监管剑指系统安全,医疗行业落实等保2.0分几步走?

字号:

  近年来,人工智能、大数据、移动互联网等新技术在医疗行业加速应用和落地,尤其受2020年新冠肺炎疫情的影响和刺激,传统医疗服务快速向互联网医疗、智慧医院等新业态转换,医疗行业数字化转型进程明显提速。

  与此同时,数字医疗领域的网络安全攻击和对抗也在不断升级演变,各类新型网络安全风险层出不穷,网络安全已成为医疗行业数字化发展过程中无法规避的重要问题。

  据中国信息通信研究院安全研究所发布的《数字医疗网络安全观测报告(2020年)》,医疗行业僵木蠕毒感染和网站篡改风险呈现上升趋势,新型的互联网医院受到更为严重的恶意程序感染,承受着更大的网络攻击压力,针对数字医疗领域的安全攻击仍在持续升温,医疗行业面临的网络安全形势依然十分严峻。

  其实,《网络安全法》已明确过,网络安全等级保护制度是我国网络安全管理的基本制度。2019年5月,等保2.0系列标准正式发布,增加了大数据、云计算、移动互联、物联网等新技术的安全要求。可以说,落实等保2.0标准要求,是保障医疗信息化、数字化应用安全的重要手段和方式。

  监管剑指医疗系统安全 行业落实等保制度刻不容缓

  目前,以医院为代表的医疗系统在落实等级保护制度方面还存在较大改善空间。2021年3月,中国医院协会信息专业委员会(CHIMA)发布的《2019-2020中国医院信息化状况调查报告》中,对医院信息化系统的等级保护落实情况做了介绍。在1017家参与调查的医院中,备案的一级网络安全保护系统有5个以上的医院数量占比为2.46%[25家],二级和三级网络安全保护备案系统有1个的占比分别为19.76%[201家]和21.34%[217家],仍有多数医院的信息化系统未进行系统备案,而系统备案是开展等级保护安全整改与测评的前提。

  早在2011年,国家卫健委就印发了《卫生行业信息安全等级保护工作的指导意见》,要求三级甲等医院核心业务系统(HIS系统、LIS系统、PACS系统、EMR系统等)必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评。2018年国家卫健委印发《互联网医院管理办法(试行)》,规定了承载互联网医院的平台要实施第三级信息安全等级保护,满足等保三级安全要求是申请互联网医院牌照的必备条件。国家卫健委印发的《三级医院评审标准(2020年版)》规定,医院应落实《网络安全法》,实施网络安全等级保护制度,对医院信息系统进行等级保护分级管理,保障医疗信息系统网络安全,保护患者隐私。

  医疗行业落实等保2.0制度 建议这样做

  1.合理开展系统定级备案

  医疗行业目前急需落实等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步,就是对这些系统进行合理的等级保护定级。

  2.根据定级结果开展安全建设整改工作

  医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可以自行开展安全评估,或者委托第三方专业安全咨询公司开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。对于不符合的要求项,系统运营、使用单位及时开展安全整改。

  3.开展等级测评工作

  医疗机构根据各系统的定级情况、建设整改情况,安排等级测评工作,按照监管要求,对定级为三级及以上的系统需每年开展一次安全测评。可通过选择公安部推荐目录中的等级保护测评机构开展安全测评工作。

  中国金融认证中心(CFCA)是一家以网络安全综合服务为核心的科技企业,拥有国家认可的“ 网络安全等级保护测评机构推荐证书”,多年来,服务客户覆盖金融机构、政府和大型企事业单位,在医疗行业也深耕多年,可提供全流程的等级保护测评服务:从前期定级备案指导到等保合规咨询,再到等级测评等一系列安全服务,助力客户顺利开展等保工作,落实网络安全等级保护制度,全面提升网络安全防护能力。

  作者:许定航、刘淑敏