政策解析:“互联网+医疗”网络安全工作重点 – 作者:北京华清信安

在政策的大力支持,以分级诊疗、社会办医、处方流转等医疗改革不断推进等因素影响下,国内互联网医疗行业快速发展。据统计,2019年国内整体互联网医疗市场规模已达267亿元,医药咨询机构沙利文分析预测,到2026年有望达到1980亿元,19-26年的复合增速达到32.93%。

随着“互联网+医疗”和医院信息化建设的高速发展,各种医疗相关的信息化平台采集储存了大量的患者信息,这些信息因为数据详细、分类清晰具有更高的价值,近年来,针对互联网医疗机构的勒索、医疗信息泄露等医疗行业的信息安全事件层出不穷,其信息系统也成为了国内外不法黑客的重点攻击对象之一。

互联网医疗网络安全工作重点在哪里?有关部门出台了各种法规和指导文件对互联网医疗企业和机构的信息化系统提出要求,华清信安对此进行了整理与分析,帮助互联网医疗企业和机构更好进行网络安全建设。

行业标准

中华人民共和国网络安全法-2017.6.1

第二节 关键信息基础设施的运行安全

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

2017年出台的《网络安全法》是国家对网络安全的基础法规,适用于所有行业,法规明确要求企业需要实行等级保护制度。在后续的互联网医疗行业拓展指导文件以《网络安全法》为基础,针对互联网医疗行业网络安全问题提出了更加详细的建议。

互联网诊疗管理办法(试行)-2018.7.17

第三章 执业规则

第十三条 医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设备设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。

互联网医院管理办法(试行)-2018.7.17第三章 

执业规则

第十五条 互联网医院信息系统按照国家有关法律法规和规定,实施第三级信息安全等级保护。

2018年04月28日国务院办公厅关于促进“互联网+医疗健康”发展的意见,同年7月,为贯彻落实意见有关要求,国家卫生健康委员会和国家中医药管理局组织制定了《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》、《远程医疗服务管理规范(试行)》,办法明确规定了互联网医疗机构和互联网医院的信息系统需实施第三级信息安全等级保护。

网络安全建设‍

除现有互联网+医疗的明确要求,在多种场景下对医院信息化系统有更为详细的要求,根据现有行业标准,“互联网+医疗”需要注意以下几点要求。

01、重要卫生信息系统等级保护不低于第三级

等保1.0时代,2011年国家卫健委《卫生行业信息安全等级保护工作的指导意见》要求以下重要卫生信息系统安全保护等级原则上不低于第三级:

  1. 卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
  2. 国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
  3. 三级甲等医院的核心业务信息系统;
  4. 卫生部网站系统;
  5. 其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。

在互联网+医疗和医院信息化高速发展的场景下,更多的信息系统要求不低于第三级,包含但不限于以下系统:

  1. 核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等;
  2. 区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、区域临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。
  3. 满足如下条件之一的信息系统:
  • 承载公民个人信息的信息系统;
  • 承载核心业务信息(包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等)的信息系统;
  • 与核心业务系统发生双向数据交换或业务协同的信息系统(包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等);
  • 承载国家法律法规需要落实敏感信息保护的信息系统;
  • 承载医院对外形象宣传的信息系统或医院重要信息(包含但不限于医院门户网站、统一登录平台、移动OA、移动App等);
  • 与其他按照等级保护要求运行维护的信息系统发生双向数据交换或业务协同的信息系统。

02、常规化风险评估

2020年12月1日,国家中医药管理局会同国家卫生健康委联合印发了《公立医院内部控制管理办法》要求:公立医院内部控制风险评估应当重点关注的内容。要求医院每年至少进行一次风险评估工作,单位层面风险评估应当重点关注“五个机制”建设情况。

2021年1月27日,国家卫生健康委和国家中医药管理局组织制定了《公立医院内部控制管理办法》第三章风险评估管理中要求医院内部审计部门或确定的牵头部门应当自行或聘请具有相应资质的第三方机构开展风险评估工作,风险评估结果应当形成书面报告,作为完善内部控制的依据。

医院信息系统需要按照要求常规化进行风险评估,加强医疗卫生机构、互联网医疗健康服务平台、智能医疗设备以及关键信息基础设施、数据应用服务的信息防护,定期开展信息安全隐患排查、监测和预警。

03、建设信息平台,强化纵深防御能力

国家卫生健康委办公厅关于进一步完善预约诊疗制度加强智慧医院建设的通知中明确指出:总结医院信息化建设实践,建立医疗、服务、管理“三位一体”的智慧医院系统,进一步发挥信息技术在现代医院建设管理中的重要作用,不断提高医院治理现代化水平,形成线上线下一体化的现代医院服务与管理模式,为患者提供更高质量、更高效率、更加安全、更加体贴的医疗服务。

“互联网+医疗”需要坚守安全底线。加快推进省级互联网医疗服务监管平台建设,加强互联网医疗服务监管。各医院要高度重视信息和网络安全,构建与智慧医院相匹配的网站安全、系统稳定、数据安全等安全体系。要加强互联网医疗服务中的患者隐私保护,完善隐私保护有关制度和措施。

网络安全解决方案‍

“互联网+医疗”在快速发展的过程中,医院互联网转型需要建设好网络安全壁垒,但是面对复杂严峻的网络安全形势,必须树立正确网络安全观,坚持网络安全和互联网医院发展并重的理念,提高认识,谨慎对待,管理与技术同步提升,切实做好互联网医院网络安全防护工作。

01、TDR提供全方位安全服务

华清信安TDR智能安全运营服务网络安全解决方案是围绕不同行业客户的特点、需求,为互联网医疗企业量身定制网络安全解决方案,方案特点是覆盖监管侧和非监管侧的安全建设需求与各种不同的目标网络环境,功能包括安全管理中心、网络与应用层监测与防护、威胁态势、漏洞扫描等多类型的全方位安全服务。可以帮助互联网医疗企业构建安全防护体系,全面提升企业安全防护能力,解决互联网医疗企业网络安全问题。

02、专业的医疗行业解决方案

信息化技术在医院各项医疗以及管理业务中得到了广泛应用,大部分三甲医院医院已经建成了以医院信息系统、临床信息系统、实验室信息系统、医学影像存储与传输系统、专家信息系统、办公自动化系统、电子病历、医疗保险信息系统等为重点的综合性数据中心。华清信安 TDR智能安全运营服务针对现有数据中心架构与与私有云架构均可以提供安全解决方案。

03、满足等级保护建设整改需求

华清信安TDR智能安全运营平台其体系设计理念完全契合等级保护和 IATF 的纵深防御思想,可以为医疗行业客户搭建一套检测-防护-监测-响应-管理的安全体系,覆盖到等级保护三级大部分的技术要求和安全建设与运维管理要求。

通过接入华清信安-TDR-GSDN安全网络或本地部署TDR,并结合华清信安等级保护咨询的其它服务内容(如管理制度建设、整改等),无需再采购其他安全产品或服务就可以顺利通过等级保护测评,满足网络安全法律法规和国家政策的合规要求,有效回避合规性风险。

来源:freebuf.com 2021-03-29 09:44:36 by: 北京华清信安

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论