互联网+医疗平台、大数据平台的使用,使得越来越多的医疗数据存储在互联网中,为医疗行业带来新的网络安全问题,加剧了医疗行业网络安全的复杂形势。这种情况下,医疗行业的网络安全等级保护工作怎么做呢?
首先要明确的是,面对医疗行业网络安全复杂严峻的形势,国家相关部门高度重视医疗行业的网络安全工作,已相继推出一系列政策法规要求落实网络安全等级保护制度:
①2018年7月,国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,规定承载医疗大数据的平台必须落实等级保护制度,健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。
②2018年9月,国家卫健委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》,要求开展互联网诊疗服务的医疗机构必须实施第三级信息安全等级保护。
③2019年11月,国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》,在信息化建设方面,医院核心业务系统达到“国家信息安全等级保护制度三级要求”。
从近两年国家颁布的政策法规中可以看出,国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。
医疗行业网络安全等级保护工作,我们建议这样做:
一、合理开展系统定级备案工作
医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。中国软件评测中心网安中心整理了目前有关部门发布的意见。
早在2011年,还是等级保护1.0时代,原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》明确以下重要卫生信息系统安全保护等级原则上不低于三级:
但随着新兴技术的发展,等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列,显然2011年的指导意见已经不那么充分了,好在上海市卫生健康委员会2019年1月发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》,进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级,包括以下:
1.核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等;
2.区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。
3.满足如下条件之一的信息系统:
上海卫健委发布的定级范围可以说是紧跟国家相关政策法律法规,区分了核心业务系统、区域核心业务系统,以及将含有敏感信息保护的信息系统、承载公民个人信息保护的系统都包含进来,是非常有借鉴作用的。等级保护2.0的开展,对医疗机构而言,无疑是对其网络和信息安全能力提出了进一步要求。
另外,中国软件评测中心网安中心提醒广大医疗行业网络运营者,《网络安全等级保护条例(征求意见稿)》中明确要求“网络运营者应当在规划设计阶段确定网络的安全保护定级” 。对于第二级以上网络运营者,应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。
二、常规化风险评估、等级测评工作
医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可以自行开展安全评估,或者委托第三方单位开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况,安排当年的等级测评工作,按照要求定级为三级及以上的系统每年开展一次测评,选择公安部推荐目录中的等级保护测评机构开展安全测评。
医疗机构应按照要求常规化风险评估、等级测评工作,做到定期排查系统安全隐患,对于不符合要求项,信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间,测评完成后对未达到安全保护等级要求的问题进行整改,整改时间及程度依据系统安全现状及经费决定,不涉及购买设备、网络架构大变动小规模系统需要2周左右时间,总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。
三、强化纵深防御能力
