随着互联网和信息技术的飞速发展，公立医院业务质量的提升更加依赖网络信息技术的普及与应用。医院网络信息安全关系着医疗工作的对接与开展，一旦信息系统出现安全问题，将带来难以估量的风险。笔者对开展公立医院网络安全与信息化建设审计，提出几点建议。

主要内容

职责划分方面。建立职责分工制度情况，关注不相容职责是否相分离。一是信息技术人员只负责信息系统的开发和维护工作，日常的业务操作只能由相关业务部门的工作人员来进行。二是岗位人员变化与用户权限调整同步情况，保密责任落实等情况。

制度建立执行方面。一是检查网络安全、保密、机房管理等制度建立情况。二是检查相关人员对以上制度掌握及执行程度，发现制度本身及制度执行存在的不足。

权限控制方面。一是访问权限控制情况，关注用户名及密码设置是否存在非授权访问。二是数据输入与输出控制情况，关注数据输入授权及审核流程。数据输出信息是否被分发给有权使用的人员，输出信息保存与使用是否符合制度规定。三是容灾备份情况，关注系统是否达到“实时数据传输及完整设备支持”级别。确定应急处理技术人员是否熟悉应急恢复的操作步骤，以确保业务连续性。

存在的问题

医患数据存在安全风险。医院部分院区因交换机设备老旧未实行MAC地址准入，存在内外网互联的风险。第三方拥有部分系统数据的最高管理权限，同时HIS系统密码设置存在弱口令现象。

医患数据安全管理措施不健全。医院未建立第三方运维管理制度，无运维申请，运维人员无须批准流程就能接触医患数据。只与运维公司签订了信息安全和保密协议，但未与运维人员签订，一旦出现安全事故难以有效追责。

网络安全培训力度不足。医院信息中心对全院职工的培训采取将培训资料发放在内网自行学习，医院没有组织全院职工对网络安全进行培训，部分科室和职工对网络安全不够重视。

改进建议

严控数据访问权限。医院的数据软件与操作系统应使用国产正版且应及时更新系统补丁。系统敏感数据访问权限要进行详细区分和限制，对医护人员的权限要按职责要求严格把关，同时内网核心系统的最高权限应由本单位职工独立掌握。

加强组织领导，明确职责分工。加强对医院信息化建设工作的统一领导，明确目标责任，细化具体措施，明确各相关部门在信息系统互联互通工作中应承担的职责。对医务人员定时进行操作培训，提高网络安全意识。

防止病毒传播。完善相应的管理制度，严禁医务人员随意使用医院网络从事与本职工作无关的事情。加强专用网络的应用，将各种不安全因素隔离在外，避免非法人员对网络IP地址进行随意篡改。

加强物理安全防护。加强硬件设施与物理设备的防火与防雷措施，避免外界环境因素对物理设备的运行产生安全隐患。优化医院网络的物理环境，对访问权限进行严格设置，并对杀毒软件进行有效管理。（王容梅）