醫療行業法律法規:
2020年 《關于在疫情防控中做好互聯網診療咨詢服務工作的通知》 國衛辦醫函〔2020〕112號
2020年 《中國軟件評測中心網安中心對醫療行業開展等級保護工作的建議》
2019年11月 國家衛健委 《國家呼吸醫學中心及國家呼吸區域醫療中心設置標準的通知》
2018年9月 國家衛健委 《關于印發互聯網診療管理辦法(試行)等3個文件的通知》
2018年7月 國家衛健委 《國家健康醫療大數據標準����、安全和服務管理辦法(試行)》
2018年 《關于印發互聯網診療管理辦法(試行)》
2018年 《互聯網醫院管理辦法(試行)》
2018年 《國家健康醫療大數據標準��、安全和服務管理辦法(試行)》的通知 國衛規劃發〔2018〕23號
2016年《2016三級綜合醫院評審標準考評辦法(完整版)》
2011年 《人口健康信息管理辦法(試行)》的通知國衛規劃發〔2014〕24號
2011年 《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作》的通知衛辦綜函〔2011〕1126號
2011年 《衛生行業信息安全等級保護工作的指導意見》的通知衛辦發〔2011〕85號
醫療行業等級保護流程大全:
一�����、定級:信息系統運營使用單位按照等級保護管理辦法和定級指南��,自主確定信息系統的安全保護等級�����。有上級主管部門的���,應當經上級主管部門審批��?���?缡』蛉珖y一聯網運行的信息系統可以由其主管部門統一確定安全保護等級��。雖然說的是自主定級����,但主要還是根據系統實際情況去定級�����,有行業指導文件的根據指導文件來��,沒有文件的需要根據定級指南來�����,總之一句話合理定級���,該是幾級就是幾級�,不要定的高也不要定的低����。
二�����、備案:第二級以上信息系統定級市級單位到所在地社區的市級以上公安機關辦理備案手續����。省級單位到省公安廳網安總隊備案��,各地市單位一般直接到市級網安支隊備案���,也有部分地市區縣單位的定級備案資料是先交到區縣公安網監大隊的�,具體根據各地市要求來�����。
三���、系統建設整改:信息系統安全保護等級確定后�,運營使用單位按照管理規范和技術標準��,選擇管理辦法要求的信息安全產品��,建設符合等級要求的信息安全設施�,建立安全組織����,制定并落實安全管理制度��。
四����、測評:等級測評信息系統建設完成后�,運營使用單位選擇符合管理辦法要求的檢測機構��,對信息系統安全等級狀況開展等級測評��。測評完成之后根據發現的安全問題及時進行整改�,特別是高危風險�。測評的結果分為:優���、良�、中�����、差�����。
五�、監督檢查:公安機關依據信息安全等級保護管理規范及《網絡安全法》相關條款����,監督檢查運營使用單位開展等級保護工作�,定期對信息系統進行安全檢查�����。運營使用單位應當接受公安機關的安全監督���、檢查�、指導��,如實向公安機關提供有關材料���。
一���、用戶確定信息系統的個數���、每個系統的等保級別����;
二����、填寫 《 系統定級報告 》 ����, 《 系統基礎信息調研表 》 :
三����、向省公安廳網監總隊提交 《 系統定級報告 》 和(系統基礎信息調研表 》 .獲取 《 信息系統等級保護定級備案證明 》 ��,每個系統一份�����;
四��、按所定等級耍求進行等保測評檢測.如不特合耍求���,形成整改要求.由用戶按整改要求進行整改��;
五���、通過等保測評的����,由信息安全等級保護測評機構出具的(信息系統等級保護測評報告 》 .并將報告提交公安備案�����。
等級保護分級要求:第一級:用戶自主保護級策
二級:系統審計保護級
第三級:安全標記保護級
第四級:結構化保護級
第五級:訪問驗證保護級
等級保護是公安部對非涉密信息系統安全蓄理標準規范�。對重要系統��、電子政務系統�、關系國計民生的國有企業的強制性標準�。
具體保護等級由公安部確認���。
