随着医疗卫生行业信息化程度的逐步提高，网络犯罪行为已经崭露头角。虽然在医疗卫生机构内已经部署了很多安全产品，但是仍然有很多的安全问题出现，对已经与信息化紧密相关的医疗卫生业务来讲，这会在极大程度上影响医疗卫生行业为公众进行服务的效果。因此，医疗卫生机构认真落实国家信息安全等级保护制度是十分必要的。

    以信息安全等级保护制度为抓手开展信息安全建设

    2011年，原卫生部印发了《卫生行业信息安全等级保护工作的指导意见》的通知，要求依据国家信息安全等级保护制度，遵循相关标准规范，在医疗卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作。

    个人认为，以信息安全等级保护制度作为信息安全建设的抓手是一个很好的思路。很多人认为购买安全产品、做灾备、安装冗余设备等就能保证信息系统安全了，其实只是从微观角度看待安全，而信息安全应该是体系化的工作，要技术和管理并重，某种程度上，要“七分管理、三分技术”。信息安全是符合“木桶效应”观点的，将整个信息安全系统从一个完整的系统角度比作一个木桶，其安全水平是由构成木桶的最短的那块木板决定的。也就是说，我们的信息安全系统中，各个安全要素是同等重要的。正所谓“蝼蚁之穴，溃千里之堤”，各方面要素均不容忽视。

    信息安全是一个管理过程，而不是一个技术过程。技术和产品要通过管理的组织职能才能发挥最好的作用，技术不高但管理良好的系统远比技术高但管理混乱的系统安全。因此，技术和产品是基础，管理是关键，建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会实现持续安全 ......