上海愛數(shù)軟件有限公司 醫(yī)衛(wèi)行業(yè)顧問 姜疆
摘要 醫(yī)院數(shù)據(jù)安全應急處理預案每個醫(yī)院均有不同����,很多醫(yī)院都積累了很多經(jīng)驗��,但是隨著新的容災備份方案及技術的引入��,就需要打破原來的舊的流程體系,亟需建立新的標準和流程�。本文系統(tǒng)并綱領性地提出建立預案需要把握的原則,結合醫(yī)院的實地情況�,結合相關的原則來制定適合自己的數(shù)據(jù)安全應急處理預案。文中特別提到并引用了很多米切爾.K.林德爾等的應急管理理論知識�����,通過這些知識系統(tǒng)地梳理我們遇到的實際問題�����,幫助醫(yī)院建立有效的應急處理預案
關鍵詞: 應急處理�����、數(shù)據(jù)安全�、備份容災、存儲�����、
引言: 醫(yī)療的本質是“Care People”���,一切有利于醫(yī)療安全和提升醫(yī)療質量的措施都能被醫(yī)院廣泛應用���,病人需要高質量的醫(yī)療及護理�。醫(yī)院既需要一套技術手段或者設備來幫助我們提升醫(yī)療安全和提升醫(yī)療質量��,更需要一套方法和流程來讓新技術手段能夠發(fā)揮應有的作用����。隨著臨床信息系統(tǒng)的建設,醫(yī)院的軟件系統(tǒng)日趨復雜�����,原來網(wǎng)絡和系統(tǒng)架構都已經(jīng)不能滿足當前大型醫(yī)院的需求��。網(wǎng)絡改造����,服務器升級換代�����,磁盤陣列擴容�,增加異地容災機房等等都納入了很多醫(yī)院信息科的工作日程。大量資金投入可以讓我們迅速獲得一套產(chǎn)品��,但是
當前各個數(shù)據(jù)安全廠商技術上各有千秋,針對醫(yī)院信息系統(tǒng)如何構建適合自己的應急管理預案相關知識還比較匱乏��。不管已經(jīng)購買還是將來準備購買容災備份設備的醫(yī)院都應該考慮如何建立一套適合自己的應急處理預案�。怎么去分析,怎么去實踐��,我們應該有相應的指導原則���。
第一個原則:首先要建立應急組織機構并劃分職責
在《三級綜合醫(yī)院評審標準實施細則》特別提到了“應急管理”���。首先第一步就是要建立醫(yī)院的建立健全醫(yī)院應急管理組織和應急指揮系統(tǒng),負責醫(yī)院應急管理工作���。院長是醫(yī)院應急管理的第一責任人�����。
很多醫(yī)院沒有把數(shù)據(jù)容災作為一把手的工程�����,但是隨著醫(yī)院規(guī)模越來越大���,在數(shù)據(jù)安全遭到危機的時候�,院長需要直接面對社會輿論的監(jiān)督���,在CIS系統(tǒng)深入應用的今天����,醫(yī)療數(shù)據(jù)安全涉及生命安全����,任何一個隱患就會造成難以估量的災難。我們參照JCI(國際醫(yī)院評審)的建議���,可以將應急組織機構分為四個小組:領導小組�、檢查小組�、技術小組、應急小組�����。
領導小組全面領導并監(jiān)督醫(yī)院應急方案的制定及準備�����,提供行政支持����。領導制定、審核�、落實應急方案,發(fā)布啟動災難性應急方案的命令�,督促應急小組按計劃應急。領導小組總指揮:院長�;副總指揮:信息科主任。如何發(fā)布災難性應急方案的命令��,這個要看災難的邊界����,如果災難到了信息科不能獨立決策的時候,那么發(fā)布災難應急方案命令的就是院長����。
檢查小組負責檢查各部門應急準備工作,檢查應急啟動后的落實情況和評估效果��,并督促制定應急方案��。 組長:醫(yī)院主管領導(一般是分管副院長)���;成員:醫(yī)院行政領導(醫(yī)務科或者是相關行政監(jiān)督及目標管理科室)
技術小組在發(fā)生問題時協(xié)調(diào)軟件開發(fā)商譽設備供應商����。對于災難性的問題,技術小組及時向領導小組匯報并建議是否啟動相應的應急計劃���。對于區(qū)域或部門級的故障���,技術小組及時給予指導,并建議啟動應急計劃�。組長:計算機中心主任;成員:計算機中心成員�����。
應急小組負責應急計劃的實施�����,及時向領導小組匯報并與技術小組溝通���。對于某部門內(nèi)出現(xiàn)的故障�����,有部門負責人啟動應急計劃����,事后備案�����。應急小組組長:分管信息化副院長��;副組長:計算機中心主任��;成員:計算機中心成員�����。
