一�����、?項目建設背景
近年來針對醫(yī)院等醫(yī)療系統(tǒng)的網(wǎng)絡安全風險和網(wǎng)絡攻擊一直處于活躍狀態(tài)且呈現(xiàn)持續(xù)上升態(tài)勢���,整個醫(yī)療行業(yè)信息安全形勢不容樂觀。其中���,在我國多地醫(yī)院持續(xù)檢測出勒索病毒�����,有些醫(yī)院出現(xiàn)患者信息被盜等情況���。相關檢測報告顯示,僅在全國三甲醫(yī)院中���,今年就有數(shù)百家醫(yī)院檢出了勒索病毒,全國各地均有三甲醫(yī)院“中招”���。
2017年6月1日����,《中華人民共和國網(wǎng)絡安全法》正式頒布施行����,該法第二十一條明確規(guī)定“國家實行網(wǎng)絡安全等級保護制度”����。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求�����,履行安全保護義務����。
2019年5月13日,等級保護2.0系列標準正式發(fā)布����,標志著等級保護2.0的真正到來。
XXXX醫(yī)院信息化工作經(jīng)過多年的發(fā)展���,信息技術已得到了廣泛的應用����,主要業(yè)務系統(tǒng)如HIS����,PACS���,LIS,RIS����,EMR等都己實施并應用,為醫(yī)院發(fā)展和業(yè)務應用提供了較為良好的支撐���。
同時�,隨著數(shù)字化醫(yī)院評審標準的完善以及醫(yī)院等級保護測評政策要求的落實����,醫(yī)療衛(wèi)生系統(tǒng)圍繞HIS、EMR��、LIS�����、PACS等核心業(yè)務系統(tǒng)深入開展信息安全等級保護工作�,并在此基礎上指引后續(xù)信息化安全建設方向��。
通過對醫(yī)院信息化現(xiàn)狀調研��、分析,結合等級保護2.0版在安全物理環(huán)境����、安全通信網(wǎng)絡、安全區(qū)域邊界����、安全計算環(huán)境、安全管理中心���、安全管理制度��、安全管理機構��、安全管理人員���、安全建設管理、安全運維環(huán)境十個方面的要求��,協(xié)助醫(yī)院逐步完善信息安全組織��、落實安全責任制����,開展管理制度建設�、技術措施建設�,落實等級保護制度的各項要求,使得醫(yī)院信息系統(tǒng)安全管理水平提高�,安全保護能力增強,安全隱患和安全事故減少���,有效保障信息化健康發(fā)展���。
為了落地以上建設目標,保證信息系統(tǒng)的安全����、穩(wěn)定、可靠運行�����,我們對照《二級綜合醫(yī)院評審標準實施細則》���、《電子病歷評審》����、《河南省數(shù)字化醫(yī)院建設指南》�、《河南省數(shù)字化醫(yī)院評審標準》等要求,對XXXX醫(yī)院整體信息系統(tǒng)進行了統(tǒng)一梳理和信息安全防范體系規(guī)劃�,旨在保證醫(yī)院信息系統(tǒng)各組成部分能夠高效協(xié)同,對業(yè)務與應用提供強有力支撐��;同時還需要確保在總體方案規(guī)劃下的分步實施�。
二、?醫(yī)療行業(yè)相關信息安全政策分析
2.1��、《網(wǎng)絡安全法》
沒有網(wǎng)絡安全就沒有國家安全���,沒有信息化就沒有現(xiàn)代化��?!毒W(wǎng)絡安全法》是我國第一部網(wǎng)絡安全領域的法律�,是保障網(wǎng)絡安全的基本法。對網(wǎng)絡運營者��,提出了更高的要求���,同時增加了對違法個人的追責�。
醫(yī)療機構作為信息化的受益者���,同時����,更肩負了捍衛(wèi)信息系統(tǒng)安全的職責。
其中第21條明確規(guī)定:國家實行網(wǎng)絡安全等級保護制度���。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求����,履行下列安全保護義務���,保障網(wǎng)絡免受干擾�、破壞或者未經(jīng)授權的訪問���,防止網(wǎng)絡數(shù)據(jù)泄漏或者被竊取��、篡改�。
醫(yī)療機構如果未通過相對應的等級保護級別����,一旦發(fā)生網(wǎng)絡安全事故,將被處以警告和限期整改的處罰��。同時對直接責任人罰款還有限期整改的處罰。
醫(yī)療機構在利用信息技術提升整體運營效率的同時�,也會留存大量的患者隱私數(shù)據(jù),并且為了方便患者通過網(wǎng)絡查詢部分數(shù)據(jù)��,還會連通內外網(wǎng)�,這就會涉及到信息發(fā)布和隱私數(shù)據(jù)的泄露的問題����。
第47條,這一條是涉及到網(wǎng)絡信息安全方面的一條內容�,網(wǎng)絡運營者應該加強用戶發(fā)布信息管理的內容的監(jiān)控,禁止發(fā)布或者傳輸信息����。如果發(fā)現(xiàn)的話應該予以立即的停止傳輸,這實際上相當于網(wǎng)絡運營者有阻止違法信息組織這樣的一個義務����。
與之對應的法則就是第68條,網(wǎng)絡運營者如果沒有停止傳輸采取消除的措施��,輕則整改警告���,重則罰款�����,最嚴重可以達到暫停相關業(yè)務�����、停業(yè)整頓���、關閉網(wǎng)站���,吊銷相關營業(yè)資質,對直接責任人會處以罰款等相應的處罰��。對于信息的發(fā)布者也適用于本法則�����。
綜上�����,醫(yī)療機構作為信息系統(tǒng)的建設者�����、使用者、信息的發(fā)布者�,必須對信息安全足夠重視,一旦違法相關法律條文�����,醫(yī)療機構和直接責任人都將被追責����。
同時��,網(wǎng)絡安全法也充分肯定了等級保護制度以評促建的思路����,這就為等級保護2.0的順利實施奠定了法律的基礎。
2.2��、等保2.0
??等保2.0分為技術�����、管理兩大部分�。
1)技術部分可以通過新增安全設備,調試�、整改現(xiàn)有網(wǎng)絡設備的方式實現(xiàn)�����。
2)管理部分則需要制定較為完備的安全管理體系��、明確安全責任人等行政手段進行約束����,以安全服務的形式進行交付���。
2.2.1�、技術要求
?2.2.2���、管理要求
?通過提供安全管理制度��、安全管理機構�����、安全管理人員����、安全建設管理�����、安全運營管理五個部分入手,提供安全服務��,幫助客戶完善等級保護提出的相關管理要求���。
?
