“它”来了，院长或将“头疼加肉疼”！

　　近日，国家互联网信息办重磅发布《关键信息基础设施安全保护条例（征求意见稿）》，明确指出卫生医疗、社保、食品药品、提供云计算、大数据和其他大型公共信息网络服务等单位信息应纳入关键信息基础设施保护范围，在网络安全等级保护制度基础之上，实行重点保护。

　　医疗信息泄露早已“被”习以为常——还未出院的产妇，奶粉已推销到家，倾向的奶粉产地、是否雇请了月嫂等信息都被商家精准掌握；更严重者，窃取他人各类医疗监测数据，还原目标人物生命信息蓝图；远程输入他人心脏起搏器密码，蓄意行凶……以上场景，正是在我国医院实行了20余年信息安全等级保护基本制度和方法情况下发生的。

　　医院信息系统安全建设原则上没有终点

　　信息化、数字化医院建设只有起点没有终点，同样，医院信息系统安全伴随着信息化数字化医院建设也应同样没有终点，河南新乡医学院王丽娜认为。

　　但究竟是什么让我国的医院信息系统安全建设停在了这里？

　　黑龙江省哈尔滨市某二甲医院信息科科员向记者透露，资金支持是根本。“仅一家普通医院的信息系统支撑做起来少则也要四五百万，而且后续还要不断投入，仅这些钱就很难‘要’，何况还要不断修补漏洞、升级补丁？”

　　但也有院长指出，目前这种停滞不前的状况恰是因为系统等级测评工作的所在。以一家普通地市医院来看，其信息系统完成定级备案流程是这样的：选择市卫生局推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备即可。

　　“但大部分测评沦为了做样子、走过场，钱花了不少，但实际安全问题从没有人真正意识到。”对此很多医院信息科员向记者表示认同，“具体安全我们一般都默认由托建该系统的第三方技术平台负责。”

　　记者又随机打开了几家自定义为“三甲医院信息安全解决方案商”的官方网站，以某国家级应急服务支撑单位为例，其方案价值首先列出“满足卫生计生委政策要求、增强合规能力”，其次是保证医院信息系统可靠性、提升高患者满意度、提升运维效率、节约医院成本等，在如何确保医院信息网络安全方面并未作出任何提示，虽然该单位已获国测网络安全产品最高级别安全证书。

　　《征求意见稿》揭开医院信息安全新篇章

　　中国互联网协会研究中心秘书长，北京师范大学副教授吴沈括认为，《征求意见稿》凸显了对关键信息基础设施安全保护工作根本价值的深刻认识，即“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”。

　　因此，被医院长久以来忽视的信息安全问题很有可能继续作为院长的下个头疼问题存在——《征求意见稿》指出，关键信息基础设施的运营者对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务，接受政府和社会监督，承担社会责任。

　　如设置专门网络安全管理机构和网络安全管理负责人；定期对从业人员进行网络安全教育、技术培训和技能考核；对重要系统和数据库进行容灾备份；制订网络安全事件应急预案并定期进行演练等，种种细化考核，医生兼管信息科显然已不切实际。同时信息科发展的根本，自然又需“割肉”以建设，因此信息化建设起步晚的医院院长，恐怕真又有的忙了。