合肥某醫(yī)院未落實等級保護工作遭處罰
近日合肥某私立醫(yī)院服務(wù)器因在建設(shè)過程中未進行等保測評備案突然陷入癱瘓,醫(yī)院業(yè)務(wù)全面“停擺”,合肥網(wǎng)警接警后立即啟動網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案,組織網(wǎng)安刑偵民警、勘驗民警、 管理民警、 技術(shù)支持專家趕赴現(xiàn)場對該案件進行調(diào)查核實。經(jīng)過技術(shù)專家調(diào)查核實,該私立醫(yī)院因未按照網(wǎng)絡(luò)安全等級保護制度要求履行安全保護義務(wù),黑客通過互聯(lián)網(wǎng)攻破醫(yī)院系統(tǒng)后植入勒索病毒,導(dǎo)致醫(yī)院業(yè)務(wù)全面“停擺”。
據(jù)了解該醫(yī)院HIS、LIS、 PACS、 EMR等后臺系統(tǒng)業(yè)務(wù)以及微信公眾號后臺、醫(yī)院網(wǎng)站等主要系統(tǒng)業(yè)務(wù)全部放置在同一套服務(wù)器中,醫(yī)院未安裝邊界防護設(shè)備、未安裝日志行為審計設(shè)備,未設(shè)置數(shù)據(jù)安全備份策略等其他網(wǎng)絡(luò)安全技術(shù)措施,使醫(yī)院業(yè)務(wù)在互聯(lián)網(wǎng)上長期處于“裸奔"狀態(tài)。公安部門按照公安部“一案雙查”工作要求,對醫(yī)院未按照網(wǎng)絡(luò)安全等級保護制度的要求履行安全保護義務(wù)的行為進行查處,并按照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條之規(guī)定,對醫(yī)院處以罰款一萬元,對直接負(fù)責(zé)的主管人員處以罰款五千元的行政處罰。
隨著互聯(lián)網(wǎng)技術(shù)和相關(guān)行業(yè)發(fā)展的日新月異,新的網(wǎng)絡(luò)攻擊手段層出不窮,令網(wǎng)絡(luò)安全的內(nèi)涵和外延變得愈加豐富,信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護信息安全的根本保障,是信息安全保障工作中國家意志的體現(xiàn)。信息安全等級保護工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段。信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家要求的等級保護測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。
根據(jù)國家衛(wèi)健委《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》,明確了全國二級以上醫(yī)院信息化建設(shè)的建設(shè)內(nèi)容和建設(shè)要求。未來全國醫(yī)院信息化應(yīng)用發(fā)展要求,針對二級醫(yī)院、三級乙等醫(yī)院和三級甲等醫(yī)院的臨床業(yè)務(wù)、醫(yī)院管理等工作,覆蓋醫(yī)院信息化建設(shè)的主要業(yè)務(wù)和建設(shè)要求,從軟硬件建設(shè)、安全保障、新興技術(shù)應(yīng)用等方面規(guī)范了醫(yī)院信息化建設(shè)的主要內(nèi)容和要求。建設(shè)標(biāo)準(zhǔn)按照二級、三級乙等和三級甲等醫(yī)院提出了具體要求。二級及以上醫(yī)院在醫(yī)院信息化建設(shè)過程中,要依據(jù)《建設(shè)標(biāo)準(zhǔn)》,符合電子病歷基本數(shù)據(jù)集、電子病歷共享文檔規(guī)范、以及基于電子病歷的醫(yī)院信息平臺技術(shù)規(guī)范等衛(wèi)生健康行業(yè)信息標(biāo)準(zhǔn),滿足《醫(yī)院信息平臺應(yīng)用功能指引》、《醫(yī)院信息 化建設(shè)應(yīng)用技術(shù)指引》和相關(guān)醫(yī)院數(shù)據(jù)上報管理規(guī)范的要求。婦幼保健院、??漆t(yī)院可參照執(zhí)行。
各省公安局網(wǎng)安總隊將依據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)的相關(guān)規(guī)定,進一步加大網(wǎng)絡(luò)安全監(jiān)管力度,對未落實網(wǎng)絡(luò)安全等級保護制度、網(wǎng)絡(luò)實名認(rèn)證、侵害公民個人信啟等違法行為,以及從事危害網(wǎng)絡(luò)安全的活動,或者為他人從事危害網(wǎng)絡(luò)安全的活動提供技術(shù)支持等幫助的違法行為嚴(yán)格依法查處,構(gòu)成犯罪的將依據(jù)《刑法修正案(九)》追究刑事責(zé)任。切實維護網(wǎng)絡(luò)信息安全和互聯(lián)網(wǎng)清朗空間。