醫(yī)療行業(yè)在等保2.0時代該如何開展等級保護測評工作
在等保2.0發(fā)布之前,醫(yī)療行業(yè)就已經(jīng)是等級保護測評的重點對象了。因為醫(yī)療數(shù)據(jù)量大,很早就是實現(xiàn)了系統(tǒng)化管理。因此,在等保1.0時代,如何做好信息系統(tǒng)安全防護就是醫(yī)院需要重點關(guān)注的。但是隨著互聯(lián)網(wǎng)+的發(fā)展,醫(yī)療行業(yè)為了提供更便捷的就診服務(wù),也開始進行互聯(lián)網(wǎng)的部分接入。而在開放便捷的就業(yè)渠道的同時,也為黑客,以及一些不法分子提供了攻擊醫(yī)療網(wǎng)絡(luò)的渠道。因此,在等保2.0時代,醫(yī)療行業(yè)的測評對象也同樣需要進行拓展,由原來的信息系統(tǒng),拓展到新標準要求的測評范圍。等保2.0將云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用的場景列入標準范圍。但是由于醫(yī)療行業(yè)的行業(yè)特征和特殊性,因此,該如何開展等級保護測評工作,還需要結(jié)合自身實際,進行更為細致科學(xué)的調(diào)整。
首先,我們來了解醫(yī)療行業(yè)的等保測評工作要求的變化歷程:
2011年
國家衛(wèi)健委《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》規(guī)定了三級醫(yī)院重要業(yè)務(wù)系統(tǒng)(可由各省衛(wèi)健委自己定義)必須通過等保三級測評,二級醫(yī)院重要業(yè)務(wù)系統(tǒng)必須通過等保二級測評;
2016年
國家衛(wèi)健委《2016 三級綜合醫(yī)院評審標準考評辦法 ( 完整版 )》規(guī)定了重要業(yè)務(wù)系統(tǒng)必須達到等保三級標準才滿足三級醫(yī)院評審標準中對于網(wǎng)絡(luò)安全的要求;
2018年
國家衛(wèi)健委《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法(試行)》規(guī)定了承載健康醫(yī)療大數(shù)據(jù)的平臺必須通過等級保護(未規(guī)定級別),一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級甲等醫(yī)院,基本以三級等保為主;
2019年
國家衛(wèi)健委《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺必須通過等保三級測評。
其次,目前醫(yī)療行業(yè)面臨那些網(wǎng)絡(luò)安全方面的威脅呢?
中國信息通信研究院等機構(gòu)發(fā)布的《2019年健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀測報告》,也同樣披露了目前網(wǎng)絡(luò)安全風(fēng)險集中的幾個表現(xiàn):
第一是僵木蠕等問題嚴峻,勒索病毒嚴重威脅醫(yī)療業(yè)務(wù)正常運行;
第二是數(shù)據(jù)泄露事件高發(fā),應(yīng)用服務(wù)軟件存在較多安全隱患;
第三是醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機構(gòu)網(wǎng)站等都是境外機構(gòu)的重點攻擊對象,且網(wǎng)站篡改手法多變。
再者,醫(yī)療行業(yè)有很多醫(yī)院還沒有通過等級保護測評
中國醫(yī)院協(xié)會信息專業(yè)委員會(CHIMA)在去年發(fā)布了《2017-2018年度中國醫(yī)院信息化狀況調(diào)查報告》,其中對醫(yī)院實施等級保護情況做了專門章節(jié)介紹。據(jù)了解,在484家樣本醫(yī)院中,36.16%的醫(yī)院通過了等保測評。
其中,三級醫(yī)院實施等保工作情況明顯好于三級以下醫(yī)院,經(jīng)濟發(fā)達地區(qū)實施等保工作的比例高于中等發(fā)達地區(qū)和經(jīng)濟欠發(fā)達地區(qū)。
