一、医疗设备入网分类
目前,医疗机构广泛使用的医疗设备按其在临床诊疗过程中的作用可分为诊断类设备、治疗类设备和辅助设备。诊断类设备包括放射影像设备、实验室设备、超声影像设备、内窥镜、心电设备等;治疗类设备包括放射治疗设备、手术治疗设备等;辅助类设备包括电子血压计、血糖仪、电子体温计、体重秤等。医疗设备常接入的信息系统包括 HIS(医院信息系统)、手术麻醉信息系统、重症管理系统、PACS(影像归档和通信系统)、LIS(实验室管理系统)等。例如:放射影像设备、超声影像设备、内窥镜、病理检验设备等须要接入 PACS ;实验室设备须要接入 LIS ;生命体征监护仪、血滤机、呼吸机、微量泵等设备须要接入重症管理系统;手术室的生命体征监护仪、麻醉机等设备须接入手术麻醉信息系统;辅助设备往往直接接入 HIS,以实现数据在信息系统的直接读取、存储和利用。
二、医疗设备入网不规范的原因及影响
( 一 )设备管理与数据管理分离
在各医疗机构中,设备管理与数据管理往往分属于不同部门,设备管理部门主要负责设备的采购、安装、使用培训、维修维护,信息管理部门负责设备入网、规划数据流向、保障网络与数据安全、支持数据利用。明确的分工导致设备管理的衔接不畅,在设备安装和入网过程中不可避免地会产生一系列问题。
医疗设备的安装和使用需要一定的条件,尤其是很多大型设备对机房的要求较高,须要在防护、强电、空调等方面做好前期准备 。但网络环境的提前部署往往被设备管理人员忽视。在医疗设备安装前,须要根据设备的摆放位置、空间特点、传输需要提前部署网络,确定信息点位的数量、位置,并分配与数据量大小及业务及时性要求相匹配的带宽等网络资源。网络部署与资源规划不到位容易造成信息点位缺失,无法按照临床使用者的工作习惯部署相应的设备。
( 二 )设备接口类型多,对接需求多样
各类医疗设备的接口协议各不相同,采集数据的类型、大小及对网络带宽的需求均不相同。如放射类设备采用的接口分为标准 DICOM 接口和非标准 DICOM 接口,采用非标准 DICOM 接口的设备来自不同厂家、不同型号,其数据展示形式往往各不相同。在设备入网前如果不进行详细调研、明确临床使用者和医疗管理者的需求,往往会导致医疗设备与信息系统无法无缝对接。
( 三 )网络安全和个人信息保护风险
医疗卫生行业网络安全监管政策主要以《网络安全法》为依据,以等级保护制度为基础,形成覆盖个人信息安全、数据安全、密码保护、互联网安全、医疗业务安全等多维度的网络安全体系 。随着医疗卫生行业的网络安全体系越来越完善 , 医疗机构的安全防护工作主要侧重于数据中心安全、终端安全、网络安全等方面,而医疗设备的网络安全在各医疗机构中往往被忽视。在医疗设备安装入网的过程中,医疗设备的网络和信息安全监管责任主体不明确,导致医疗设备配套的计算机设备安全防护与安全加固措施不到位,无漏洞检测、入侵痕迹检测、恶意代码检测等措施,对设备工程师的计算机操作行为无法监管,造成了极大的网络安全和数据安全风险。
2021 年 11 月 1 日起施行的《中华人民共和国个人信息保护法》规范了有关个人信息利用的各种行为 , 以保护信息主体的权益。医疗行业收集的个人信息面广、量大,多为个人敏感数据。我国对医疗行业在个人信息保护方面的要求越来越高,但大多数医疗机构在医疗设备的个人信息安全保护方面的力度不够。医疗设备的个人信息安全涉及数据收集、存储、传输、使用和销毁,然而,医疗设备服务器往往未纳入信息部门的统一管理,造成医疗设备的边界防护策略、访问权限管理、远程访问控制的缺失,使得医疗设备配套的计算机或服务器储存了大量的患者个人信息,存在极大的泄漏风险。
( 四 )诊疗信息共享与资源利用
由于设备使用与信息利用的主导主体不同,导致设备购入前未进行诊疗信息共享与资源利用的充分调研,尤其是采用非标准接口的设备,临床使用者在使用过程中才逐渐对诊疗信息共享形成迫切需求;然而,因设备厂家、型号不同,硬件接口不同,软件通信协议不统一,医疗设备无法与信息系统集成,极大地降低了临床工作者的工作效率。医疗设备中的诊疗信息无法共享,导致临床工作者无法从医疗信息系统中查看医疗设备产生的诊疗数据,一方面造成了人工输送诊疗数据的人力资源浪费,另一方面给临床工作者及时根据医疗设备输出的诊疗数据对患者进行诊断造成了障碍。
医疗机构部分大型医疗设备原值高,对设备的使用率、完好率、故障率、月度利润等进行分析的必要性强。然而,线下统计的工作量大、数据准确性低,导致临床管理者无法掌握医疗设备的利用情况,无法合理、高效地配置医疗设备。因此,医疗设备效益分析工作亟需信息化支撑。
三、医疗设备入网规范化流程管理
为避免医疗设备入网不规范产生的问题,须建立医疗设备业务网准入制度,并将制度固化为规范流程。
( 一 ) 医疗设备采购准备
医疗设备管理部门与医疗设备使用部门、信息管理部门要建立畅通的沟通渠道;在医疗设备采购前,明确使用部门的基本需求,包括安装位置、所需终端数量、业务需求、数据共享渠道和载体,明确信息管理部门在网络安全、数据安全、接口标准和其他方面的要求,并在采购时将其纳入采购要求。
( 二 )医疗设备入网准备
1. 组建团队
设备到货前后,由使用科室向信息管理部门提出设备入网申请,并写明具体需求,由医疗设备管理部门和信息管理部门进行审批。组建临时项目团队,项目团队负责人由信息主管与设备主管共同担任,团队成员包括信息安全工程师、数据安全工程师、架构师、软件工程师、设备工程师。
2. 规划业务流程
信息主管根据使用科室需求进行整体业务流程的调研,会同医务、护理等相关管理部门共同规划自医嘱开立到报告出具的整个业务流程,并确定每个流程节点的数据流向,形成完整的流程图,由医疗管理部门、使用科室、设备管理部门共同确认。
根据形成的业务流程,确认接口协议、对接方式、对接费用。
3. 形成安全方案
对所有联网的医疗设备的 USB 端口进行封闭,须拷贝数据时,由专门部门和专人管理,有统一的申请和审批流程,杜绝任何人私自拷贝业务网数据。由专人对网络 IP 地址进行分配、记录和管控,定期观测网络流量,防止网络异常情况导致数据传输延迟。杜绝未经过安全评估的医疗设备入网。
( 三 ) 医疗设备入网培训
医疗设备入网后,须对临床使用者进行设备使用和信息系统使用的操作培训和考核,并进行网络与数据安全培训,签订《医疗设备业务网准入安全责任书》,明确网络安全和数据安全的责任主体,保证网络和数据安全。
高伟
河北省人民医院信息管理处
张雷 秦涛 杜永新 张静茹
河北医科大学第一医院元氏院区
来源:《中国医院建筑与装备》2022年第6期