利用價值高、來源廣泛，容易成為黑客重點攻擊目標(biāo)。僅從媒體公開報道即可看到，因醫(yī)衛(wèi)信息安全問題導(dǎo)致的泄露事件多次發(fā)生，小到醫(yī)護(hù)人員轉(zhuǎn)賣患者信息牟利，大到第三方公司利用外包服務(wù)便利，竊取患者醫(yī)療數(shù)據(jù)。2017年杭州某公司在承接疾病預(yù)防控制部門網(wǎng)站信息化建設(shè)時，非法下載接種疫苗兒童及家長信息370余萬條，曾造成惡劣社會影響。

張亞忠委員認(rèn)為，“由于我國醫(yī)衛(wèi)行業(yè)信息安全工作起步較晚，整體風(fēng)險較高且防護(hù)能力較低，網(wǎng)絡(luò)信息安全形勢較為嚴(yán)峻。主要存在三個問題：一是醫(yī)信系統(tǒng)存在安全隱患；二是安全管理建設(shè)不足，沒有真正施行《網(wǎng)絡(luò)安全法》要求的'三同步'建設(shè)原則；三是網(wǎng)絡(luò)安全專業(yè)人才稀缺?！?/p>

數(shù)據(jù)顯示，通過對我國醫(yī)衛(wèi)行業(yè)相關(guān)單位開展調(diào)研發(fā)現(xiàn)，部分單位應(yīng)用服務(wù)端口在沒有任何安全措施的情況下、直接暴露在公共互聯(lián)網(wǎng)，有些單位正常工作受到“僵木蠕”網(wǎng)絡(luò)病毒干擾，有些單位官方網(wǎng)站存在被篡改的安全隱患，甚至有單位網(wǎng)站已被篡改卻不自知。

張亞忠指出，“有些醫(yī)院的醫(yī)療信息系統(tǒng)（HIS）、電子病歷系統(tǒng)（EMRS）缺少有效安全措施和審查機(jī)制，系統(tǒng)賬號隨意借用、一號多用、使用簡單密碼等情況導(dǎo)致核心業(yè)務(wù)數(shù)據(jù)存在盜用風(fēng)險，醫(yī)院內(nèi)外網(wǎng)缺乏可靠的技術(shù)隔離措施、系統(tǒng)接口與合作單位及公共網(wǎng)絡(luò)未經(jīng)安全規(guī)劃直接互聯(lián)導(dǎo)致網(wǎng)絡(luò)攻擊、重要業(yè)務(wù)數(shù)據(jù)泄密風(fēng)險加劇?！?/p>

對此，張亞忠建議“完善安全防控體系”：

一是完善醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)信息安全相關(guān)政策法規(guī)和標(biāo)準(zhǔn)規(guī)范。建立符合醫(yī)衛(wèi)行業(yè)特色的安全體系架構(gòu)，制定具備行業(yè)特性的安全標(biāo)準(zhǔn)，出臺醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)信息系統(tǒng)設(shè)計、實施和運維規(guī)范。

二是加強健康醫(yī)療數(shù)字身份管理。建設(shè)全國統(tǒng)一標(biāo)識的醫(yī)療衛(wèi)生人員和醫(yī)療衛(wèi)生機(jī)構(gòu)可信醫(yī)學(xué)數(shù)字身份、電子實名認(rèn)證、數(shù)據(jù)訪問控制信息系統(tǒng)，推進(jìn)醫(yī)衛(wèi)數(shù)據(jù)可信體系建設(shè)。

三是建立服務(wù)管理留痕可溯、診療數(shù)據(jù)安全運行、多方協(xié)作參與的健康醫(yī)療管理新模式。指導(dǎo)醫(yī)衛(wèi)行業(yè)相關(guān)單位設(shè)置網(wǎng)絡(luò)信息安全管理專門機(jī)構(gòu)和崗位，明確職責(zé)任務(wù)。

網(wǎng)絡(luò)安全管理建設(shè)不足

張亞忠指出，“有些醫(yī)衛(wèi)單位投資網(wǎng)絡(luò)信息安全建設(shè)時缺乏統(tǒng)籌、規(guī)劃和審計，單純注重硬件設(shè)備建設(shè)，且購買、招標(biāo)、利用、分配全過程缺少嚴(yán)格審計。對信息安全的建設(shè)投入和宣傳教育重視不足，安全管理機(jī)制不健全，忽視安全設(shè)備和專業(yè)人員的管理使用效能，發(fā)生安全事故無法高效啟動安全措施，追蹤溯源避免損失擴(kuò)大?！?/p>

對此，張亞忠建議盡快“健全安全審查機(jī)制”，加強對醫(yī)療設(shè)備及商業(yè)化軟件的安全審查和安全檢測，制定設(shè)備遠(yuǎn)程運維監(jiān)管制度。嚴(yán)格落實內(nèi)外網(wǎng)絡(luò)分離，嚴(yán)格落實系統(tǒng)用戶分級分類接入，改進(jìn)安全感知、安全處置和安全審計等方面的數(shù)據(jù)防護(hù)能力，加強對第三方安全運維單位的監(jiān)管。

網(wǎng)絡(luò)安全專業(yè)人才稀缺

醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)安全是我國網(wǎng)絡(luò)安全的重要組成部分，受到國家高度重視。黨中央、國務(wù)院及醫(yī)療監(jiān)管部門陸續(xù)出臺相關(guān)政策法規(guī)，逐步完善行業(yè)網(wǎng)絡(luò)安全體系。但傳統(tǒng)醫(yī)院體系里缺少網(wǎng)絡(luò)安全人才，即使服務(wù)外包，也無法專業(yè)把控第三方公司所存在的安全風(fēng)險。

張亞忠認(rèn)為，應(yīng)全力培養(yǎng)醫(yī)衛(wèi)系統(tǒng)內(nèi)部的網(wǎng)絡(luò)安全專家?！搬t(yī)院里多以醫(yī)衛(wèi)專業(yè)人員替代管理網(wǎng)絡(luò)信息系統(tǒng)，其專業(yè)性、敏感性較低，對網(wǎng)絡(luò)安全認(rèn)知存在不足，易出現(xiàn)安全事故處置失當(dāng)、人為加劇事故等情況?！?/p>

對此，張亞忠建議，“通過資質(zhì)認(rèn)證、教育培訓(xùn)、攻防演練等方式，提升醫(yī)衛(wèi)系統(tǒng)現(xiàn)行信息安全隊伍的專業(yè)技能，全力培養(yǎng)行業(yè)安全專家。建立行業(yè)網(wǎng)絡(luò)、信息系統(tǒng)及數(shù)據(jù)安全?？仃犖?，定期開展行業(yè)重要信息系統(tǒng)的安全測評、風(fēng)險評估以及安全應(yīng)急演練等工作。對于醫(yī)療專業(yè)人員定期開展信息安全宣傳教育，有針對性的開展保護(hù)患者隱私、醫(yī)療數(shù)據(jù)安全、反釣魚、反欺詐宣傳，增強醫(yī)務(wù)人員的網(wǎng)絡(luò)信息安全意識和法制觀念。”

今年兩會，張亞忠已提交《關(guān)于加強醫(yī)衛(wèi)行業(yè)網(wǎng)絡(luò)信息安全的提案》，他呼吁盡快“對癥下藥”完善安全防控體系、健全安全審查機(jī)制、強化專業(yè)隊伍建設(shè)。讓技術(shù)更好守護(hù)人民群眾健康，保障醫(yī)衛(wèi)系統(tǒng)信息安全的全生命周期。

(李賢娜)