醫療行業等保費用:
醫療行業等保的費用主要由三部分組成:
首先第一部分專家定級評審費用�����,是因為定級環節需要邀請三位專家就信息系統定級情況組織開展定級評審會議所產生的專家費�����。
第二部分費用為等保的咨詢和測評費用���,根據系統情況不同���,所以費用也不同����;
第三部分為建設整改的費用����,需要根據企業的實際情況來確定最終費用���;
測評的費用因系統規模����、不同等級���、不同地域而不同�,具體價格需要和測評機構進一步討論才能確定�����。
特別整理《醫療行業如何開展網絡安全等級保護工作》
前言
當前��,我國疫情防控已經取得階段性的勝利����,但由于境外疫情加速擴散���,國內形勢依然嚴峻��。這場突如其來的攻堅戰打亂了醫療資源的正常使用秩序��,暴露了我國公共衛生事件的應急短板�。在這特殊時期����,醫療信息化成為助力抗擊疫情的得力助手���,如互聯網+醫療平臺�����、大數據平臺的使用加速擴大�����,這些平臺通過開展線上義診����、名醫直播等方式����,為公眾提供線上問診服務���,解決了醫療資源合理利用問題����。而互聯網+醫療平臺�����、大數據平臺的使用���,使得越來越多的醫療數據存儲在互聯網中��,為醫療行業帶來新的網絡安全問題��,加劇了醫療行業網絡安全的復雜形勢��。
政策背景
面對醫療行業網絡安全復雜嚴峻的形勢���,國家相關部門高度重視醫療行業的網絡安全工作��,相繼推出一系列政策法規要求落實網絡安全等級保護制度��。
2018年7月國家衛健委發布《國家健康醫療大數據標準�、安全和服務管理辦法(試行)》����,規定承載醫療大數據的平臺必須落實等級保護制度�����,健康醫療大數據中心���、相關信息系統要開展定級�����、備案���、測評等工作�。
2018年9月國家衛健委發布《關于印發互聯網診療管理辦法(試行)等3個文件的通知》��,要求開展互聯網診療服務的醫療機構必須實施第三級信息安全等級保護�。
2019年11月國家衛生健康委辦公廳發布《國家呼吸醫學中心及國家呼吸區域醫療中心設置標準的通知》�,在信息化建設方面��,醫院核心業務系統達到“國家信息安全等級保護制度三級要求”�����。
從近兩年國家頒布的政策法規中可以看出��,國家對互聯網+醫療���、大數據醫療及醫院區域中心設置標準中都有明確的等級保護要求����。落實好網絡安全等級保護制度是醫療行業保障網絡安全的一塊基石���。
中國軟件評測中心網安中心對醫療行業開展等級保護工作的建議
一����、合理開展系統定級備案工作
醫療行業目前急需落實網絡安全等級保護的系統有兩類����,一是傳統核心業務系統�����,二是新建融合了各種新技術的信息系統���。開展網絡安全等級保護工作的第一步就是合理對這些系統進行等級保護定級�。中國軟件評測中心網安中心整理了目前有關部門發布的意見����。
早在2011年��,還是等級保護1.0時代����,原衛生部頒發的《衛生行業信息安全等級保護工作的指導意見》明確以下重要衛生信息系統安全保護等級原則上不低于三級:
1.衛生統計網絡直報系統��、傳染性疾病報告系統����、衛生監督信息報告系統�����、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統;
2.國家����、省��、地市三級衛生信息平臺����,新農合���、衛生監督����、婦幼保健等國家級數據中心;
3.三級甲等醫院的核心業務信息系統;
4.衛生部網站系統;
5.其他經過信息安全技術專家委員會評定為第三級以上(含第三級的信息系統)���。
但隨著新興技術的發展�,等級保護2.0將云計算�����、大數據����、物聯網����、工業控制系統�����、移動互聯等新技術產業也納入了監管行列��,顯然2011年的指導意見已經不那么充分了���,好在上海市衛生健康委員會2019年1月發布了《關于進一步調整本市衛生健康行業重要信息系統定級范圍的通知》���,進一步明確了區屬二�、三級醫療機構和社區衛生服務中心的相關信息系統安全保護等級原則上不低于第三級��,包括以下:
