隨著互聯(lián)網(wǎng)、大數(shù)據(jù)以及云計算在醫(yī)療信息化中廣泛應(yīng)用，其信息安全越來越受到關(guān)注。不夸張地說，安全已經(jīng)成為醫(yī)療信息化的根基所在。如何證明所提供的服務(wù)是安全可靠、值得依賴的，這對醫(yī)療信息化企業(yè)而言是一個問題。動脈網(wǎng)也對目前信息化安全部分的重要認(rèn)證進(jìn)行了盤點，希望能夠有所參考。

?

信息安全認(rèn)證是什么，有多重要？

信息安全管理體系（ISMS，Information Security Management Systems）是企業(yè)整體管理體系的一個部分，是基于風(fēng)險評估建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進(jìn)信息安全等一系列的管理活動。可用于企業(yè)信息安全管理和建設(shè)，通過管理體系保障企業(yè)全方面的信息安全。

?

企業(yè)通過信息安全管理體系的認(rèn)證準(zhǔn)備工作極為復(fù)雜，通常會讓企業(yè)上下感覺“脫了一層皮”。不過，通過信息安全管理體系的相關(guān)認(rèn)證對于企業(yè)來說確實利大于弊。

?

一般來說，通過信息安全管理體系的相關(guān)認(rèn)證能給企業(yè)帶來四方面的好處：對內(nèi)部，它可以顯著提升企業(yè)的信息安全管理能力，增強員工對信息安全管理的認(rèn)知，有效防范和控制信息安全風(fēng)險；對客戶，它是國家認(rèn)可的第三方客觀認(rèn)證證明，讓客戶對通過認(rèn)證的企業(yè)提供的產(chǎn)品和服務(wù)感到信賴和放心；對合作商，它是企業(yè)與國際信息安全標(biāo)準(zhǔn)的接軌證明，與通過同類認(rèn)證的企業(yè)合作時可以直接互認(rèn)對方的信息安全管理水平；對行業(yè)，它是信息安全行業(yè)內(nèi)的標(biāo)桿，既能展示企業(yè)信息安全管理水平，也能提升企業(yè)品牌形象和行業(yè)競爭力。”

?

企業(yè)通過信息安全認(rèn)證就好比一個初出茅廬的新人通過辛苦的閉關(guān)修煉，最終被認(rèn)可為武林高手。

?

信息安全變得越來越重要，它的發(fā)展過程是什么？

近年來，我國逐步加強了對信息安全的標(biāo)準(zhǔn)制定，并制定了不少政策法規(guī)。

在這個大背景下，國家醫(yī)療保障局近年來加快推進(jìn)醫(yī)保信息化和標(biāo)準(zhǔn)化工作，并在2019年提出將“持續(xù)推進(jìn)標(biāo)準(zhǔn)化和信息化建設(shè)”作為年度重點工作，凸顯了“個人健康和疾病數(shù)據(jù)”安全在當(dāng)前的重要性，“確保數(shù)據(jù)安全”被提到了前所未有的高度。

?

提到信息安全，首先要看的就是ISO 27001。這是ISO 27000系列認(rèn)證的主標(biāo)準(zhǔn)，類似于ISO 9000系列中的ISO 9001。

?

毫不夸張的說，ISO 27001是國際上最權(quán)威、最嚴(yán)格，也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)。組織機構(gòu)通過ISO 27001認(rèn)證，就表示組織的信息安全管理已建立了一套科學(xué)有效的管理體系作為保障，能夠為用戶提供可靠的信息服務(wù)。

?

此外，ISO 27017及ISO 27018也是目前云服務(wù)最為常見的國際標(biāo)準(zhǔn)。

近年來，醫(yī)療信息化不僅成為醫(yī)療行業(yè)發(fā)展的重要方向，也是“十三五”國家網(wǎng)絡(luò)安全和信息化建設(shè)重點。在該細(xì)分產(chǎn)業(yè)中不乏老牌巨頭，如東軟集團(tuán)、衛(wèi)寧科技等，也不乏跨界新秀，比如平安集團(tuán)旗下的平安醫(yī)保科技。

據(jù)悉，平安醫(yī)保科技作為后起之秀，早在去年年底已正式獲得由SGS（通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司）頒發(fā)的ISO 27017和ISO 27018國際安全體系認(rèn)證。

?

“結(jié)合今年上半年已獲得的ISO 27001國際信息安全管理體系標(biāo)準(zhǔn)認(rèn)證，我們（平安醫(yī)保科技）已經(jīng)集齊了信息安全領(lǐng)域關(guān)鍵的三重保障，開發(fā)及運維水平達(dá)到國際認(rèn)可水準(zhǔn)。”平安醫(yī)保科技對于自身的信息安全水平非常有信心。

?

動脈網(wǎng)認(rèn)為，上述認(rèn)證使得平安醫(yī)保科技在滿足公司業(yè)務(wù)招投標(biāo)和日常信息安全管理的同時，更能被國外的投資機構(gòu)所認(rèn)可，值得為廣大信息企業(yè)借鑒。

?

