醫(yī)療行業(yè)網絡安全等級保護政策匯總
醫(yī)療行業(yè)的網絡安全也是重中之重。早在2011年,原衛(wèi)生部就下發(fā)了《關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》,其要求衛(wèi)生行業(yè)各單位限時完成單位系統(tǒng)的定級備案工作,同時要根據信息系統(tǒng)定級備案情況開展等級測評工作,查找安全差距和風險隱患,并結合自身安全需求,制訂安全建設整改方案,最終通過等級測評。
由此可見,國家對于醫(yī)療行業(yè)的網絡安全問題也是十分重視。在《關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》下發(fā)后,國家又陸續(xù)出臺了不少關于醫(yī)療行業(yè)網絡安全等級保護的政策法規(guī),以全面提高衛(wèi)生行業(yè)信息安全保障能力和水平,保障和促進衛(wèi)生信息化健康發(fā)展。政策法規(guī)內容及其解讀如下:
1、《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》(衛(wèi)辦綜函[2011]1126號)
重點解讀:文件要求在定級、整改測評過程中貫徹執(zhí)行國家相關標準,衛(wèi)生行業(yè)各單位要按照“遵循標準、重點保護、行業(yè)指導、屬地管理,同步建設、動態(tài)完善”的原則,建立信息安全等級保護工作長效機制,這一年是衛(wèi)生行業(yè)的開始,很多醫(yī)院不是特別重視。
2、衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知(衛(wèi)辦發(fā)〔2011〕85號)
重點解讀:明確三甲醫(yī)院核心業(yè)務系統(tǒng)(his系統(tǒng)、LIS系統(tǒng)、pacs系統(tǒng)、EMR系統(tǒng))按照信息安全等級保護三級要求進行建設和保護。
3、2012年5月21日 《關于印發(fā)基層醫(yī)療衛(wèi)生機構管理信息系統(tǒng)建設項目指導意見的通知》
重點解讀:在制度建設中,加強系統(tǒng)日常運行維護、系統(tǒng)監(jiān)控、安全護、應急處理等方面的標準規(guī)范和規(guī)章制度。
4、國務院辦公廳關于印發(fā)《政府網站發(fā)展指引的通知》(國辦發(fā)[2017] 47號文)
重點解讀:被列為關鍵信息基礎設施的政府網站要在嚴格執(zhí)行等級保護的基礎上,實行重點保護,不得使用未通過安全審查的網絡產品和服務。醫(yī)院作為關鍵信息基礎設施,應按照此要求定期開展安全評估。
5、2018年4月2日《全國醫(yī)院信息化建設標準與規(guī)范(試行)》對各醫(yī)院的網絡安全有了明確要求。
重點解讀:安全建設要求為:保障數據中心安全、終端安全、網絡安全、容災備份等4個方面,19個項目。
6、2018年4月18日《關于印發(fā)醫(yī)療質量安全核心制度要點的通知》(國衛(wèi)醫(yī)發(fā)[2018]8號)
重點解讀:文件第18條第二點明確指出:醫(yī)療機構應當依法依規(guī)建立覆蓋患者診療信管理全流程的制度和技術保障體系,完善組織架構,明確管理部門,落實信息安全等級保護等有關要求。
7、2019年5月31日國家衛(wèi)生健康委辦公廳關于印發(fā)《社區(qū)醫(yī)院基本標準和醫(yī)療質量安全核心制度要點(試行)的通知》
重點解讀:文件中對電子病歷提出要求:應當建立電子病歷的記錄、修改、使用、存儲、傳輸、質控、安全等級保護等管理制度。社區(qū)醫(yī)院也要落實等保制度要求。
8、2019年8月12日上海市衛(wèi)健委發(fā)布《上海市互聯(lián)網醫(yī)院管理辦法》
重點解讀:第二十三條(信息系統(tǒng)建設)規(guī)定,互聯(lián)網醫(yī)院應按照《網絡安全法》 《網絡安全等級保護條例》 《國家健康醫(yī)療大數據標準、安全和服務管理辦法(試行)》 《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》 《互聯(lián)網醫(yī)院基本標準》等法律法規(guī)規(guī)定建立信息系統(tǒng),配備信息專業(yè)技術人員,遵守互聯(lián)網信息安全相關法律法規(guī)。
互聯(lián)網醫(yī)院信息系統(tǒng)按照《信息安全技術 網絡安全等級保護基本要求》第三級標準完成定級備案和測評,每年應依法開展測評,測評通過后應提交系統(tǒng)年度測評報告。
9、2019年11月25日國家衛(wèi)生健康委辦公廳關于印發(fā)《國家呼吸醫(yī)學中心及國家呼吸區(qū)域醫(yī)療中心設置標準的通知》(國衛(wèi)辦醫(yī)函〔2019〕851號)
重點解讀:在信息化建設方面,要符合《全國醫(yī)院信息化建設標準與規(guī)范》的要求,信息化功能要具備《醫(yī)院信息平臺應用功能指引》的要求,信息技術要符合《醫(yī)院信息化建設應用技術指引(2017版)》的要求,數據上報要符合國家和行業(yè)數據管理相關要求。
同時,醫(yī)院電子病歷建設達到國家衛(wèi)生健康委員會“電子病歷應用等級測評”四級要求;信息平臺建設達到“醫(yī)院信息互聯(lián)互通標準化成熟度測評”四級要求;醫(yī)院核心業(yè)務系統(tǒng)達到“國家信息安全等級保護制度”三級要求,使用國產密碼對核心數據進行加密保護。