目的:在了解目前国内外信息系统安全风险现状的基础上,进一步明确目前我国在医院信息系统安全方面存在的风险和问题,借鉴目前已有的信息系统安全风险规避策略的可取之处,从管理的角度提出规避医院信息系统安全风险的可行措施和策略,为医院决策人员和系统安全管理人员更好地实现信息系统安全风险规避管理提供参考依据。方法:1.文献检索与情报分析法:文献检索与情报分析法是指通过搜集、鉴别、整理文献并进行研究,形成对事实科学认识的方法。本文在查阅信息系统安全及其风险规避管理策略相关理论和实践研究进展资料的基础上,归纳出了一些可以借鉴的理论和方法,确定了本研究的对象、内容、方法、调查问卷及访谈提纲等。2.描述性统计学分析法:描述性统计学分析法是指通过统计图表和计算数据的分布特征来了解样本观察值的分布特征。本文运用这种方法对调查医院、人群的基本情况,系统安全人员配置、培训情况等进行了资料汇总及分析。对不同分组的信息科人员对系统安全保护能力及安全产品的评价、资金投入充足程度的认知差异运用了卡方检验。3.主成分分析法:主成分分析法是从多个变量之间的相互关系入手,利用降维的思想,将多个变量化为少数几个互不相关的综合变量的统计方法。本文对影响系统安全的多个风险因素进行了主成分分析。4.现场典型调查法:根据研究内容和目的选取具有代表性的地区或机构进行系统调查的方法。本文采用现场典型调查法对武汉市、鄂州市共7家医院的信息科人员及子系统使用人员进行了调查,共调查330人。5.社会学定性研究法:社会学定性研究法是对无法量化的指标或无法通过调查问卷直接获取的信息进行深层次探讨的方法。本文运用专题小组讨论法邀请信息管理、卫生统计等领域的专家探讨了研究实施方案和资料分析方法等。对关键知情人进行了个人半结构式访谈,探讨了医院信息系统安全风险规避管理存在的相关经验和问题。结果与分析:1.医院信息系统安全方面的人员配置与分工分析医院信息系统安全包括硬件、软件、网络、数据库、机房等方面,系统安全管理均在分管院长和信息科主任的统一领导下进行,一些医院是1人或多人负责管理某个方面的安全,一些医院是1人需同时负责多个方面的安全,在发生重大安全事件时,多方面的系统安全管理员相互配合共同解决问题。存在部分医院的系统安全管理人员工作任务过于繁重,学历偏低,专业与系统安全管理不太相符。部分医院的系统安全管理组织结构不够完善,缺少多部门之间的沟通与协调。2.医院信息系统安全人员培训情况分析部分医院对系统安全培训不太重视,培训内容和方式不够丰富,培训时间和频率的选择不够适当,培训投入不太充足,培训效果不太好。3.医院信息系统安全风险分析医院信息系统安全风险来源内外都有,主要来自五个方面,分别是数据、网络、硬件、软件、机房安全风险。通过系统安全管理员工作监测或安全产品发现系统安全风险比较好,然而仍存在部分医院通过事后分析或意外才发现。4.医院信息系统安全风险规避措施的有效选取分析医院在系统体系结构、操作系统级、系统级、数据、网络、管理和技术等方面安全措施的有效选取上都存在需改进的地方。5.医院信息系统安全保护能力和安全产品评价分析多数人认为其所在医院的系统安全保护能力并不是很高。信息科人员中不同年龄分布者(χ2=9.033, P=0.046)、不同学历层次者(χ2=10.189, P=0.023)、从事目前工作年限不同者(χ2=13.168, P=0.005)、不同职称分布者(χ2=10.567, P=0.016)对系统安全保护能力的评价存在显著性差异。信息科人员中从事目前工作年限不同者(χ2=9.167, P=0.01)、不同年龄分布者(χ2=17.206, P=0.000)对系统安全产品的评价存在显著性差异。市场上的系统安全产品主要问题集中在灵活性、稳定性不够,易用性不佳,技术层次滞后,费用偏高等。6.医院信息系统安全资金投入分析系统安全方面的资金投入包括安全硬件设备购置及维修投入、安全软件购置及其升级投入、安全管理人力和培训投入等方面。存在部分医院无投入预算,投入随意且数量不够充足,投入方向的有效选取上需改进。信息科人员中不同年龄分布者(χ2=6.425, P=0.039)、不同学历层次者(χ2=13.258, P=0.001)、从事目前工作年限不同者(χ2=11.723, P=0.004)、不同职称分布者(χ2=10.381, P=0.003)对系统安全资金投入充足程度的认知存在显著性差异。讨论与建议:1.建立合理的组织结构,合理配置管理人员,加大对重要设备的经费投入医院应形成科学合理的系统安全风险规避管理组织结构,成立以分管院长为组长的安全领导小组,合理配备系统安全管理人员,分工和职责应更加明晰,规定好协调部门的配合内容。医院领导转变观念,充分认识到系统安全风险规避管理的重要性,加大其投入特别是重要设备的投入。2.加强系统使用人员的系统安全知识宣传、教育和培训对系统安全培训不太重视的医院,今后应丰富培训内容和方式,注重培训时间和频率的选择,适当增加培训投入,做好相关方面的改进以提高培训效果。3.建立一套较完善的、操作性强的管理制度和应急预案根据实际情况对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,并制定相应的奖惩制度和考核制度,争取将制度落到实处。针对不同的安全风险制定具体的常规处理和紧急处理应急预案并定期演练,提高医院应对突发事件的能力,将系统中断时间、故障损失和社会影响降到最低。4.建立系统安全监控体系,风险评估和检测机制对给系统安全带来严重隐患的行为和人员进行重点管理和监督。可采取与专业安全服务公司建立长期合作的策略实现安全风险评估。制定安全检测计划和方案,并组织专门的检测小组实施。做好硬件设备的预防性维护。5.加强系统重要信息和文档的管理完整的系统文档是分析、排除故障的基础,因此应加强其管理。6.完善系统功能,提高应用程序级的安全性合理设置系统软件的权限,慎重考虑系统功能。严格限制超级用户数,定期更换系统登录口令,严禁帐号及密码外借他人。7.强化信息系统安全技术保障从硬件和软件两个方面强化系统安全技术保障,加强与专业安全服务公司的沟通。建立相应的标准,加强相应的法律或政策方面的支持。