一、?項(xiàng)目建設(shè)背景
近年來(lái)針對(duì)醫(yī)院等醫(yī)療系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)攻擊一直處于活躍狀態(tài)且呈現(xiàn)持續(xù)上升態(tài)勢(shì)��,整個(gè)醫(yī)療行業(yè)信息安全形勢(shì)不容樂觀���。其中,在我國(guó)多地醫(yī)院持續(xù)檢測(cè)出勒索病毒����,有些醫(yī)院出現(xiàn)患者信息被盜等情況。相關(guān)檢測(cè)報(bào)告顯示����,僅在全國(guó)三甲醫(yī)院中,今年就有數(shù)百家醫(yī)院檢出了勒索病毒,全國(guó)各地均有三甲醫(yī)院“中招”���。
2017年6月1日��,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布施行�����,該法第二十一條明確規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”�。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求���,履行安全保護(hù)義務(wù)��。
2019年5月13日�����,等級(jí)保護(hù)2.0系列標(biāo)準(zhǔn)正式發(fā)布�����,標(biāo)志著等級(jí)保護(hù)2.0的真正到來(lái)���。
XXXX醫(yī)院信息化工作經(jīng)過多年的發(fā)展,信息技術(shù)已得到了廣泛的應(yīng)用,主要業(yè)務(wù)系統(tǒng)如HIS�,PACS,LIS�����,RIS���,EMR等都己實(shí)施并應(yīng)用�,為醫(yī)院發(fā)展和業(yè)務(wù)應(yīng)用提供了較為良好的支撐�。
同時(shí),隨著數(shù)字化醫(yī)院評(píng)審標(biāo)準(zhǔn)的完善以及醫(yī)院等級(jí)保護(hù)測(cè)評(píng)政策要求的落實(shí)�,醫(yī)療衛(wèi)生系統(tǒng)圍繞HIS、EMR���、LIS、PACS等核心業(yè)務(wù)系統(tǒng)深入開展信息安全等級(jí)保護(hù)工作���,并在此基礎(chǔ)上指引后續(xù)信息化安全建設(shè)方向���。
通過對(duì)醫(yī)院信息化現(xiàn)狀調(diào)研、分析���,結(jié)合等級(jí)保護(hù)2.0版在安全物理環(huán)境��、安全通信網(wǎng)絡(luò)��、安全區(qū)域邊界����、安全計(jì)算環(huán)境、安全管理中心��、安全管理制度��、安全管理機(jī)構(gòu)����、安全管理人員、安全建設(shè)管理����、安全運(yùn)維環(huán)境十個(gè)方面的要求,協(xié)助醫(yī)院逐步完善信息安全組織�����、落實(shí)安全責(zé)任制�����,開展管理制度建設(shè)、技術(shù)措施建設(shè)�,落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求,使得醫(yī)院信息系統(tǒng)安全管理水平提高�,安全保護(hù)能力增強(qiáng),安全隱患和安全事故減少�,有效保障信息化健康發(fā)展。
為了落地以上建設(shè)目標(biāo)���,保證信息系統(tǒng)的安全�、穩(wěn)定��、可靠運(yùn)行����,我們對(duì)照《二級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)實(shí)施細(xì)則》、《電子病歷評(píng)審》����、《河南省數(shù)字化醫(yī)院建設(shè)指南》���、《河南省數(shù)字化醫(yī)院評(píng)審標(biāo)準(zhǔn)》等要求�,對(duì)XXXX醫(yī)院整體信息系統(tǒng)進(jìn)行了統(tǒng)一梳理和信息安全防范體系規(guī)劃,旨在保證醫(yī)院信息系統(tǒng)各組成部分能夠高效協(xié)同����,對(duì)業(yè)務(wù)與應(yīng)用提供強(qiáng)有力支撐;同時(shí)還需要確保在總體方案規(guī)劃下的分步實(shí)施�。
二、?醫(yī)療行業(yè)相關(guān)信息安全政策分析
2.1�����、《網(wǎng)絡(luò)安全法》
沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全���,沒有信息化就沒有現(xiàn)代化�����?�!毒W(wǎng)絡(luò)安全法》是我國(guó)第一部網(wǎng)絡(luò)安全領(lǐng)域的法律����,是保障網(wǎng)絡(luò)安全的基本法�。對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者,提出了更高的要求�����,同時(shí)增加了對(duì)違法個(gè)人的追責(zé)。
醫(yī)療機(jī)構(gòu)作為信息化的受益者���,同時(shí)����,更肩負(fù)了捍衛(wèi)信息系統(tǒng)安全的職責(zé)����。
其中第21條明確規(guī)定:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求�,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾����、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄漏或者被竊取����、篡改。
醫(yī)療機(jī)構(gòu)如果未通過相對(duì)應(yīng)的等級(jí)保護(hù)級(jí)別���,一旦發(fā)生網(wǎng)絡(luò)安全事故���,將被處以警告和限期整改的處罰。同時(shí)對(duì)直接責(zé)任人罰款還有限期整改的處罰���。
醫(yī)療機(jī)構(gòu)在利用信息技術(shù)提升整體運(yùn)營(yíng)效率的同時(shí)�����,也會(huì)留存大量的患者隱私數(shù)據(jù)��,并且為了方便患者通過網(wǎng)絡(luò)查詢部分?jǐn)?shù)據(jù)�,還會(huì)連通內(nèi)外網(wǎng)�,這就會(huì)涉及到信息發(fā)布和隱私數(shù)據(jù)的泄露的問題。
第47條�����,這一條是涉及到網(wǎng)絡(luò)信息安全方面的一條內(nèi)容����,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)該加強(qiáng)用戶發(fā)布信息管理的內(nèi)容的監(jiān)控,禁止發(fā)布或者傳輸信息���。如果發(fā)現(xiàn)的話應(yīng)該予以立即的停止傳輸��,這實(shí)際上相當(dāng)于網(wǎng)絡(luò)運(yùn)營(yíng)者有阻止違法信息組織這樣的一個(gè)義務(wù)�����。
與之對(duì)應(yīng)的法則就是第68條�����,網(wǎng)絡(luò)運(yùn)營(yíng)者如果沒有停止傳輸采取消除的措施����,輕則整改警告,重則罰款��,最嚴(yán)重可以達(dá)到暫停相關(guān)業(yè)務(wù)�����、停業(yè)整頓��、關(guān)閉網(wǎng)站���,吊銷相關(guān)營(yíng)業(yè)資質(zhì)�����,對(duì)直接責(zé)任人會(huì)處以罰款等相應(yīng)的處罰�。對(duì)于信息的發(fā)布者也適用于本法則�����。
綜上�,醫(yī)療機(jī)構(gòu)作為信息系統(tǒng)的建設(shè)者、使用者���、信息的發(fā)布者���,必須對(duì)信息安全足夠重視,一旦違法相關(guān)法律條文���,醫(yī)療機(jī)構(gòu)和直接責(zé)任人都將被追責(zé)���。
同時(shí),網(wǎng)絡(luò)安全法也充分肯定了等級(jí)保護(hù)制度以評(píng)促建的思路�,這就為等級(jí)保護(hù)2.0的順利實(shí)施奠定了法律的基礎(chǔ)。
2.2�����、等保2.0
??等保2.0分為技術(shù)、管理兩大部分�。
1)技術(shù)部分可以通過新增安全設(shè)備,調(diào)試�����、整改現(xiàn)有網(wǎng)絡(luò)設(shè)備的方式實(shí)現(xiàn)����。
2)管理部分則需要制定較為完備的安全管理體系、明確安全責(zé)任人等行政手段進(jìn)行約束��,以安全服務(wù)的形式進(jìn)行交付����。
2.2.1、技術(shù)要求
?2.2.2���、管理要求
?通過提供安全管理制度����、安全管理機(jī)構(gòu)�、安全管理人員����、安全建設(shè)管理���、安全運(yùn)營(yíng)管理五個(gè)部分入手���,提供安全服務(wù)�����,幫助客戶完善等級(jí)保護(hù)提出的相關(guān)管理要求��。
?