需要注意的是醫(yī)院機構人員眾多���,工作千頭萬緒�,針對應急管理這塊權責必須成文并落實下來��,不能缺乏成文的規(guī)范��。由于致災因子(類似電源故障����、病毒����、網(wǎng)絡故障)并不是規(guī)律性的出來���,災難的形態(tài)也是千差萬別�,規(guī)劃組織架構和流程并不能靠口頭規(guī)范��。按照美國的突發(fā)事件指揮系統(tǒng)(Incident Command System,ICS)提供的原則我們還可以做一些組織機構的補充����,正因為誕生ISC是因為各個機構出現(xiàn)的規(guī)劃協(xié)調(diào)不利,資源配置不協(xié)調(diào)���,事發(fā)現(xiàn)場機構間溝通不暢��。所以ISC提到了幾個原則對于醫(yī)院來說也有借鑒意義�, 其中“可管理的控制幅度”原則需要我們注意�,在組織架構中需要限制直接監(jiān)管的人數(shù)。比如技術小組�,我們不能讓其規(guī)模太大,如果一個信息科有20個人�,那么直接屬于應急管理機構的成員應該最好不要超過5個人����,這些人應該是信息科的骨干��,有相對較高的技術水平����。
盡管到目前我還沒有聽說國內(nèi)醫(yī)院有建立應急運行中心�����,當然這方面國外對此更有經(jīng)驗�����,突發(fā)事件的處理就是一群人在一個資源有保障的地方辦公���,根據(jù)確定每個辦公人員的需求����,可以規(guī)劃一個信息流的鄰接矩陣來制定合理的布局���。對于醫(yī)院來說應急管理不僅僅是數(shù)據(jù)安全�����,還有突發(fā)醫(yī)療事故��、大規(guī)模自然災害(類似地震)�、這些應急管理需要整合的話,應急運行中心就是非常必要的�����。
第二個原則:分別建立信息管理部門內(nèi)和臨床部門的應急計劃
信息管理部門的應急方案如果簡單實踐����,就是列舉各個設備或者系統(tǒng)可能出現(xiàn)情況,再寫出處置方法����。比如服務器列舉這幾類信息:設備型號、應急準備����、應急計劃。設備型號就是比如類似HP580配置清單����;應急準備就是平時的備份容災手段(雙機����,RAC��,實時復制等)��;應急計劃就是大致內(nèi)容:當…發(fā)生時啟動…方式如何如何操作等等��。特別需要注意的是�����,信息中心有沒有能力去全面的分析并且合理地制定出處置動作�。自動化容災設備也不能解決所有問題���,信息中心在這個問題上不要期待有一個萬能的技術手段解決所有問題���。公司給予醫(yī)院的往往是一個解決方案包,如何應用好有時候也需要人為分析����。
當我們按照上述方法列舉所有問題和方法的時候,我們會發(fā)現(xiàn)都是那么雜亂無章��,并且比較粗淺。我們推薦用一個更加專業(yè)的詞匯“致災因子”(Hazard)來列舉我們遇到的問題�����。比如地震�、火災、水災�����、電源故障�����、服務器磁盤損壞����,這些都是致災因子。我們不得不承認地震給我們帶來的深刻慘痛回憶�,但是往往我們更擔憂的是由于信息科范圍內(nèi)的問題導致局部的隱患和災難。所以�����,所有這些致災因子需要全面分析和評估。
致災因子的脆弱性分析是我們建立應急管理戰(zhàn)略的依據(jù)����。按照等保的分級我們可以大致估計風險的程度。我們需要準備一個表格來列舉并歸類這些致災因子�����。首先第一步就是識別��,第二步就要估計可能性�����,第三步是預計后果����。致災因子的識別如果是大的框架范圍其實大家都能分析���,難在細節(jié)上面���,只有經(jīng)過職業(yè)訓練的信息安全顧問和醫(yī)院長年累月具有豐富經(jīng)驗的技術骨干通力配合才能識別的比較理想。
“我是否需要采取防護措施”是致災因子評估需要回答的問題����。對于一個鄉(xiāng)鎮(zhèn)醫(yī)院來說���,采用雙機單陣列的架構,估計對其已經(jīng)足夠���。他們在“磁盤陣列單點故障”的致災因子中����,他們可以不需要做出防護動機����,他們通過評估缺乏緊迫性。但是三級醫(yī)院的看法就不一樣����,所以風險評估和醫(yī)院規(guī)模及財產(chǎn)損失是密切相關的。
