等保20时代,医疗健康行业如何做好网络

一、医疗健康行业所面临的网络安全风险明显增多

随着网络的快速发展，医疗行业信息化得到全面快速发展，互联网、大数据、云计算等新兴技术与传统医疗不断深化融合，促进了医疗服务水平的提升。尤其在年初新型冠状病毒肺炎疫情爆发以来，医院、基层医疗卫生机构、专业公共卫生机构等通过互联网提供网上预约挂号、 　　医疗行业目前急需落实网络安全等级保护的系统有两类，一是传统核心业务系统，二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。

早在年原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》明确以下五类重要卫生信息系统安全保护等级原则上不低于三级：

1.卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；

2.国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；

3.医院的核心业务信息系统；

4.卫生部网站系统；

5.其他经过信息安全技术专家委员会评定为第三级以上（含第三级的信息系统）。

但随着新兴技术的发展，等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列，显然年《指导意见》的覆盖范围已有局限性。年上海市卫生健康委员会《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》及时扩充了等保对象的范围，进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级，包括以下：

1.核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等；

2.区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。

3.满足如下条件之一的信息系统：

a、承载公民个人信息的信息系统；

b、承载核心业务信息（包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等）的信息系统；

c、与核心业务系统发生双向数据交换或业务协同的信息系统（包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等）；

d、承载国家法律法规需要落实敏感信息保护的信息系统；

e、医院对外形象医院重要信息（医院门户网站、统一登录平台、移动OA、移动App等）；

f、与其他按照等级保护要求运行维护的信息系统发生双向数据交换或业务协同的信息系统。

上海卫健委发布的定级范围可以说是紧跟国家相关政策法律法规，区分了核心业务系统、区域核心业务系统，以及将含有敏感信息保护的信息系统、承载公民个人信息保护的系统都包含进来，是非常有借鉴作用的。等级保护2.0的开展，无疑对医疗机构的网络和信息安全能力提出了进一步要求。

（二）将风险评估、等级测评列入年度工作计划中

医疗机构在完成定级备案工作后，由信息安全管理部门牵头进行安全建设整改工作，可以自行开展安全评估，或者委托第三方专业的安全咨询公司开展安全评估工作，依据等级保护标准对评估结果进行差距分析，查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况，安排当年的等级测评工作，按照要求定级为三级及以上的系统每年开展一次测评，选择公安部推荐目录中的等级保护测评机构开展安全测评。

医疗机构应按照要求常规化风险评估、等级测评工作，做到定期排查系统安全隐患，对于不符合要求项，信息系统运营、使用单位及时开展安全整改。

（三）分批次，逐年修正网络安全风险

在进行安全整改建设时，最快速简单的办法就是从网络整体架构出发，完善医疗机构网络安全建设，配备并配置必要的网络安全设备，形成纵深防御能力，确保系统中无高风险问题，其次再逐渐修正一些中低风险问题。例如，医院必须配备WEB防火墙，且应具备对SQL注入、跨站、扫描器扫描、信息泄露、文件传输攻击、操作系统命令注入、目录遍历、异常发现、webshell攻击检测、盗链行为、拒绝服务攻击防护、网页防篡改、身份认证、日志审计等14项安全功能中的12项功能。另诸如数据库防火墙、网络防火墙、网络安全审计、数据库审计、运维审计、主机安全审计、入侵防御设备、防病毒网关设备、上网行为管理、统一安全管理等也是必须部署的设备，这些都应列入第一梯队进行安全部署。

（四）

转载请注明：http://www.xibuniuzaiku.com/ylfz/10255.html