合肥醫(yī)院等級(jí)保護(hù)怎么做?一般做幾級(jí)?
醫(yī)院是一個(gè)國(guó)家的重要的基礎(chǔ)建設(shè)之一。救死護(hù)傷,是醫(yī)院職責(zé),隨著信息技術(shù)的普及,網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)成為醫(yī)院這個(gè)生態(tài)圈的一個(gè)重要組成部分,為人民的就業(yè)帶來(lái)便捷。但是由于這些技術(shù)的引進(jìn),一個(gè)封閉的醫(yī)院數(shù)據(jù)生態(tài)系統(tǒng),為外界提供了更多的入口,這些入口也成為很多網(wǎng)絡(luò)攻擊的目標(biāo)。因此,對(duì)于醫(yī)院來(lái)說(shuō),除了做好本職的工作外,醫(yī)院的網(wǎng)絡(luò)安全工作也需要的得到重視。同時(shí)也被要求開展等級(jí)保護(hù)工作,針對(duì)數(shù)據(jù)重要性開展分級(jí)保護(hù)工作。
醫(yī)院的等級(jí)保護(hù)工作早2011年就開展了,在去年把互聯(lián)醫(yī)院平臺(tái)也列入了等級(jí)保護(hù)測(cè)評(píng)。具體的相關(guān)文件發(fā)布時(shí)間如下:
2011年
國(guó)家衛(wèi)健委《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》規(guī)定了三級(jí)醫(yī)院重要業(yè)務(wù)系統(tǒng)(可由各省衛(wèi)健委自己定義)必須通過(guò)等保三級(jí)測(cè)評(píng),二級(jí)醫(yī)院重要業(yè)務(wù)系統(tǒng)必須通過(guò)等保二級(jí)測(cè)評(píng);
2016年
國(guó)家衛(wèi)健委《2016 三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)考評(píng)辦法 ( 完整版 )》規(guī)定了重要業(yè)務(wù)系統(tǒng)必須達(dá)到等保三級(jí)標(biāo)準(zhǔn)才滿足三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)中對(duì)于網(wǎng)絡(luò)安全的要求;
2018年
國(guó)家衛(wèi)健委《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》規(guī)定了承載健康醫(yī)療大數(shù)據(jù)的平臺(tái)必須通過(guò)等級(jí)保護(hù)(未規(guī)定級(jí)別),一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級(jí)甲等醫(yī)院,基本以三級(jí)等保為主;
2018年
國(guó)家衛(wèi)健委《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺(tái)必須通過(guò)等保三級(jí)測(cè)評(píng)。
根據(jù)上述醫(yī)院開展等級(jí)保護(hù)的相關(guān)意見和管理辦法的規(guī)定來(lái)看,一般建議醫(yī)院這樣來(lái)定級(jí)。
醫(yī)院內(nèi)部重要的信息系統(tǒng),建議這些內(nèi)網(wǎng)的數(shù)據(jù)信息系統(tǒng)開展等級(jí)保護(hù)三級(jí)測(cè)評(píng),并且實(shí)現(xiàn)相關(guān)的等保建設(shè)和安全防護(hù),具體的測(cè)評(píng)對(duì)象如下:
醫(yī)院信息系統(tǒng)(HIS)
實(shí)驗(yàn)室(檢驗(yàn)科)信息系統(tǒng)(LIS)
醫(yī)學(xué)影像信息系統(tǒng)(PACS)
電子病歷系統(tǒng)
與患者交流的其他服務(wù)系統(tǒng)
一些對(duì)外開放的信息系統(tǒng)或者網(wǎng)站,主要用于OA,建議這些信息系統(tǒng)實(shí)施等級(jí)保護(hù)二級(jí)工作,開展相關(guān)的測(cè)評(píng)和建設(shè),具體的測(cè)評(píng)對(duì)象如下:
門戶網(wǎng)站
醫(yī)院資源(財(cái)務(wù)業(yè)務(wù)一體化)規(guī)劃系統(tǒng)(HRP)
其他涉及重要信息的業(yè)務(wù)系統(tǒng)
等級(jí)保護(hù)二級(jí),一般每?jī)赡曛辽匍_展一次測(cè)評(píng),等級(jí)保護(hù)三級(jí)以上的系統(tǒng),每年都需要開展測(cè)評(píng),這是都所有行業(yè)的規(guī)定,因此醫(yī)院也需要按照這些規(guī)定開展測(cè)評(píng)工作。
醫(yī)療機(jī)構(gòu)信息安全等級(jí)保護(hù)的需求背景
衛(wèi)生醫(yī)療行業(yè)信息安全工作是我國(guó)衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級(jí)保護(hù)工作,對(duì)于促進(jìn)衛(wèi)生醫(yī)療信息化健康發(fā)展,保障醫(yī)藥衛(wèi)生體制改革,維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要意義。
某某醫(yī)院三級(jí)等保建設(shè)拓?fù)?