我們對于致災因子有時候需要關注它的發(fā)生速度����、強度、范圍�����、時段、可能性��。這些有助于我們建立應急計劃���。其實我們對于這個方面已經(jīng)有感覺�����,我們只需要再次整理描述他們即可���。對致災因子來說,有一些公認的脆弱性數(shù)據(jù)��,比如對于磁帶恢復的失敗率����,如果是自然性災害�����,評估自己所處的地區(qū)和季節(jié)在歷年雷電的受災情況���。歷次服務器系統(tǒng)崩潰的原因�,這些歷史事件都應該有記錄,這些都是有力的依據(jù)����。
當我們列舉一個致災因子表格的時候,我們需要考慮致災因子的信息分享問題���。院長�、信息中心主任��、臨床科室操作人員對于同一個信息理解是有偏差的���,所以如何溝通是一個非常重要的事情����,首先要考慮(1)人們必須接收信息��。如果在夜間大多數(shù)人都在睡覺�����,很多人都很難獲取信息�,如果應急響應必須要人為干預,那么致災因子信息狀態(tài)該如何有效傳遞�。說到這里����,我們?nèi)狈σ粋有效的信息整合平臺�����,當然我們期望手機上能夠看到所有設備的當前健康狀態(tài)最好����,這也是廠商的努力方向(2)人們必須注意現(xiàn)有的信息。大家都很忙���,什么信息應該傳播�,讓正確的信息給正確的人(3)人們必須理解信息�。信息科在協(xié)助臨床科室的時候應該少說專業(yè)術語,專業(yè)術語會讓大家難以理解����。
當我們列舉好這些致災因子,那么接下來對于致災因子的管理戰(zhàn)略就包括減緩�����、準備�、響應、恢復這四個步驟進行����。
致災因子減緩(hazard mitigation)針對災害的根源,減少災難發(fā)生的可能性或限制其影響�。減緩的關鍵是實現(xiàn)預防,當病毒來了我們用強力的殺毒軟件去殺還是通過預防(上網(wǎng)行為控制及IT資產(chǎn)權限管理)的方式�����?用什么方法控制到什么程度是我們需要思考的問題�,醫(yī)院對于數(shù)據(jù)安全的投入有限,同樣我們需要做出決策的依據(jù)主要是它們的成本和收益����。
災害準備(disaster preparedness)這塊內(nèi)容就是發(fā)生情況應對的手段和步驟。災害準備計劃要包括:(1)誰參與 ���?(2)何種應急響應與“災后恢復”計劃是可行的�?比如操作系統(tǒng)發(fā)生崩潰��,必須要恢復的話���,如果采用網(wǎng)絡恢復�,那么首先保證網(wǎng)絡是可用的。如果網(wǎng)絡不可用��,那么這種恢復計劃就不具有可行性�����。(3)響應和恢復組織如何發(fā)揮作用����?他們需要什么資源?例如�����,LIS系統(tǒng)發(fā)生故障時���,如果啟動單機程序�����,原來的網(wǎng)絡打印機無法調(diào)用�,或者根本就沒法采用網(wǎng)絡打�����。o紙化)�����,此時報告要傳遞���,是否需要協(xié)調(diào)打印機資源���。對于雙向通信的設備,條碼系統(tǒng)已經(jīng)不能使用�,是不是啟動人工編號方式,需要準備一套編號的操作流程���,當然還有筆�����。對于信息中心來說似乎我們可以得到很好的訓練來讓自己成為災難處理的高手����,但是臨床科室在缺乏培訓的情況下也會讓信息中心手忙腳亂���。所以(4)應該確定維護����、培訓、訓練���、演習的方法和日程表��。對臨床科室也要培訓�����。即使所有的災難都在信息中心一次性搞定��,那么至少也要培訓一下前端操作人員重新登陸程序�,否則數(shù)據(jù)庫中斷無法連接仍然會讓他們無法工作�。
應急響應(emergency response)開始于事件發(fā)生時。應急響應需要限制最初的影響帶來的損失�����。最大限度減輕二次影響帶來的損失�。所謂二次影響就是類似電源故障導致服務器集群軟件故障,“由災害引發(fā)的災害”�����。例如生產(chǎn)機房的UPS受到了雷電影響,如果我們知道生產(chǎn)機房的UPS不夠先進難以抵制雷電帶來的沖擊���,如果災備機房的UPS有浪涌保護能夠抵御雷電引起的浪涌,那么這時候我們應該切換業(yè)務系統(tǒng)到災備機房��。即使災備機房沒有絲毫損壞���,那么雷電假如果造成了群集邏輯性錯誤����,那么切換到災備機房錯誤也可能依舊��。如何減輕二次災害也是需要考慮的問題��。
信息中心和醫(yī)院的資源比較有限的�,我們基于如下原則進行應急響應:
1、重點部門原則��。重點部門���、關鍵業(yè)務必須重點保護����。制定應急方案是,應合理安全人力資源�、設備資源等。
2����、重點設備原則。對一些涉及面較大的設備必須得到重點保護��,應該使用冗余備份�。