1.核心信息系統范圍覆蓋HIS����、LIS��、RIS�、PACS���、電子病歷�、核心數據庫��、醫院信息采集及數據中心等;
2.區域核心業務系統范圍涉及人口健康信息平臺���、區域醫學影像診斷信息系統�����、區域心電診斷信息系統���、去油臨床檢驗診斷信息系統���、其中人口健康信息平臺涵蓋區域衛生共享交換平臺�、電子健康檔案等重要應用系統��。
3.滿足如下條件之一的信息系統:
a���、承載公民個人信息的信息系統;
b��、承載核心業務信息(包含但不限于預約掛號���、診療診斷�����、健康體檢�、免疫疾控��、醫囑開方�����、藥品與耗材����、醫院運營�����、醫院管理���、遠程醫療等)的信息系統;
c�、與核心業務系統發生雙向數據交換或業務協同的信息系統(包含但不限于網上簽約��、健康管理�、問醫用藥�、醫療物聯網�、科研隨訪���、保險理賠等);
d����、承載國家法律法規需要落實敏感信息保護的信息系統;
e�����、承載醫院對外形象宣傳的信息系統或醫院重要信息(包含但不限于醫院門戶網站�����、統一登錄平臺�、移動OA��、移動App等);
f����、與其他按照等級保護要求運行維護的信息系統發生雙向數據交換或業務協同的信息系統���。
上海衛健委發布的定級范圍可以說是緊跟國家相關政策法律法規����,區分了核心業務系統�、區域核心業務系統��,以及將含有敏感信息保護的信息系統����、承載公民個人信息保護的系統都包含進來�����,是非常有借鑒作用的�����。等級保護2.0的開展���,對醫療機構而言��,無疑是對其網絡和信息安全能力提出了進一步要求����。
另外�,中國軟件評測中心網安中心提醒廣大醫療行業網絡運營者��,《網絡安全等級保護條例(征求意見稿)》中明確要求“網絡運營者應當在規劃設計階段確定網絡的安全保護定級”�。對于第二級以上網絡運營者����,應當在網絡的安全保護等級確定后10個工作日內�,到縣級以上公安機關備案�。
二����、常規化風險評估�����、等級測評工作
醫療機構在完成定級備案工作后��,由信息安全管理部門牽頭進行安全建設整改工作�,可以自行開展安全評估���,或者委托第三方單位開展安全評估工作��,依據等級保護標準對評估結果進行差距分析���,查看是否符合等級保護基本要求�����。醫療機構根據各系統的定級情況���,安排當年的等級測評工作�����,按照要求定級為三級及以上的系統每年開展一次測評�,選擇公安部推薦目錄中的等級保護測評機構開展安全測評�。
醫療機構應按照要求常規化風險評估��、等級測評工作���,做到定期排查系統安全隱患�����,對于不符合要求項�����,信息系統運營���、使用單位及時開展安全整改�。一般現場測評工作需要1周左右時間�,測評完成后對未達到安全保護等級要求的問題進行整改����,整改時間及程度依據系統安全現狀及經費決定�,不涉及購買設備�����、網絡架構大變動小規模系統需要2周左右時間���,總體測評及出具最終符合公安機關要求的測評報告需至少一月時間�。
三���、強化縱深防御能力
對系統進行了全方位的風險分析���,完成了等級保護測評后���,就需要對測評中發現的問題進行整改��。最快速簡單的整改辦法就是從網絡整體架構出發�����,完善醫療機構網絡安全建設��,配備并配置必要的網絡安全設備����,形成縱深防御能力���,確保系統中無高風險問題���,其次再逐漸修正一些中低風險問題�����。鑒于醫療行業數據的重要性����,做好數據備份��、數據加密存儲和傳輸工作���,保障醫療數據的安全�。
中國軟件評測中心網絡空間安全測評工程技術中心在有關部門的指導下�,結合豐富的一線實戰經驗����,參照近三年的測試(脫敏后)數據���,聯合HC3i數字醫療網共同推出《醫療行業網絡安全白皮書2020》���。
(中國軟件評測中心劉思思)