根據(jù)CHIMA發(fā)布的信息,日前在CHIMA組織的醫(yī)院網(wǎng)絡(luò)安全技術(shù)培訓(xùn)班上,北京市衛(wèi)生計生委信息中心副主任鄭攀介紹了北京市醫(yī)療行業(yè)等級保護情況。
我國醫(yī)院現(xiàn)有的安全保障體系尚處于初步建設(shè)階段,尚不足以應(yīng)對當前網(wǎng)絡(luò)安全威脅,行業(yè)整體網(wǎng)絡(luò)安全保障水平亟需提升。
最后,該如何開展等保測評工作呢?看看醫(yī)療行業(yè)的管理者怎么說。
安全就是‘三分技術(shù)、七分管理’,不是投入一堆硬件就安全了。很多高分通過等保三級的醫(yī)院后來還是出現(xiàn)了安全問題,所以管理一定要跟得上。”該院后續(xù)還將參考等保2.0標準,結(jié)合醫(yī)院實際情況,有選擇性地采取更多安全措施。( 據(jù)介紹,新疆人民醫(yī)院于2017年開始啟動等保3級,經(jīng)過一年多的建設(shè),在2018年順利通過測評。)
指出:醫(yī)院在開展網(wǎng)絡(luò)安全建設(shè)時可以遵循兩個原則:
一是醫(yī)院的信息系統(tǒng)不會因為硬件障而停運;
二是一定要對核心數(shù)據(jù)進行安全有效的備份。
深圳南山醫(yī)院網(wǎng)絡(luò)技術(shù)科主任表示,在國家出臺網(wǎng)絡(luò)安全等級保護2.0標準的背景下,醫(yī)院上云更加需要一種審慎的態(tài)度。尤其在選擇云端安全產(chǎn)品時,一定要提前考慮等保2.0標準的要求,這也是上云必須要解決的問題。
其外, 結(jié)合行業(yè)現(xiàn)狀和新標準要求,對醫(yī)療機構(gòu)開展網(wǎng)絡(luò)安全等級保護工作提出了五點建議。
第一,合理開展新業(yè)務(wù)系統(tǒng)及平臺的定級備案工作,如醫(yī)療大數(shù)據(jù)平臺、互聯(lián)網(wǎng)醫(yī)療平臺等。院內(nèi)如HIS、EMR等還未開展定級備案工作的傳統(tǒng)核心業(yè)務(wù)系統(tǒng),也需要加快等保建設(shè)步伐。
第二,在等保建設(shè)中嘗試采用新技術(shù)新手段加強醫(yī)院的安全技術(shù)防護和態(tài)勢感知建設(shè),以防范特種木馬或新型網(wǎng)絡(luò)攻擊。
第三,加強日常安全運維,引入可視化、統(tǒng)一運維等創(chuàng)新技術(shù),讓安全管理和運維更簡單并且更加有效。
第四,加強主動防御能力,并通過全方位、多視角的風(fēng)險分析,完善醫(yī)院網(wǎng)絡(luò)安全建設(shè)短板。從而降低安全風(fēng)險,提高信息系統(tǒng)健壯性。
第五,適當選擇安全廠商提供的安全服務(wù),彌補醫(yī)院專業(yè)安全技術(shù)人員不足。最大程度減少因網(wǎng)絡(luò)安全事件所帶來的醫(yī)院運營中斷以及管理成本增加的風(fēng)險。
總而言之,開展醫(yī)療行業(yè)的等保測評以及加固網(wǎng)絡(luò)安全等工作,需要參照等保2.0的標準開展。需要加強技術(shù)和管理的結(jié)合,從內(nèi)部網(wǎng)絡(luò)安全防護做起,提高醫(yī)護人員和醫(yī)療信息系統(tǒng)操作人員的網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全技術(shù)。同時通過提升網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全設(shè)備檢測能力,增強防御外界攻擊的能力。其外,引進網(wǎng)絡(luò)安全人才或者尋找安全服務(wù)商合作,是加強醫(yī)院自身的網(wǎng)絡(luò)安全防護能力的非常關(guān)鍵。做好安全防護基礎(chǔ)工作,是順利通過等級保護測評的基礎(chǔ),專業(yè)的測評機構(gòu)/安全服務(wù)商的專業(yè)指導(dǎo)能夠加快等級保護測評的進程。