您的位置 > 首页 > >

面对突发而来的信息系统故障,医院的准备足够么?

广州艾力彼医院管理中心主任庄一强博士接受媒体采访时表示,在医疗信息化高度发达的当下,信息系统发生故障是有一定发生概率的,面对此类故障,医院要“留好后手”“做好预案”,确保预案的督导、检查、总结、反馈、改进。


据媒体报道,本月20日上海某大型三甲医院发生多院区不同程度的信息系统故障。其中一个院区的情况较突出,故障持续2个小时,期间急诊、发热门诊、特约门诊等多个科室的正常诊疗服务受到不同程度的影响。


近年来,国内外医疗信息系统故障时有发生



随着医院信息化程度的不断提升,信息化覆盖的业务范围越来越广,信息系统已经成为医疗服务的重要支撑和管理工具。医院信息系统故障时有发生率,一旦出现,可能对医院的运行和患者就医造成严重影响。

信息安全作为医院安全管理重要一环,《三级医院评审标准》对于医院信息安全和应急预案管理都重点提及。综合近年来艾力彼星级医院标准化管理和医院信息化建设辅导经验总结,当前众多医院的风险管理,包括信息安全,未能定期开展风险评估及实战化的应急预案编制和演练,仍普遍存在预案制定与演练流于形式,当故障发生时预案难以充分发挥作用的情况。医院如何通过“年度灾害脆弱性分析”建立相关改进计划和控制措施,有效消除、降低故障发生的概率,同时当在故障无法避免时,如何通过相关预案将故障影响降到最低,这是庄一强博士接受媒体采访时提及的“留好后手”和“做好预案”。


作为中国大陆首个取得国际认可(国际医疗质量协会ISQua)的医院评价标准,《艾力彼GAHA星级医院评价标准(第3版)》于2023年再次以高分顺利通过ISQua EEA的国际标准认证复审!这也是艾力彼荣获得的第三个ISQua国际认可证书。


如何“留好后手”?针对信息安全工作,医院是否做足相关工作?




系统故障发生涉及多方原因,医院越大涉及因素越多,系统、流程也越复杂。原因主要可分为两大类即硬件软件

硬件主要包括服务器、存储设备、网络设备及相关硬件基础设施,一旦核心服务器或交换机故障,或者主要光纤链路中断,就可能对整体系统运行造成重大影响。

软件包括操作系统、数据库、软件平台等,人为操作错误、硬件损坏或遭受攻击导致软件数据文件损毁是故障的主因。


结合艾力彼智慧医院HIC标准分析,为了消除、减低系统故障的发生,提高系统的稳定性和可靠性,可从以下三方面着手:

(一)硬件方面:

  • 定期维护和保养硬件设备,包括服务器、存储设备和网络设备,确保设备正常运行。
  • 强化硬件设备的安全防护措施,包括防火墙、入侵检测系统等,防止硬件损坏或遭受攻击。
  • 完善监控和预警措施,及时发现并解决硬件故障,避免故障扩大化。
  • 定期更新和升级硬件设备的固件,修复已知问题并提高系统稳定性。

(二)软件方面:

  • 定期更新和升级操作系统、数据库和软件平台,以修复漏洞和提高系统性能。
  • 加强软件系统的安全措施,包括防火墙、加密技术等,保护系统免受恶意攻击。
  • 对全院人员强化系统操作培训,提高大家对系统故障预防、处理的意识和能力。
  • 定期备份软件配置和数据文件,建立完善的数据备份和恢复机制,以应对软硬件故障导致的数据丢失。

(三)容灾方面:

  • 加强系统容灾规划,建立完善的灾备体系,包括数据备份、应急响应流程等,以应对系统遭受重大故障或自然灾害情况。
  • 完善服务器集群和网络设备冗余配置,建立备用机房和数据中心,重点光纤通道采用双链路,确保在主系统或设备发生故障时,能够迅速切换到备用系统,保证系统的连续性和可用性。
  • 定期进行容灾演练,测试灾备方案的有效性和可靠性,发现并解决潜在问题,确保在实际情况下能够快速有效地应对灾难事件。
  • 逐步实现“两地三中心”设置,针对关键设备和数据中心进行异地配置,避免单点故障造成重大影响,提高系统的容错能力和抗灾能力。






TIPS






尽管信息安全常常在相关政策文件中被提及,然而因信息安全建设和维护需要持续的投入,且与软件功能使用时的直观体验相比,这部分的投入并不会产生直接的显性效果,往往容易被医院管理者忽略。而一旦发生故障,其造成的影响不堪设想。因此,各级医院应加强信息建设规划,制定每年信息建设预算投入的同时,充分评估信息安全方面的投入。在整体信息建设预算中,明确有一定比例用于设备更新维护和安全管理建设,以确保医院信息系统的稳定运行和数据安全。


如何“做好预案”?面对无法避免的故障,应急预案能否真正发挥作用?




信息安全建设永无止境。随着技术的不断突破,服务器集群、虚拟化以及数据实时备份和恢复、信息安全防护技术已相对成熟。然而,面对不可预测的灾害、网络外部攻击及可能的人为失误,仍有可能对系统运行稳定性造成威胁,故障发生的概率始终存在。面对无法避免的故障,医院需要完善相关应急预案。特别是在系统较长时间内无法恢复的情况下,如何通过“替代”方案保障医院的重点业务开展不受影响,是医院必须重点考虑的另一方面。尽管大部分医院已建立相关信息安全预案,并进行了相关演练,但预案的完整性和可操作性,以及在实际故障中是否能够充分发挥作用,值得医院管理者关注。


结合艾力彼GAHA医院应急预案编写导则V4.2,医院在信息安全预案、现场处置方案制定时需重点考虑以下几个方面:
(一)全面性和针对性:预案需要全面覆盖各种可能发生的系统故障情况,针对可能发生风险的评估、识别及描述必需完整清晰,同时需具有针对性,结合医院的具体情况和需求制定。
(二)清晰明确的责任分工:预案中应明确相关责任人的职责和任务,如统筹部门、安全专员和专家团队,确保在发生故障时能够迅速找到责任人,并能有效的协调相关人员。
(三)可操作性和实用性:预案应具有可操作性和实用性,能够在发生故障时快速判断、启动,同时信息能得到准确接报,各项工作有效地执行,确保应急响应的及时性和有效性。
(四)资源准备和保障:预案执行所需的物资设备、应急队伍等需提前准备,并加强日常预防和补充,如当系统全面故障时,相关手工单据、药品物价目录等的提前准备,确保预案启动时有需要充足的资源和设备支持。
(五)培训与周期性演练:针对预案启动人员、信息接报人员、应急响应人员、协同人员有周期性培训与演练,并根据演练实际情况和经验不断完善和优化,确保预案与时俱进,能适应不断变化的环境,形成督导、检查、总结、反馈、改进的闭环。





TIPS






信息部门作为医院信息建设主管科室,在大部分医院自然而然的承担起信息安全相关预案制定,但预案制定、资源保障、定期演练都需医院领导层支持与协调,处置方案也需要全院各部门配合细化。安全无小事,信息安全应急预案制定、执行同样需发挥“一把手工程”作用。同时,医院管理者应该深刻理解到,所有未经过实际演练和检验的应急预案,作用都是非常有限的,甚至只是“纸上谈兵”。只有在演练后进一步优化、更新和重新编制,才能指导实战,确保在面对无法避免的信息故障时,真正发挥应急作用。






相关链接

   

大三甲医院信息系统崩溃了,除了停诊还能怎么办?