《澳大利亚国家医疗信息系统安全保障措施简介V0.2》由会员分享,可在线阅读,更多相关《澳大利亚国家医疗信息系统安全保障措施简介V0.2(3页珍藏版)》请在金锄头文库上搜索。
1、澳大利亚国家医疗信息系统安全保障措施研究吴辉 1,何长龙 2,李 伟 平 3(1. 国家广电总局, 北京 2.北京大学电子政务研究院 北京 100018 3.长春吉大正元信息技术股份有限公司 长春 130012)摘要:本文简要介绍了澳大利亚政府在推动建设国民医疗信息系统安全保障体系建设方面的管理体制、技术、标准、经验等内容,特别列出该计划建设所使用的技术规范,结合作者对信息安全的研究,在文章结尾处给出我国医疗信息系统建设中的安全问题及想法。关键词:医疗信息系统、医疗信息安全、电子病历、电子签名、医疗 PKI、PKI一、引言近年,在澳大利亚政府和澳大利亚健康保险委员会(HIC)推动下澳大利亚医疗
2、机构建设了包括卫生信息网络架构,电子健康档案等多种医疗信息应用系统。医疗信息化快速发展的同时,也出现许多信息安全问题,如由于管理不善或人为原因造成的医疗信息失窃或损坏,未经授权的内容获取、情报窃取、网络诈骗、泄露个人隐私等。因此,澳政府有关机构把医疗信息安全问题放在很重要的位置上,从法律法规、管理体制、技术、标准等方面采取了很多切实有效的措施。笔者对澳大利亚医疗信息安全体系建设情况进行了一些初步的探索,希望可以起到他山之石之功用。二、信息安全管理机构在澳大利亚,对信息安全负有管理责任的管理职能部门有:国家信息经济办公室、司法部和国防部。国家信息经济办公室是澳大利亚信息安全政策的主要制定机构,与
3、司法部共同协调各部门参与信息安全国际合作;司法部负责保护国家关键基础设施,协调应急处理,与国家信息经济办公室共同协调各部门参与信息安全国际合作。国家信息经济办公室和司法部在信息安全方面的管理职能主要面向社会,国防部主要面向联邦政府,并由国防部信号局(DSD )具体承担,包括为联邦政府其它部门提供信息安全咨询服务和应急技术支援、制定政府信息安全标准、对信息安全产品进行测评等。为加强各部门在保障信息安全方面的协调,澳大利亚联邦政府成立了两个专项工作组,分别是信息安全协调组和关键基础设施保护组。信息安全协调组(ESCG)是澳大利亚在信息安全领域核心政策的制定和协调机构,主要负责确定澳大利亚信息安全战
4、略目标。信息安全协调组由国家信息经济办公室(NOIE)牵头,成员单位包括司法部(AGD ) 、国防部信号局(DSD ) 、联邦警察局(AFP ) 、澳大利亚安全情报局(ASIO ) 、总理和内阁办公室、外交和贸易部、交通和地方服务部、工业、科技和资源部、财政部、统计局等。信息安全协调组主要工作包括:(1)增强政府、企业和个人的信息安全意识;(2)推进产业界、联邦政府、州政府等政府机构和服务提供商之间的有关信息共享;(3)协调联邦政府各部门参与信息安全保障工作;(4)确定人才培养目标和信息安全技术研发方向。关键基础设施保护组(CIPG)是信息安全协调组的下属委员会,该委员会由司法部牵头,负责界定
5、国家关键基础设施,并提出有关保护建议。目前关键基础设施保护组的主要任务是评估电信、电力、金融、空管、医疗等领域信息系统面临的威胁和系统风险。在医疗卫生领域澳大利亚政府通过全民国民保健(Medicare)计划实施为全民免费医疗,并建设与之配套的公民健康信息系统,所有澳大利亚合法公民均可在健康保险委员会HIC(Health Insurance Commission)下设机构登记个人信息,并能获得各项医疗诊治的服务与安排。同时健康保险委员会HIC也是澳国内医疗信息系统管理机构,负责制定卫生信息化领域的规划、政策法规和标准等工作。三、医疗信息系统安全建设举措1.加强信息安全技术研究在澳大利亚,信息安全
6、技术研究主要由联邦政府有关机构、学术机构和信息安全企业承担。澳大利亚联邦政府出台了一系列产业发展政策,这些政策已对信息安全产业的发展起到了推动作用。目前国家信息经济办公室正在调研如何进一步强化这些政策,如在商业、政府和学术机构的研发部门间建立更便捷的沟通渠道,增加资金投入等。国防部信号局和国防科技委员会也在寻求建立规范的资金渠道,以支持信息安全研发项目。2.保障医疗信息安全澳大利亚联邦政府在2001年已将政府服务在线化,由HIC主持建设的 Medicare系统也加入到网络,可为全国公民提供在线医疗服务。为保障网络的安全,各部门制定了一系列与信息安全有关的法律、标准和指南,包括:联邦政府保密行动
