在等保2.0發布之前,醫療行業就已經是等級保護測評的重點對象了。因為醫療數據量大,很早就是實現了系統化管理。隨著互聯網+的發展,醫療行業為了提供更便捷的就診服務,也開始進行互聯網的部分接入。而在開放便捷的就業渠道的同時,醫療行業面臨的網絡安全風險也逐漸增多,我國醫療行業仍存在等級保護工作落實情況不佳、整體安全風險較高、醫療信息系統的安全防護水平相對落后的問題,也為黑客,以及一些不法分子提供了攻擊醫療系統的渠道。
政策支持 2011年 國家衛健委《衛生行業信息安全等級保護工作的指導意見》規定了三級醫院重要業務系統(可由各省衛健委自己定義)必須通過等保三級測評,二級醫院重要業務系統必須通過等保二級測評; 2016年 國家衛健委《2016 三級綜合醫院評審標準考評辦法 ( 完整版 )》規定了重要業務系統必須達到等保三級標準才滿足三級醫院評審標準中對于網絡安全的要求。 2018年 國家衛健委《國家健康醫療大數據標準、安全和服務管理辦法(試行)》規定了承載健康醫療大數據的平臺必須必須落實等級保護制度,健康醫療大數據中心、相關信息系統要開展定級、備案、測評等工作。 2018年 國家衛健委《互聯網醫院管理辦法(試行)》規定了承載互聯網醫院的平臺必須通過等保三級測評。 2019年 國家衛生健康委辦公廳發布《國家呼吸醫學中心及國家呼吸區域醫療中心設置標準的通知》,在信息化建設方面,醫院核心業務系統達到“國家信息安全等級保護制度三級要求”。 醫療行業開展等保工作建議 ●合理開展新業務系統及平臺的定級備案工作,如醫療大數據平臺、互聯網醫療平臺等。院內如HIS、EMR等還未開展定級備案工作的傳統核心業務系統,也需要加快等保建設步伐。 ●在等保建設中嘗試采用新技術新手段加強醫院的安全技術防護和態勢感知建設,以防范特種木馬或新型網絡攻擊。 ●加強日常安全運維,引入可視化、統一運維等創新技術,讓安全管理和運維更簡單并且更加有效。 ●加強主動防御能力,并通過全方位、多視角的風險分析,完善醫院網絡安全建設短板。從而降低安全風險,提高信息系統健壯性。 ●適當選擇安全廠商提供的安全服務,彌補醫院專業安全技術人員不足。最大程度減少因網絡安全事件所帶來的醫院運營中斷以及管理成本增加的風險。