3、風險優(yōu)先原則����。跟進風險評估情況,對有可能造成損失的系統(tǒng)�����,優(yōu)先制定應急方案��,并在發(fā)生問題時優(yōu)先啟動�,優(yōu)先恢復
4、完整性原則���。應急預案是一個系統(tǒng)工程���,它包含預防范性����、應急處理措施��、觸發(fā)條件���、啟動、恢復措施等�����。必須考慮成本及可能遇到的風險(醫(yī)院信譽����,社會影響)
5、有效性原則����。必須保證措施切實有效。
6�����、可操作性原則。應急措施要簡單�、可操作。
對于醫(yī)院數(shù)據(jù)容災有了應急計劃�,那么如何演習也是一個課題,我們通過堆積木式的演習推進來評估自己該做什么演習���。到底是基于討論層面還是基于行動的演習���。基于桌面的演習��,比如沙盤推演在沒有什么風險的情況下可以對應急計劃的組織架構���、合理性�����、前后順序步驟這些能夠得到初步的評估�����。
災后恢復(disaster recovery)將業(yè)務運行回復到原狀�����。信息系統(tǒng)的災后恢復往往比常規(guī)災害的災后恢復還顯得復雜�,如何保證災后恢復之后數(shù)據(jù)一致性,還有切換到生產(chǎn)系統(tǒng)所用的效率都是值得考慮的�����。我們往往在災難后面花費補救的金錢往往超過了給致災因子減緩的投入��。就像汶川地震之前�,對于地震的預防投入微乎其微,如果對于地震帶上的居民多進行一些培訓和宣傳教育�,那么至少死亡人數(shù)可以減少很多�����。同樣對于信息系統(tǒng)安全建設也需要專家和醫(yī)院領導進行風險溝通�,醫(yī)院領導需要制裁那些增加致災因子脆弱性的行為,激勵能使那些減輕致災因子脆弱性的行為活動獎賞����。在數(shù)據(jù)安全和應急管理領域,需要鼓勵大量技術人員為醫(yī)院去努力建立一個流程���,如果不想流于形式�,那就要建立激勵機制。在電子病歷使用的初期�,有很多操作性的問題或規(guī)范性的問題會使醫(yī)院在醫(yī)療事故發(fā)生時讓自己處于被動的局面,而之前大家都在體系中對問題漠不關心��,如何調(diào)動人員的積極性是一個普遍問題��。
第三個原則:通過培訓和績效評估建立可持續(xù)體系
對于培訓有三個層次:
(1)領導層要進行應知應會的培訓 (2)對IT中心相關管理人員的技能培訓(核心培訓)(3)對操作層面的防范意識的教育和使用培訓����,如權限意識、規(guī)范操作�、安全檢查、操作使用等��。
目前信息產(chǎn)業(yè)迅猛發(fā)展�,技術手段日新月異,沒有百分之百的安全管理系統(tǒng)��,只有不斷提升管理及技術手段����,與時俱進才能保障信息安全。在應急管理體系中人員的績效評估是一個比較困難的課題��,因為大部分醫(yī)院人員績效管理都沒有上升到一定層次,在應急管理層面的績效評估更是無人問津�����。但是針對組織的評估有一些一般原則可以作為我們工作的指導方向���。要求培訓者運用計算機工具對于致災因子進行脆弱性評估�;評估致災因子教育計劃���;評估致災因子減緩計劃��。當然這些體系都是西方應急管理理論體系里面提到的�,要做中國尚需時間消化�,對于非常重視信息化的醫(yī)院來說,這種理論對于管理的追求是永無止境的���,正好國外的理論亟待我們?nèi)ハ谩?br />
由于對于許多管理者來說領導力并非與生俱來,因此領導力的培訓必不可少����。醫(yī)院的數(shù)據(jù)安全是需要領導用長期戰(zhàn)略性思維考慮的問題。對于領導的培訓���,有效的方法之一就是切實的生動的事件��。
綜上所述三個原則�����,是讓醫(yī)院在數(shù)據(jù)安全建設中對災難性事件做出做好最充分準備的基本原則����,更加強調(diào)了的人、流程的結合��。這些理論讓我們將容易忽視的部分重視起來����,積極去實踐,建立適合自己醫(yī)院的流程和數(shù)據(jù)安全應急預案體系�����。
參考文獻
梁銘會��、金甌 等����。國際醫(yī)院評審(JCI)實戰(zhàn)必讀——信息化解讀JCI評審捷徑�,浙江大學出版社
三級綜合醫(yī)院評審標準實施細則(2011 年版)
夏保成 張小兵 王慧彥�。突發(fā)事件應急演習與演習設計,當代中國出版社
米切爾.k.林德爾等��。應急管理概論����,中國人民大學出版社
霍華德.昆魯思等。災難的啟示——建立有效的應急反應戰(zhàn)略�����,中國人民大學出版社
|