7、,信息安全手册,联邦政府的物理、信息和人员安全保障的顶层构架,澳大利亚通信电子安全指示33等。联邦政府要求,各部门自2000年1月起要将信息安全事件事故向联邦政府在线事故报告系统报告,报告的等级和严重程度必须与标准相符。该事故报告系统于2000年11月建立,由国防部信号局维护。3.加强医疗信息安全建设指导为加强全国医疗信息系统的安全建设HIC根据澳大利亚国内和国际医疗行业有关信息安全标准编制了HB 1742003 Information security management Implementation guide for the health sector医疗机构信息安全管理实施指南并推广
8、实施,以指导各级医疗机构信息系统建设,特别是Medicare系统的建设,保障个人与医疗有关的身份信息、医疗记录等信息在传输、交换、存贮、使用过程中的安全管理,教育并向居民说明国家在保护个人隐私方面的政策、管理措施、技术措施等,以消除居民对信息泄露的恐慌。4.推动标准制定与完善在HIC下成立了健康信息标准化组织IT-014 Health Informatics Committee,该标准化工作委员会下的第4工作专门负责医疗信息安全,该组织根据国际标准化组织的ISO/TS 17090等系列医疗信息有关规范制定了适用于本国的医疗信息系统安全规范,主要规范见表1。表1.澳大利亚健康信息安全关键标准 A
9、S ISO17090-1:2003Health informaticPublic key infrastructurePart 1: Framework and overview健康信息公钥基础设施第 1 部分:框架与概述定义了公钥基础设施(PKI )的基本概念,并提供了协同工作所需要的计划表,建立PKI 以保证卫生信息的通讯,同时定义了卫生信息通讯中的参与者以及主要的安全设施等。AS ISO17090-2:2003Health informaticsPublic key infrastructurePart 2: Certificate profile健康信息公钥基础设施第 2 部分:证书轮
10、廓简要介绍了医疗 PKI 中证书的结构、使用方法以及 PKI基本组成部分。AS ISO17090-3:2002Health informaticsPublic key infrastructurePart 3: Policy management of certification authority健康信息公钥基础设施第 3 部分:认证权威策略管理提供证书管理的指导方针。AS ISO18307:2001Health informaticsInteroperability and compatibility in messaging and communication standardsKey
11、characteristics健康信息消息及通讯标准的互操作及兼容性关键特征AS ISO18308:2004Health informaticsRequirements for an electronic health record architecture健康信息电子健康记录结构要求集合和比较了电子健康记录的临床及技术上的要求,以便在不同的系统使用5、建设全国医疗PKI系统按照澳大利亚有关法律,所有医疗服务机构都应尽最大努力来保证患者信息的隐私,特别是电子病历的私密性、真实性和完整性。为有效解决这一问题,2001年HIC决定建设基于PKI技术的信息安全基础设施,通过该设施可为医疗工作者提供一
12、种通过因特网安全共享信息的方式。HIC 用户可以将其在HeSA中的取得的数字证书保存在自己的Key中,该系统的实施有效地解决了电子病例的签名、身份认别、数据加密传输、授权与安全审计等多个医疗信息系统的应用问题。四、重要启示1、澳政府重视个人医疗记录的安全。在澳大利亚个人的医疗记录作为个人的隐私受到法律严格保护,任何机构和个人不得随意查验,这一点我们还有很长路要走。2、建立安全可信的医疗信息发展环境,既是医疗信息系统建设的重要组成部分,也是医疗信息系统健康可持续发展的前提。我们一直很重视电子政务安全保障工作,并建立了比较完善的安全基础设施。但在医疗信息系统建设上还存在较大差距。3、当前国内大部分医疗系统缺少必要的信息安全保障手段,系统存在严重的安全隐患,管理、使用均不够规范,这给患者隐私权保护和医患纠纷的解决带来了较大困难。制定严格的电子病历形成、存储、利用的规范,推动电子病历健康发展,利用现代信息安全技术保障双方权益值得深入探讨。
