总结
1.医院信息系统安全风险评估的概念
医院信息系统安全风险评估是指依据有关信息安全技术标准，对医院信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评价的活动过程，它要评价医院信息系统的脆弱性、医院信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的来识别医院信息系统的安全风险。

2．国内外信息系统安全风险评估的概况
美国政府就发布了《自动化数据处理风险评估指南》。

其后颁布的关于信息安全的基本政策文件《联邦信息资源安全》"
3．我国医院信息系统安全风险评估工作现状及存在的问题
4.医院信息系统安全风险评估工作流程
(1)确定医院信息资产列表及信息资产价值
(2)识别脆弱性
(3)识别脆弱性
它可能存在于网络安全体系理论中网络应用所划分的’个层次，即网络层、系统层、用户层、应用层、数据层，
(4)识别威胁
威胁来源应主要考虑这几个方面，即非授权故意行为、人为错误、软件设计错误带来的威胁、设备损坏、线路故障、自然灾害医院信息系统的安全威胁可通过部署入侵检测系统(,-.)，采集入侵者的,/地址及目的,/地址、目的端口、攻击特征、当前用户和进程等攻击信息，通过统计分析，从概率上分析一段时间内攻击的类型、强度和频度来获取，分析现有的安全控管措施
（5）确定可能性
(6)确定风险
(7)建议安全防护措施。

(8)记录结果
5.医院信息系统安全风险评估结果的处置措施
(1)避免：采取措施，完全消除医院信息系统的安全风险
(2)降低：采取措施降代风险造成实际损害的可能性，降低其影响。

（3）接受
（4）转嫁：通过责任外包、保险等方式%(’转嫁：通过责任外包、保险等方式
（5）回避
（6）威慑：通过报复或者追究责任的方式。