近年来,国内外医疗信息系统故障时有发生
信息安全作为医院安全管理重要一环,《三级医院评审标准》对于医院信息安全和应急预案管理都重点提及。综合近年来艾力彼星级医院标准化管理和医院信息化建设辅导经验总结,当前众多医院的风险管理,包括信息安全,未能定期开展风险评估及实战化的应急预案编制和演练,仍普遍存在预案制定与演练流于形式,当故障发生时预案难以充分发挥作用的情况。医院如何通过“年度灾害脆弱性分析”建立相关改进计划和控制措施,有效消除、降低故障发生的概率,同时当在故障无法避免时,如何通过相关预案将故障影响降到最低,这是庄一强博士接受媒体采访时提及的“留好后手”和“做好预案”。
作为中国大陆首个取得国际认可(国际医疗质量协会ISQua)的医院评价标准,《艾力彼GAHA星级医院评价标准(第3版)》于2023年再次以高分顺利通过ISQua EEA的国际标准认证复审!这也是艾力彼荣获得的第三个ISQua国际认可证书。
如何“留好后手”?针对信息安全工作,医院是否做足相关工作?
系统故障发生涉及多方原因,医院越大涉及因素越多,系统、流程也越复杂。原因主要可分为两大类即硬件和软件:
硬件主要包括服务器、存储设备、网络设备及相关硬件基础设施,一旦核心服务器或交换机故障,或者主要光纤链路中断,就可能对整体系统运行造成重大影响。
软件包括操作系统、数据库、软件平台等,人为操作错误、硬件损坏或遭受攻击导致软件数据文件损毁是故障的主因。
结合艾力彼智慧医院HIC标准分析,为了消除、减低系统故障的发生,提高系统的稳定性和可靠性,可从以下三方面着手:
定期维护和保养硬件设备,包括服务器、存储设备和网络设备,确保设备正常运行。 强化硬件设备的安全防护措施,包括防火墙、入侵检测系统等,防止硬件损坏或遭受攻击。 完善监控和预警措施,及时发现并解决硬件故障,避免故障扩大化。 定期更新和升级硬件设备的固件,修复已知问题并提高系统稳定性。
(二)软件方面:
定期更新和升级操作系统、数据库和软件平台,以修复漏洞和提高系统性能。 加强软件系统的安全措施,包括防火墙、加密技术等,保护系统免受恶意攻击。 对全院人员强化系统操作培训,提高大家对系统故障预防、处理的意识和能力。 定期备份软件配置和数据文件,建立完善的数据备份和恢复机制,以应对软硬件故障导致的数据丢失。
(三)容灾方面:
加强系统容灾规划,建立完善的灾备体系,包括数据备份、应急响应流程等,以应对系统遭受重大故障或自然灾害情况。 完善服务器集群和网络设备冗余配置,建立备用机房和数据中心,重点光纤通道采用双链路,确保在主系统或设备发生故障时,能够迅速切换到备用系统,保证系统的连续性和可用性。 定期进行容灾演练,测试灾备方案的有效性和可靠性,发现并解决潜在问题,确保在实际情况下能够快速有效地应对灾难事件。 逐步实现“两地三中心”设置,针对关键设备和数据中心进行异地配置,避免单点故障造成重大影响,提高系统的容错能力和抗灾能力。
TIPS
尽管信息安全常常在相关政策文件中被提及,然而因信息安全建设和维护需要持续的投入,且与软件功能使用时的直观体验相比,这部分的投入并不会产生直接的显性效果,往往容易被医院管理者忽略。而一旦发生故障,其造成的影响不堪设想。因此,各级医院应加强信息建设规划,制定每年信息建设预算投入的同时,充分评估信息安全方面的投入。在整体信息建设预算中,明确有一定比例用于设备更新维护和安全管理建设,以确保医院信息系统的稳定运行和数据安全。
如何“做好预案”?面对无法避免的故障,应急预案能否真正发挥作用?
TIPS
信息部门作为医院信息建设主管科室,在大部分医院自然而然的承担起信息安全相关预案制定,但预案制定、资源保障、定期演练都需医院领导层支持与协调,处置方案也需要全院各部门配合细化。安全无小事,信息安全应急预案制定、执行同样需发挥“一把手工程”作用。同时,医院管理者应该深刻理解到,所有未经过实际演练和检验的应急预案,作用都是非常有限的,甚至只是“纸上谈兵”。只有在演练后进一步优化、更新和重新编制,才能指导实战,确保在面对无法避免的信息故障时,真正发挥应急作用。
相关链接