等保2.0时代,医疗行业该如何做好网络安全等级保护工作?

作者:企划组 时间:2020-08-19 阅读:1692

在疫情防控工作中,医疗信息化成为助力抗击疫情的得力助手。互联网+医疗平台、大数据平台的使用让越来越多的医疗数据存储在互联网中,也为医疗行业带来新的网络安全问题,加剧了医疗行业网络安全的复杂形势。

默认文件1597804263677.png 

根据 CHIMA《2018-2019年度中国医院信息化状况调查报告》显示,现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行 VPN/VLAN 划分和上网行为管理的医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。大部分医院都缺乏必要的网络防护设备。这就导致医疗行业总体处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患。


医疗行业的网络安全问题是我国网络安全的重要组成部分。为逐步完善医疗行业网络安全体系,党中央、国务院及医疗监管部门陆续出台了一系统信息化安全建设与管理的政策法规。如:


2019年11月国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》,在信息化建设方面,医院核心业务系统需达到“国家信息安全等级保护制度三级要求”。


2019 年 12 月,经第十三届全国人民代表大会常务委员会第十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性法律《中华人民共和国基本医疗卫生与健康促进法》,明确国家采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个人健康信息安全,对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。

1 (6).png 

除了政府的督促与监管,进入等保2.0时代,医疗行业该如何做好网络安全等级保护工作呢?这里提三点建议:

一、合理开展系统定级备案工作
医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。
在国家卫生健康委员会发布的《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》中,明确提出了互联网医院要实施第三级信息安全等级保护等规定。随着新兴技术的发展,等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列。


二、常规化风险评估、等级测评工作
医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可以自行开展安全评估,或者委托第三方单位开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况,安排当年的等级测评工作,按照要求定级为三级及以上的系统每年开展一次测评,选择公安部推荐目录中的等级保护测评机构开展安全测评。
医疗机构应按照要求常规化风险评估、等级测评工作,做到定期排查系统安全隐患,对于不符合要求项,信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间,测评完成后对未达到安全保护等级要求的问题进行整改,整改时间及程度依据系统安全现状及经费决定,不涉及购买设备、网络架构大变动小规模系统需要2周左右时间,总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。

三、强化纵深防御能力
对系统进行了全方位的风险分析,完成了等级保护测评后,就需要对测评中发现的问题进行整改。最快速简单的整改办法就是从网络整体架构出发,完善医疗机构网络安全建设,配备并配置必要的网络安全设备,形成纵深防御能力,确保系统中无高风险问题,其次再逐渐修正一些中低风险问题。鉴于医疗行业数据的重要性,做好数据备份、数据加密存储和传输工作,保障医疗数据的安全。

不仅是医疗行业,目前各行各业都已认识到网络安全的重要性。对于日益数字化的信息社会,各种新技术新应用不断涌现,网络安全环境日趋复杂,但企业自身普遍存在专业人才不足、防护手段滞后、缺乏应急机制和技术能力等问题,碰到安全突发事件时往往束手无策,手忙脚乱。


面对层出不穷的网络安全问题,葫芦娃集团提供网络安全一站式解决方案,其涵盖云安全、边界安全、网站安全、移动安全、数据安全、代码安全、终端安全等全领域安全产品和等级保护测评服务,全方位助力互联网安全发展,加快保护信息安全,保障网络安全。

葫芦娃集团.png 

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络,如有侵权请及时告知我们处理。