灾害脆弱性信息安全建构策略研究

从危机管理层面考量，信息安全应与医疗安全同样重视。无论是黑客攻击窃取资料、网络病毒导致系统瘫痪、数据损毁等都会对医院带来重大的经济损失和负社会效应。如何保障信息“五性”、建构鲁棒性安全体系，要求信息管理者必须以灾害脆弱性分析为基础，应用根因法、蜘蛛法展开论证与处理。灾害脆弱性分析（hazardvulnerabilityanalysis，hva）是2011版三级医院评审所要求的核心条款内容。根因法（rootcauseanalysis，rca）是以问题为导向进行追溯原因的管理方法。蜘蛛法亦称蜘蛛织网法（spiderweaving-webmethodology，swm）是观察蜘蛛织网的生物学过程而触发的管理思维方法；蜘蛛结网，目标明确，为达完美，无有始尽。应用根因法找出问题本质，采用蜘蛛法提出解决方案，二者相互配合，结合建构主义内涵，为医院提供一个基于信息安全鲁棒性并可持续发展策略。

1信息安全面临的挑战不亚于医疗安全

信息安全使用必须保证保密、完整、可用、可控和不可否认性，无论是攻击窃取资料，网络病毒导致系统瘫痪，数据损毁等都会对医院带来重大的经济损失和负社会效应。互联网体系结构的开放性、网络基础设施和通信协议的缺陷、恶意软件、操作系统漏洞、内部安全以及社会工程学等难预见性与频发性事故让安全工作防不胜防。其与医疗安全防范有着本质区别，应用危机管理理论从发生概率、易损范围、预见性、防控难度、损失内容等展开分析，可见信息安全事故发生概率与防控难度、损害范围、预见性以及领导重视程度成反比（见表1）。因信息宿主物理位置相对稳定（裸露性高）更是成为主动损害的目标，损失难以估量，体现在病案等法律文书、医院运营商业秘密、医患的隐私、勒索赔付、统方犯法诸多内容，会对医院造成很大的影响，诸如不良的医疗服务、造成医疗纠纷、失去民众信任、医院声誉损害、巨额赔偿等[1]。

2风险评估

第一，风险分析与评估的结果是信息安全方面投资、决策的依据，同时也是评估投资效果的重要依据。分析与评估最重要成果就是目前风险的大小，以及相应的降低风险的安全措施部署策略建议。第二，风险评估的流程。首先是确定医院信息资产列表及信息资产价值，识别脆弱性与威胁（见表2、表3）、确定可能性与风险，建议安全防护措施等。通过评估、扫描、审计、数据与架构分析等方式，全面分析系统的现状、主机、数据库、设备、网络弱点和风险，形成《风险评估报告》[2]。

3应用根因法进行灾害脆弱性分析

主要从物理、网络、主机、应用、数据以及安全管理体系现状的分析，把把脉、找症结、解剖麻雀，见表3。

3.1信息资产确定。通过资产评估，清楚有无。