在等保2.0發布之前�����,醫療行業就已經是等級保護測評的重點對象了��。因為醫療數據量大�����,很早就是實現了系統化管理�����。隨著互聯網+的發展����,醫療行業為了提供更便捷的就診服務�����,也開始進行互聯網的部分接入��。而在開放便捷的就業渠道的同時����,醫療行業面臨的網絡安全風險也逐漸增多�����,我國醫療行業仍存在等級保護工作落實情況不佳���、整體安全風險較高���、醫療信息系統的安全防護水平相對落后的問題����,也為黑客����,以及一些不法分子提供了攻擊醫療系統的渠道��。
在等保2.0時代����,醫療行業的測評對象也同樣需要進行拓展����,由原來的信息系統����,拓展到新標準要求的測評范圍���,云計算����、移動互聯���、物聯網���、工業控制系統等�����。面對醫療行業網絡安全復雜嚴峻的形勢�,國家相關部門高度重視醫療行業的網絡安全工作����,相繼推出一系列政策法規要求落實網絡安全等級保護制度���。國家衛健委《衛生行業信息安全等級保護工作的指導意見》規定了三級醫院重要業務系統(可由各省衛健委自己定義)必須通過等保三級測評���,二級醫院重要業務系統必須通過等保二級測評;
國家衛健委《2016 三級綜合醫院評審標準考評辦法 ( 完整版 )》規定了重要業務系統必須達到等保三級標準才滿足三級醫院評審標準中對于網絡安全的要求�。
國家衛健委《國家健康醫療大數據標準�、安全和服務管理辦法(試行)》規定了承載健康醫療大數據的平臺必須必須落實等級保護制度���,健康醫療大數據中心�、相關信息系統要開展定級�、備案����、測評等工作���。
國家衛健委《互聯網醫院管理辦法(試行)》規定了承載互聯網醫院的平臺必須通過等保三級測評��。
國家衛生健康委辦公廳發布《國家呼吸醫學中心及國家呼吸區域醫療中心設置標準的通知》����,在信息化建設方面����,醫院核心業務系統達到“國家信息安全等級保護制度三級要求”���。
從近年來國家頒布的政策法規中可以看出��,國家對互聯網+醫療�、大數據醫療及醫院區域中心設置標準中都有明確的等級保護要求��。落實好網絡安全等級保護制度是醫療行業保障網絡安全的一塊基石�����。結合行業現狀和標準要求�,開展等級保護工作提出了以下建議:●合理開展新業務系統及平臺的定級備案工作��,如醫療大數據平臺�����、互聯網醫療平臺等�。院內如HIS�、EMR等還未開展定級備案工作的傳統核心業務系統�����,也需要加快等保建設步伐�����。
●在等保建設中嘗試采用新技術新手段加強醫院的安全技術防護和態勢感知建設���,以防范特種木馬或新型網絡攻擊�。
●加強日常安全運維���,引入可視化��、統一運維等創新技術�����,讓安全管理和運維更簡單并且更加有效���。
●加強主動防御能力��,并通過全方位�、多視角的風險分析��,完善醫院網絡安全建設短板����。從而降低安全風險����,提高信息系統健壯性��。
●適當選擇安全廠商提供的安全服務����,彌補醫院專業安全技術人員不足��。最大程度減少因網絡安全事件所帶來的醫院運營中斷以及管理成本增加的風險����。
通過分析等保2.0的評估標準���,可幫助醫院確定關鍵的信息系統�����,識別醫院信息系統存在的風險����。醫院通過夯實網絡安全保護的基礎����,達到了政策法規和指南的要求�����,化被動防護為主動防御�,更好地保護了醫院中各類應用產生的患者醫療數據的信息安全����。等保2.0時代�����,不僅幫助行業客戶要做到等保2.0合規����,而且也要量身定制信息安全方案�,才可能為信息系統安全達到真正意義上的保駕護航�。優炫軟件從用戶自身業務和安全角度出發����,按照標準化的流程�����,根據行業單位對網絡安全的實際需求���,從網絡安全規劃和建設入手��,為廣大用戶量身定制完整��、優質�、安全可靠的行業解決方案���,能靈活解決各類網絡安全問題����,提供協同防御策略���,主動應對不斷變化的網絡安全威脅�,最終幫助企業節約時間和人力成本�����。