從開發(fā)著手，運維緊跟，知識產(chǎn)權(quán)護(hù)航，信息安全不能成為“空中樓閣”

毫無疑問，一切安全都是構(gòu)建在開發(fā)基礎(chǔ)之上。沒有堅實成熟的軟件開發(fā)體系，所謂安全只能是如空中樓閣一般的幻影。

?

例如，CMMI（Capability Maturity Model Integration），即軟件能力成熟度集成模型，是用于衡量企業(yè)軟件研發(fā)能力成熟度和項目管理水平的國際權(quán)威標(biāo)準(zhǔn)，被公認(rèn)為軟件企業(yè)走向國際市場的通行證。去年10月，平安醫(yī)保科技收獲了其最高等級的CMMI 5級資質(zhì)，成為平安集團(tuán)旗下第一家獲取CMMI 5級資質(zhì)的子公司。

?

同時，該公司早期還通過了軟件安全開發(fā)三級認(rèn)證，引入了模化敏捷框架SAFE4.0，并順利通過ITSS運維三級認(rèn)證，幾乎囊括了相關(guān)領(lǐng)域的所有認(rèn)證標(biāo)準(zhǔn)；在知識產(chǎn)權(quán)方面，平安醫(yī)保科技目前累計申請專利近千件，軟件著作權(quán)近百件，在法律層面保障了信息安全管理體系覆蓋的IT系統(tǒng)的合法權(quán)益。

?

這些重要認(rèn)證的通過、研發(fā)過程的敏捷轉(zhuǎn)型、知識產(chǎn)權(quán)的保證，標(biāo)志著它在軟件研發(fā)的過程組織能力、技術(shù)研發(fā)能力、項目管理能力、方案交付能力等方面都達(dá)到了國際領(lǐng)先水平。

?

領(lǐng)先行業(yè)，信息安全助力平安醫(yī)保科技不斷斬獲成功

正是由于信息安全的基礎(chǔ)保障堅固，能將任何信息泄露的風(fēng)險、系統(tǒng)安全隱患都降到最低，平安醫(yī)保科技才能在市場上被政府部委和更多的客戶所認(rèn)可。

?

動脈網(wǎng)了解到，單去年一年內(nèi)，平安醫(yī)保科技的實力就得到了各級醫(yī)保局的認(rèn)可。2019年5月，平安醫(yī)保科技中標(biāo)國家醫(yī)療保障局醫(yī)療保障信息平臺宏觀決策大數(shù)據(jù)應(yīng)用子系統(tǒng)、運行監(jiān)測子系統(tǒng)的建設(shè)工程采購項目，為國家醫(yī)保局開展科學(xué)決策和精細(xì)化管理提供專業(yè)化、系統(tǒng)化的支持，協(xié)助國家醫(yī)保局構(gòu)建“決策規(guī)劃-政策執(zhí)行-運行監(jiān)測-分析反饋”的管理閉環(huán)。

隨后，又相繼中標(biāo)了青島市醫(yī)療保障局醫(yī)保監(jiān)管服務(wù)項目、山東省醫(yī)療保障局智能監(jiān)管系統(tǒng)信息化平臺項目等，捷報頻傳。

?

“截至2019年底，我們的市場已覆蓋全國近30個省、200余個城市，為8億社會公眾提供服務(wù)。”平安醫(yī)保科技相關(guān)負(fù)責(zé)人介紹道。

?

同時，平安醫(yī)保科技取得的成績也獲得了專業(yè)媒體的認(rèn)可。就在去年底結(jié)束的動脈網(wǎng)“2019未來醫(yī)療100強”論壇上，平安醫(yī)保科技繼2018年榮膺“2018未來醫(yī)療100強中國醫(yī)療榜TOP 100榜首”后，再度榮膺“2019未來醫(yī)療100強-中國數(shù)字醫(yī)療榜”榜首，并摘得“年度創(chuàng)新企業(yè)”榮譽稱號。

?

寫在最后

近年來，醫(yī)療信息化、互聯(lián)網(wǎng)醫(yī)療領(lǐng)域重量級政策和標(biāo)準(zhǔn)頻發(fā)。盡管這些創(chuàng)新帶來了極大的便利，但無論是醫(yī)院信息化建設(shè)、互聯(lián)網(wǎng)醫(yī)院還是遠(yuǎn)程醫(yī)療，都不能避開系統(tǒng)安全和數(shù)據(jù)安全的問題。云時代的來臨，更讓醫(yī)療相關(guān)機構(gòu)保障信息系統(tǒng)和數(shù)據(jù)的安全性，顯得尤為重要。

?

我們認(rèn)為，有能力的企業(yè)應(yīng)該持續(xù)追求最先進(jìn)的IT技術(shù)，如人工智能、區(qū)塊鏈、云等，這些代表著先進(jìn)的生產(chǎn)力。同時企業(yè)也應(yīng)該堅持高標(biāo)準(zhǔn)的相關(guān)認(rèn)證，并重視各項信息安全的管理實際落地。只有這樣，企業(yè)才能真正為醫(yī)療信息化建設(shè)行業(yè)賦能。