信息科应该培养专业的网络信息安全工程师，还是把网络信息安全外包给第三方？

"专家A:

网络安全越来越重要，单纯一个解决方案难免不足以满足工作需要。建议一定设置专职的网络安全工程师，直接向信息中心主任负责，统管信息安全工作。但信息安全涉及面非常广泛，一个工程师能力难免有限，所以应该强化信息安全意识，需要全院参与，加强领导责任，循序渐进提升安全。也可以增加安全厂商的驻场或者辅助运维，比如安全数据分析、安全时间分析、紧急时间解决等。第三方解决了专业性的深度问题。但这样依旧人力和及时性有限，因此建议采购第三方MSS安全运维服务，在医院设置安全探针或者安全数据采集盒，云端服务商7X24服务，发现问题及时通知医院网络安全工程师，并及时处理，让安全问题动态清零。三级三线安全建设可以一定程度上加强网络安全。

"专家B:

应是两者相结合，既采购第三方的安全服务也培养自己专业的网络安全工程师。人才培养时间周期长，专业程度的深度不够，需要很长时间才能达到专业公司的水平，而完全外包给安全公司，他们对医院的业务和应用场景不熟悉，同时也容易被他们牵着鼻子走，所以需要两者相结合。可以建立联席制度，协同办公，互相督促、互相支持。

"专家C:

两者都需要：要有信息科专业的信息安全工程师，可以处理日常的信息安全问题；同时，像等保等专业的评审工作就需要非常专业的安全公司来做。

"专家D:

应该培养信息科专业的网络信息安全工程师。

"专家E:

自己培养专业的网络信息安全工程师，所有方案及管理由自己掌握，第三方公司只是实施和运维。

"专家F:

日常工作应该有一名网络信息安全工程师，但是仍需要外包给一家安全公司，确保出现安全事故时应急解决问题。

"专家G:

医院的网络建设是信息化建设的基础和核心，关乎医院信息系统能否正常运行，是重中之重，也可以说是信息科的核心岗位。因此，从医院的整体网络规划、设计、网络安全和日常运维实施等工作，都需要信息科自己掌握，不建议外包给第三方公司。如果实在没有网络工程师人才，建议只外包部分功能，不能全部都外包，信息科什么都不管，是非常危险的！

"专家H:

应该培养至少一名信息科专业的网络信息安全工程师，对医院全局网络信息安全进行把控，日常运维及疑难故障处理需外包给第三方安全公司，减轻医院压力，降低风险，提高稳定性。

"专家I:

需要两方面结合。国家越来越重视网络安全，上级行业管理部门、地方公安部门、审计部门等每年都有新的要求及各类检查，职责通常是放在信息科，因此科室一定要有自己的网络信息安全人员，负责安全体系的规划、管理等，而相对专业技术较强的安全技术实施及维护可以外包给第三方公司，由信息科网络安全人员进行统一管理。