线上义诊,名医直播,受疫情影响,医疗行业由线下走到线上,通过网络的力量帮助解决医疗资源合理利用的问题。随着互联网+医疗平台、大数据平台的使用加速扩大,越来越多的医疗数据存储在互联网中。如何保障医疗网络和数据安全成为行业面临的新问题。
面对严峻的网络安全形势,国家相关部门通过推出一系列的政策法规要求医疗行业落实网络安全等级保护制度。
2018年7月国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,规定承载医疗大数据的平台必须落实等级保护制度,健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。
2019年11月国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》,在信息化建设方面,医院核心业务系统达到“国家信息安全等级保护制度三级要求”。
2020年6月29日,国家卫健委发布《国家卫生健康委办公厅关于做好信息化支撑常态化疫情防控工作的通知》,要求严格按照《网络安全法》及其配套的网络安全等级保护、关键信息基础设施安全保护等法规标准的要求,建立完善网络安全相关制度,健全网络安全信息通报预警机制。
落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。不少地方医院因安全意识淡薄,未能履行网络安全等级保护制度,使得医院业务长期在互联网上处于“裸奔”状态,更有甚者因此导致服务器被攻击,业务停摆,最终被当地公安部门行政警告并处罚。
勒索病毒、数据泄漏、网站篡改是医疗行业网络与数据安全风险的三个主要方面。传统核心业务系统和新建融合了各种新技术的信息系统是医疗行业亟需落实网络安全等级保护的两大系统。医疗行业应该如何做等保?结合多年实践经验提出以下建议:
首先是定级备案。国家卫生健康委员会发布的《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》中,明确提出了互联网医院要实施第三级信息安全等级保护等规定。《网络安全等级保护条例(征求意见稿)》中要求“网络运营者应当在规划设计阶段确定网络的安全保护定级” 。对于第二级以上网络运营者,应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。
定级备案后医疗机构需要选择有资质的等保测评机构开展安全测评。按照要求,定级为三级及以上的系统需要每年开展一次测评。测评后,依据网络安全等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。
对不符合要求项需要及时做安全整改。测评机构会提出整改意见,医疗机构需要根据意见购买安全设备。鉴于医疗行业数据的重要性,做好数据备份、数据加密存储和传输工作十分有必要。在做好整改工作后,系统评分达到70分以上才算合格。一系列工作完成后,医疗机构仍需要定期排查系统安全隐患,确保系统中持续无高风险问题。
参照等保2.0标准,医疗行业需要加强技术和管理的结合,从内部网络安全防护做起,提高医护人员和医疗信息系统操作人员的网络安全意识和网络安全技术,提升网络安全设备检测能力,增强防御外界攻击的能力。