近年來,人工智能、大數據、移動互聯網等新技術在醫療行業加速應用和落地,尤其受2020年新冠肺炎疫情的影響和刺激,傳統醫療服務快速向互聯網醫療、智慧醫院等新業態轉換,醫療行業數字化轉型進程明顯提速。
與此同時,數字醫療領域的網絡安全攻擊和對抗也在不斷升級演變,各類新型網絡安全風險層出不窮,網絡安全已成為醫療行業數字化發展過程中無法規避的重要問題。
據中國信息通信研究院安全研究所發布的《數字醫療網絡安全觀測報告(2020年)》,醫療行業僵木蠕毒感染和網站篡改風險呈現上升趨勢,新型的互聯網醫院受到更為嚴重的惡意程序感染,承受著更大的網絡攻擊壓力,針對數字醫療領域的安全攻擊仍在持續升溫,醫療行業面臨的網絡安全形勢依然十分嚴峻。
其實,《網絡安全法》已明確過,網絡安全等級保護制度是我國網絡安全管理的基本制度。2019年5月,等保2.0系列標準正式發布,增加了大數據、云計算、移動互聯、物聯網等新技術的安全要求??梢哉f,落實等保2.0標準要求,是保障醫療信息化、數字化應用安全的重要手段和方式。
監管劍指醫療系統安全 行業落實等保制度刻不容緩
目前,以醫院為代表的醫療系統在落實等級保護制度方面還存在較大改善空間。2021年3月,中國醫院協會信息專業委員會(CHIMA)發布的《2019-2020中國醫院信息化狀況調查報告》中,對醫院信息化系統的等級保護落實情況做了介紹。在1017家參與調查的醫院中,備案的一級網絡安全保護系統有5個以上的醫院數量占比為2.46%[25家],二級和三級網絡安全保護備案系統有1個的占比分別為19.76%[201家]和21.34%[217家],仍有多數醫院的信息化系統未進行系統備案,而系統備案是開展等級保護安全整改與測評的前提。
早在2011年,國家衛健委就印發了《衛生行業信息安全等級保護工作的指導意見》,要求三級甲等醫院核心業務系統(HIS系統、LIS系統、PACS系統、EMR系統等)必須通過等保三級測評,二級醫院重要業務系統必須通過等保二級測評。2018年國家衛健委印發《互聯網醫院管理辦法(試行)》,規定了承載互聯網醫院的平臺要實施第三級信息安全等級保護,滿足等保三級安全要求是申請互聯網醫院牌照的必備條件。國家衛健委印發的《三級醫院評審標準(2020年版)》規定,醫院應落實《網絡安全法》,實施網絡安全等級保護制度,對醫院信息系統進行等級保護分級管理,保障醫療信息系統網絡安全,保護患者隱私。
醫療行業落實等保2.0制度 建議這樣做
1.合理開展系統定級備案
醫療行業目前急需落實等級保護的系統有兩類,一是傳統核心業務系統,二是新建融合了各種新技術的信息系統。開展網絡安全等級保護工作的第一步,就是對這些系統進行合理的等級保護定級。
2.根據定級結果開展安全建設整改工作
醫療機構在完成定級備案工作后,由信息安全管理部門牽頭進行安全建設整改工作,可以自行開展安全評估,或者委托第三方專業安全咨詢公司開展安全評估工作,依據等級保護標準對評估結果進行差距分析,查看是否符合等級保護基本要求。對于不符合的要求項,系統運營、使用單位及時開展安全整改。
3.開展等級測評工作
醫療機構根據各系統的定級情況、建設整改情況,安排等級測評工作,按照監管要求,對定級為三級及以上的系統需每年開展一次安全測評??赏ㄟ^選擇公安部推薦目錄中的等級保護測評機構開展安全測評工作。
中國金融認證中心(CFCA)是一家以網絡安全綜合服務為核心的科技企業,擁有國家認可的“ 網絡安全等級保護測評機構推薦證書”,多年來,服務客戶覆蓋金融機構、政府和大型企事業單位,在醫療行業也深耕多年,可提供全流程的等級保護測評服務:從前期定級備案指導到等保合規咨詢,再到等級測評等一系列安全服務,助力客戶順利開展等保工作,落實網絡安全等級保護制度,全面提升網絡安全防護能力。
責任編輯:韓希宇
免責聲明:
中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。