一���、?項(xiàng)目建設(shè)背景
近年來針對醫(yī)院等醫(yī)療系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險和網(wǎng)絡(luò)攻擊一直處于活躍狀態(tài)且呈現(xiàn)持續(xù)上升態(tài)勢�����,整個醫(yī)療行業(yè)信息安全形勢不容樂觀�。其中��,在我國多地醫(yī)院持續(xù)檢測出勒索病毒�,有些醫(yī)院出現(xiàn)患者信息被盜等情況���。相關(guān)檢測報告顯示�,僅在全國三甲醫(yī)院中�,今年就有數(shù)百家醫(yī)院檢出了勒索病毒,全國各地均有三甲醫(yī)院“中招”�����。
2017年6月1日���,《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布施行���,該法第二十一條明確規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求����,履行安全保護(hù)義務(wù)。
2019年5月13日��,等級保護(hù)2.0系列標(biāo)準(zhǔn)正式發(fā)布,標(biāo)志著等級保護(hù)2.0的真正到來�。
XXXX醫(yī)院信息化工作經(jīng)過多年的發(fā)展���,信息技術(shù)已得到了廣泛的應(yīng)用�����,主要業(yè)務(wù)系統(tǒng)如HIS��,PACS�����,LIS����,RIS���,EMR等都己實(shí)施并應(yīng)用����,為醫(yī)院發(fā)展和業(yè)務(wù)應(yīng)用提供了較為良好的支撐�。
同時,隨著數(shù)字化醫(yī)院評審標(biāo)準(zhǔn)的完善以及醫(yī)院等級保護(hù)測評政策要求的落實(shí),醫(yī)療衛(wèi)生系統(tǒng)圍繞HIS���、EMR�����、LIS�、PACS等核心業(yè)務(wù)系統(tǒng)深入開展信息安全等級保護(hù)工作�,并在此基礎(chǔ)上指引后續(xù)信息化安全建設(shè)方向。
通過對醫(yī)院信息化現(xiàn)狀調(diào)研��、分析���,結(jié)合等級保護(hù)2.0版在安全物理環(huán)境��、安全通信網(wǎng)絡(luò)��、安全區(qū)域邊界�����、安全計算環(huán)境�����、安全管理中心�、安全管理制度、安全管理機(jī)構(gòu)�����、安全管理人員��、安全建設(shè)管理��、安全運(yùn)維環(huán)境十個方面的要求����,協(xié)助醫(yī)院逐步完善信息安全組織��、落實(shí)安全責(zé)任制����,開展管理制度建設(shè)、技術(shù)措施建設(shè)���,落實(shí)等級保護(hù)制度的各項(xiàng)要求����,使得醫(yī)院信息系統(tǒng)安全管理水平提高,安全保護(hù)能力增強(qiáng)�,安全隱患和安全事故減少,有效保障信息化健康發(fā)展�。
為了落地以上建設(shè)目標(biāo),保證信息系統(tǒng)的安全�����、穩(wěn)定�、可靠運(yùn)行,我們對照《二級綜合醫(yī)院評審標(biāo)準(zhǔn)實(shí)施細(xì)則》��、《電子病歷評審》���、《河南省數(shù)字化醫(yī)院建設(shè)指南》�����、《河南省數(shù)字化醫(yī)院評審標(biāo)準(zhǔn)》等要求����,對XXXX醫(yī)院整體信息系統(tǒng)進(jìn)行了統(tǒng)一梳理和信息安全防范體系規(guī)劃����,旨在保證醫(yī)院信息系統(tǒng)各組成部分能夠高效協(xié)同�,對業(yè)務(wù)與應(yīng)用提供強(qiáng)有力支撐���;同時還需要確保在總體方案規(guī)劃下的分步實(shí)施��。
二����、?醫(yī)療行業(yè)相關(guān)信息安全政策分析
2.1�、《網(wǎng)絡(luò)安全法》
沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化����?����!毒W(wǎng)絡(luò)安全法》是我國第一部網(wǎng)絡(luò)安全領(lǐng)域的法律����,是保障網(wǎng)絡(luò)安全的基本法。對網(wǎng)絡(luò)運(yùn)營者�,提出了更高的要求,同時增加了對違法個人的追責(zé)��。
醫(yī)療機(jī)構(gòu)作為信息化的受益者,同時�����,更肩負(fù)了捍衛(wèi)信息系統(tǒng)安全的職責(zé)��。
其中第21條明確規(guī)定:國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度��。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求�����,履行下列安全保護(hù)義務(wù)���,保障網(wǎng)絡(luò)免受干擾�、破壞或者未經(jīng)授權(quán)的訪問�,防止網(wǎng)絡(luò)數(shù)據(jù)泄漏或者被竊取、篡改���。
醫(yī)療機(jī)構(gòu)如果未通過相對應(yīng)的等級保護(hù)級別��,一旦發(fā)生網(wǎng)絡(luò)安全事故�����,將被處以警告和限期整改的處罰�����。同時對直接責(zé)任人罰款還有限期整改的處罰�。
醫(yī)療機(jī)構(gòu)在利用信息技術(shù)提升整體運(yùn)營效率的同時,也會留存大量的患者隱私數(shù)據(jù)����,并且為了方便患者通過網(wǎng)絡(luò)查詢部分?jǐn)?shù)據(jù),還會連通內(nèi)外網(wǎng)�,這就會涉及到信息發(fā)布和隱私數(shù)據(jù)的泄露的問題。
第47條�����,這一條是涉及到網(wǎng)絡(luò)信息安全方面的一條內(nèi)容����,網(wǎng)絡(luò)運(yùn)營者應(yīng)該加強(qiáng)用戶發(fā)布信息管理的內(nèi)容的監(jiān)控����,禁止發(fā)布或者傳輸信息。如果發(fā)現(xiàn)的話應(yīng)該予以立即的停止傳輸���,這實(shí)際上相當(dāng)于網(wǎng)絡(luò)運(yùn)營者有阻止違法信息組織這樣的一個義務(wù)�����。
與之對應(yīng)的法則就是第68條��,網(wǎng)絡(luò)運(yùn)營者如果沒有停止傳輸采取消除的措施��,輕則整改警告�����,重則罰款�,最嚴(yán)重可以達(dá)到暫停相關(guān)業(yè)務(wù)、停業(yè)整頓���、關(guān)閉網(wǎng)站��,吊銷相關(guān)營業(yè)資質(zhì)�,對直接責(zé)任人會處以罰款等相應(yīng)的處罰�����。對于信息的發(fā)布者也適用于本法則。
綜上���,醫(yī)療機(jī)構(gòu)作為信息系統(tǒng)的建設(shè)者�、使用者�、信息的發(fā)布者,必須對信息安全足夠重視�,一旦違法相關(guān)法律條文,醫(yī)療機(jī)構(gòu)和直接責(zé)任人都將被追責(zé)�����。
同時���,網(wǎng)絡(luò)安全法也充分肯定了等級保護(hù)制度以評促建的思路�,這就為等級保護(hù)2.0的順利實(shí)施奠定了法律的基礎(chǔ)�����。
2.2��、等保2.0
??等保2.0分為技術(shù)�、管理兩大部分��。
1)技術(shù)部分可以通過新增安全設(shè)備�,調(diào)試�����、整改現(xiàn)有網(wǎng)絡(luò)設(shè)備的方式實(shí)現(xiàn)�。
2)管理部分則需要制定較為完備的安全管理體系��、明確安全責(zé)任人等行政手段進(jìn)行約束�,以安全服務(wù)的形式進(jìn)行交付。
2.2.1����、技術(shù)要求
?2.2.2、管理要求
?通過提供安全管理制度�����、安全管理機(jī)構(gòu)����、安全管理人員、安全建設(shè)管理��、安全運(yùn)營管理五個部分入手�����,提供安全服務(wù),幫助客戶完善等級保護(hù)提出的相關(guān)管理要求�����。
?
