在等保2.0发布之前,医疗行业就已经是等级保护测评的重点对象了。因为医疗数据量大,很早就是实现了系统化管理。随着互联网+的发展,医疗行业为了提供更便捷的就诊服务,也开始进行互联网的部分接入。而在开放便捷的就业渠道的同时,医疗行业面临的网络安全风险也逐渐增多,我国医疗行业仍存在等级保护工作落实情况不佳、整体安全风险较高、医疗信息系统的安全防护水平相对落后的问题,也为黑客,以及一些不法分子提供了攻击医疗系统的渠道。
政策支持 2011年 国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评; 2016年 国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求。 2018年 国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了承载健康医疗大数据的平台必须必须落实等级保护制度,健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。 2018年 国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评。 2019年 国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》,在信息化建设方面,医院核心业务系统达到“国家信息安全等级保护制度三级要求”。 医疗行业开展等保工作建议 ●合理开展新业务系统及平台的定级备案工作,如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐。 ●在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。 ●加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效。 ●加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性。 ●适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。
