醫(yī)療行業(yè)網(wǎng)絡(luò)安全等級保護(hù)政策匯總
醫(yī)療行業(yè)的網(wǎng)絡(luò)安全也是重中之重。早在2011年,原衛(wèi)生部就下發(fā)了《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》,其要求衛(wèi)生行業(yè)各單位限時完成單位系統(tǒng)的定級備案工作,同時要根據(jù)信息系統(tǒng)定級備案情況開展等級測評工作,查找安全差距和風(fēng)險隱患,并結(jié)合自身安全需求,制訂安全建設(shè)整改方案,最終通過等級測評。
由此可見,國家對于醫(yī)療行業(yè)的網(wǎng)絡(luò)安全問題也是十分重視。在《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》下發(fā)后,國家又陸續(xù)出臺了不少關(guān)于醫(yī)療行業(yè)網(wǎng)絡(luò)安全等級保護(hù)的政策法規(guī),以全面提高衛(wèi)生行業(yè)信息安全保障能力和水平,保障和促進(jìn)衛(wèi)生信息化健康發(fā)展。政策法規(guī)內(nèi)容及其解讀如下:
1、《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》(衛(wèi)辦綜函[2011]1126號)
重點(diǎn)解讀:文件要求在定級、整改測評過程中貫徹執(zhí)行國家相關(guān)標(biāo)準(zhǔn),衛(wèi)生行業(yè)各單位要按照“遵循標(biāo)準(zhǔn)、重點(diǎn)保護(hù)、行業(yè)指導(dǎo)、屬地管理,同步建設(shè)、動態(tài)完善”的原則,建立信息安全等級保護(hù)工作長效機(jī)制,這一年是衛(wèi)生行業(yè)的開始,很多醫(yī)院不是特別重視。
2、衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》的通知(衛(wèi)辦發(fā)〔2011〕85號)
重點(diǎn)解讀:明確三甲醫(yī)院核心業(yè)務(wù)系統(tǒng)(his系統(tǒng)、LIS系統(tǒng)、pacs系統(tǒng)、EMR系統(tǒng))按照信息安全等級保護(hù)三級要求進(jìn)行建設(shè)和保護(hù)。
3、2012年5月21日 《關(guān)于印發(fā)基層醫(yī)療衛(wèi)生機(jī)構(gòu)管理信息系統(tǒng)建設(shè)項(xiàng)目指導(dǎo)意見的通知》
重點(diǎn)解讀:在制度建設(shè)中,加強(qiáng)系統(tǒng)日常運(yùn)行維護(hù)、系統(tǒng)監(jiān)控、安全護(hù)、應(yīng)急處理等方面的標(biāo)準(zhǔn)規(guī)范和規(guī)章制度。
4、國務(wù)院辦公廳關(guān)于印發(fā)《政府網(wǎng)站發(fā)展指引的通知》(國辦發(fā)[2017] 47號文)
重點(diǎn)解讀:被列為關(guān)鍵信息基礎(chǔ)設(shè)施的政府網(wǎng)站要在嚴(yán)格執(zhí)行等級保護(hù)的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù),不得使用未通過安全審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。醫(yī)院作為關(guān)鍵信息基礎(chǔ)設(shè)施,應(yīng)按照此要求定期開展安全評估。
5、2018年4月2日《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》對各醫(yī)院的網(wǎng)絡(luò)安全有了明確要求。
重點(diǎn)解讀:安全建設(shè)要求為:保障數(shù)據(jù)中心安全、終端安全、網(wǎng)絡(luò)安全、容災(zāi)備份等4個方面,19個項(xiàng)目。
6、2018年4月18日《關(guān)于印發(fā)醫(yī)療質(zhì)量安全核心制度要點(diǎn)的通知》(國衛(wèi)醫(yī)發(fā)[2018]8號)
重點(diǎn)解讀:文件第18條第二點(diǎn)明確指出:醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)建立覆蓋患者診療信管理全流程的制度和技術(shù)保障體系,完善組織架構(gòu),明確管理部門,落實(shí)信息安全等級保護(hù)等有關(guān)要求。
7、2019年5月31日國家衛(wèi)生健康委辦公廳關(guān)于印發(fā)《社區(qū)醫(yī)院基本標(biāo)準(zhǔn)和醫(yī)療質(zhì)量安全核心制度要點(diǎn)(試行)的通知》
重點(diǎn)解讀:文件中對電子病歷提出要求:應(yīng)當(dāng)建立電子病歷的記錄、修改、使用、存儲、傳輸、質(zhì)控、安全等級保護(hù)等管理制度。社區(qū)醫(yī)院也要落實(shí)等保制度要求。
8、2019年8月12日上海市衛(wèi)健委發(fā)布《上海市互聯(lián)網(wǎng)醫(yī)院管理辦法》
重點(diǎn)解讀:第二十三條(信息系統(tǒng)建設(shè))規(guī)定,互聯(lián)網(wǎng)醫(yī)院應(yīng)按照《網(wǎng)絡(luò)安全法》 《網(wǎng)絡(luò)安全等級保護(hù)條例》 《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》 《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》 《互聯(lián)網(wǎng)醫(yī)院基本標(biāo)準(zhǔn)》等法律法規(guī)規(guī)定建立信息系統(tǒng),配備信息專業(yè)技術(shù)人員,遵守互聯(lián)網(wǎng)信息安全相關(guān)法律法規(guī)。
互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》第三級標(biāo)準(zhǔn)完成定級備案和測評,每年應(yīng)依法開展測評,測評通過后應(yīng)提交系統(tǒng)年度測評報告。
9、2019年11月25日國家衛(wèi)生健康委辦公廳關(guān)于印發(fā)《國家呼吸醫(yī)學(xué)中心及國家呼吸區(qū)域醫(yī)療中心設(shè)置標(biāo)準(zhǔn)的通知》(國衛(wèi)辦醫(yī)函〔2019〕851號)
重點(diǎn)解讀:在信息化建設(shè)方面,要符合《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范》的要求,信息化功能要具備《醫(yī)院信息平臺應(yīng)用功能指引》的要求,信息技術(shù)要符合《醫(yī)院信息化建設(shè)應(yīng)用技術(shù)指引(2017版)》的要求,數(shù)據(jù)上報要符合國家和行業(yè)數(shù)據(jù)管理相關(guān)要求。
同時,醫(yī)院電子病歷建設(shè)達(dá)到國家衛(wèi)生健康委員會“電子病歷應(yīng)用等級測評”四級要求;信息平臺建設(shè)達(dá)到“醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測評”四級要求;醫(yī)院核心業(yè)務(wù)系統(tǒng)達(dá)到“國家信息安全等級保護(hù)制度”三級要求,使用國產(chǎn)密碼對核心數(shù)據(jù)進(jìn)行加密保護(hù)。