為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度,規(guī)范和指導(dǎo)全國(guó)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作,按照公安部《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》(公信安〔2009〕1429號(hào))要求,衛(wèi)生部結(jié)合衛(wèi)生行業(yè)實(shí)際,特研究制定了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》(衛(wèi)辦發(fā)〔2011〕85號(hào))和《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》(衛(wèi)辦綜函〔2011〕1126號(hào))來(lái)指導(dǎo)衛(wèi)生醫(yī)療行業(yè)的信息安全建設(shè)工作。
醫(yī)療機(jī)構(gòu)信息安全等級(jí)保護(hù)的安全需求
任何的安全事件所導(dǎo)致的醫(yī)院業(yè)務(wù)系統(tǒng)宕機(jī),都會(huì)降低患者的就醫(yī)滿意度同時(shí)醫(yī)院的信息數(shù)據(jù)泄漏問(wèn)題影響很大損害了醫(yī)院的信譽(yù),處理不當(dāng)則可能會(huì)引起醫(yī)患糾紛、法律問(wèn)題甚至社會(huì)問(wèn)題。綜上所述,當(dāng)前三甲醫(yī)院面臨的主要問(wèn)題有以下幾個(gè)方面:
醫(yī)院信息系統(tǒng)互聯(lián)互通的實(shí)現(xiàn),使得醫(yī)院信息系統(tǒng)面臨更多來(lái)自外部的威脅(邊界防護(hù)及邊界訪問(wèn)控制)
安全意識(shí)的淡薄以及管理制度的不完善,面臨著來(lái)自內(nèi)部的人為失誤或蓄意破壞、信息竊?。☉?yīng)用風(fēng)險(xiǎn))
三甲醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價(jià)值,漸漸得到灰色產(chǎn)業(yè)鏈的覬覦(應(yīng)用風(fēng)險(xiǎn))
安全事件造成的損失以及醫(yī)院信息系統(tǒng)恢復(fù)的成本(備份恢復(fù))
缺乏安全技術(shù)人員以及安全管理制度(三級(jí)等保制度)
面對(duì)外部網(wǎng)絡(luò)威脅的恐慌,導(dǎo)致了醫(yī)院信息化發(fā)展的裹足不前
醫(yī)改對(duì)醫(yī)院信息共享、遠(yuǎn)程醫(yī)療協(xié)助的政策導(dǎo)向,延伸出的信息安全保障
中新醫(yī)療機(jī)構(gòu)信息安全等級(jí)保護(hù)解決方案特點(diǎn)
對(duì)于三甲醫(yī)院的信息系統(tǒng)而言,安全建設(shè)應(yīng)該主要考慮以下幾個(gè)方面:
醫(yī)院信息安全建設(shè)將從事前預(yù)防,事中減損,和事后糾正三個(gè)方面提供全面的防護(hù)策略,全面提升提高醫(yī)院
安全防護(hù)能力;
重點(diǎn)防護(hù)對(duì)外WEB應(yīng)用,降低數(shù)據(jù)泄露風(fēng)險(xiǎn)、支撐WEB可用性以及控制惡意訪問(wèn);
采用VPN技術(shù)保證醫(yī)院與分支醫(yī)療機(jī)構(gòu)、醫(yī)院與上下級(jí)機(jī)構(gòu)以及醫(yī)院與移動(dòng)醫(yī)護(hù)工作者的的安全數(shù)據(jù)交換;
加強(qiáng)主動(dòng)防御能力,通過(guò)全方位、多視角的風(fēng)險(xiǎn)分析,完善醫(yī)院信息系統(tǒng)漏洞,降低安全風(fēng)險(xiǎn),提高信息系
統(tǒng)健壯性;
Bypass部署設(shè)計(jì),一旦安全設(shè)備出現(xiàn)異常,將自動(dòng)重啟系統(tǒng)或者啟用bypass,實(shí)現(xiàn)醫(yī)院業(yè)務(wù)零斷網(wǎng);
提升醫(yī)院IT設(shè)備運(yùn)維審計(jì)能力,最小化避免操作失誤以及蓄意破壞帶來(lái)的損失;
采用集中統(tǒng)一的安全管理形式,提高安全管理效率;
選用安全服務(wù)外包模式,彌補(bǔ)醫(yī)院專業(yè)安全技術(shù)人員的缺失,最大程度上減少醫(yī)院運(yùn)營(yíng)中斷和管理成本;
根據(jù)上級(jí)主管部門的政策指導(dǎo),依據(jù)信息安全等級(jí)保護(hù)要求,對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行等級(jí)保護(hù)建設(shè)。