信息安全的外延和內(nèi)涵有很多，大部分醫(yī)院在建設(shè)信息系統(tǒng)的同時主要關(guān)注了物理安全和部分其他安全產(chǎn)品，主要是網(wǎng)絡(luò)版防病毒、隔離外部網(wǎng)絡(luò)的防火墻、入侵檢測、終端準入控制、內(nèi)網(wǎng)與互聯(lián)網(wǎng)數(shù)據(jù)交換的網(wǎng)閘等。基本上能保證相對封閉的醫(yī)院信息網(wǎng)絡(luò)安全。但面對新的挑戰(zhàn)，為了系統(tǒng)性的有步驟、有條理的開展信息安全工作，可按照原國家衛(wèi)生部印發(fā)的衛(wèi)辦發(fā)〔2011〕85號《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》（以下簡稱《指導意見》）開展信息安全體系建設(shè)。

1.開展等級保護工作 《指導意見》中非常明確的說明定級備案、整改、整改后的測評工作和要求。由于定級備案、整改方案需要熟知信息安全專業(yè)知識和有經(jīng)驗的技術(shù)人員，醫(yī)院可委托專業(yè)的信息安全服務(wù)商協(xié)助完成差距測評工作，一方面可以通過差距測評找出醫(yī)院需要測評的系統(tǒng)與所定級之間的差距，同時服務(wù)商會提供整改方案，醫(yī)院可參考此方案進行后續(xù)整改工作。

2.醫(yī)院關(guān)鍵系統(tǒng)的選擇 《指導意見》中規(guī)定三甲醫(yī)院核心業(yè)務(wù)系統(tǒng)等級不能低于三級。醫(yī)院可以把對患者提供關(guān)鍵服務(wù)的和具有商業(yè)價值的系統(tǒng)，如HIS、EMR定成三級，醫(yī)院的門戶網(wǎng)站、APP等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的定級級別可以根據(jù)在其上承載的為患者提供醫(yī)療服務(wù)的多少或重要程度確定二級或三級。

3. 安全服務(wù)外包  信息安全是非常專業(yè)的綜合學科，需要計算機網(wǎng)絡(luò)、計算機軟硬件、通訊、密碼、互聯(lián)網(wǎng)等多學科知識。醫(yī)院很難配備足夠的相應(yīng)專業(yè)的信息安全人員。因此，可以考慮將安全服務(wù)外包，與安全服務(wù)商簽訂年度服務(wù)協(xié)議，彌補醫(yī)院專業(yè)安全技術(shù)人員的缺失，最大程度保證醫(yī)院信息安全。

4.信息安全建設(shè)的PDCA PDCA持續(xù)改進質(zhì)量環(huán)同樣適用于醫(yī)院信息安全工作。醫(yī)院信息系統(tǒng)的軟硬件變更較為頻繁，信息安全的評估、部署應(yīng)用及分析整改的循環(huán)過程應(yīng)納入信息化日常工作。例如，原來信息系統(tǒng)中有收費系統(tǒng)，當新增自助機收費、支付寶微信移動自助收費，在制定實現(xiàn)技術(shù)方案時要有配套的安全方案，并在上線前進行安全評估，安全評估通過后才能上線。系統(tǒng)安全方案和上線安全評估可由醫(yī)院信息安全管理員協(xié)調(diào)系統(tǒng)提供商和安全服務(wù)廠商一起完成。如果是對已定級備案的系統(tǒng)更改，可按照所定級別進行評估；對于新上線的系統(tǒng)，省衛(wèi)生計生委下發(fā)的文件粵衛(wèi)辦函[2016]71號《關(guān)于做好信息系統(tǒng)安全等級測評與備案工作的通知》中要求須經(jīng)等級保護測評合格并進行報批備案后方可投入使用。另外，醫(yī)院每年在對等保三級系統(tǒng)測評前也需要進行差評和整改，以保證每個三級系統(tǒng)驗收通過。按照PDCA的做法可以提升并保持醫(yī)院安全防護能力。

5.提高全員安全意識  信息安全產(chǎn)品可以用家里的防盜門來比喻，首先要在每個出入口安裝防盜門，其次，人員進出要確保關(guān)好防盜門。再安全的防盜門，如果沒有關(guān)好，也是形同虛設(shè)。也需要防范正常進入的外人從內(nèi)部進行破壞。因此，醫(yī)院信息安全不是哪個人或哪個部門的事，醫(yī)院日常信息系統(tǒng)管理、建設(shè)、使用、運維和對信息安全制度的依從，都是信息安全的一部分，信息系統(tǒng)的每個建設(shè)者、使用者、管理者都是信息安全的守護者。要對醫(yī)院系統(tǒng)使用者加強安全教育，

1.何時需要重新定級。醫(yī)院信息系統(tǒng)隨著業(yè)務(wù)需求的變化而變化，因此醫(yī)院信息系統(tǒng)安全等級按照國家《信息系統(tǒng)安全保護等級定級指南》GB-T22240-2008中“6 等級變更”的要求，隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進行適當?shù)淖兏�，尤其是當系統(tǒng)改變可能影響其安全保護等級時，應(yīng)根據(jù)《定級指南》的定級方法重新定級。

2.制定可操作的信息安全制度，并配備信息安全管理崗位。《信息系統(tǒng)安全等級保護基本要求》（GBT22239-2008）第一級中安全管理機構(gòu)的崗位設(shè)置要求除網(wǎng)絡(luò)管理員、系統(tǒng)管理員崗位之外，設(shè)立安全管理員崗位，但并未要求不同人不同崗。即使是一人多崗，也要遵守不同崗位制度。第二級安全管理機構(gòu)條款要求安全崗位分設(shè)安全主管、安全管理等各方面負責人崗位，并且要求安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。第三級安全管理機構(gòu)要求成立指導和管理信息安全工作的委員會或領(lǐng)導小組，并制定文件明確安全管理機構(gòu)各部門和崗位的職責、分工和技能要求。同時應(yīng)聘請信息安全專家作為常年的安全顧問，指導信息安全建設(shè)，參與安全規(guī)劃和安全評審。同時各級對最基本的人員的錄用、離崗；產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)等都有明確要求。

目前醫(yī)院定級最高基本為三級。因此醫(yī)院要按照系統(tǒng)所定級別要求，制定符合醫(yī)院實際運行的有效的各種類信息安全制度，使得醫(yī)院網(wǎng)絡(luò)建設(shè)、信息系統(tǒng)建設(shè)、終端設(shè)備部署等都有實際可依從的可操作的流程，信息安全管理機構(gòu)各部門和各責任人能夠按照制度執(zhí)行。

 3.安全服務(wù)商的選擇。隨著醫(yī)院信息系統(tǒng)對外逐漸開放，醫(yī)院信息安全面臨的挑戰(zhàn)越來越嚴峻，醫(yī)院需要可信的信息安全服務(wù)商提供咨詢和安全保障。對于安全服務(wù)商的選擇，《信息系統(tǒng)安全等級保護基本要求》針對不同等級有明確的安全服務(wù)商選擇條款，醫(yī)院可根據(jù)系統(tǒng)定級遵照對應(yīng)的要求執(zhí)行。此外，醫(yī)院在與安全服務(wù)商簽訂服務(wù)協(xié)議時要根據(jù)醫(yī)療信息安全的行業(yè)特點，如患者隱私、醫(yī)藥信息等，與安全服務(wù)商約定保密和安全責任。