發布時間:2022年11月22日 作者:網站管理員(yuán) 浏覽量:530
近年來針對醫院等醫療系統的網絡安全風險和網絡攻擊一(yī)直處于活躍狀态且呈現持續上升态勢,整個醫療行業信息安全形勢不容樂觀。其中(zhōng),在我(wǒ)(wǒ)國多地醫院持續檢測出勒索病毒,有些醫院出現患者信息被盜等情況。相關檢測報告顯示,僅在全國三甲醫院中(zhōng),今年就有數百家醫院檢出了勒索病毒,全國各地均有三甲醫院“中(zhōng)招”。
2017年6月1日,《中(zhōng)華人民共和國網絡安全法》正式頒布施行,該法第二十一(yī)條明确規定“國家實行網絡安全等級保護制度”。網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務。
2019年5月13日,等級保護2.0系列标準正式發布,标志(zhì)着等級保護2.0的真正到來。
XXXX醫院信息化工(gōng)作經過多年的發展,信息技術已得到了廣泛的應用,主要業務系統如HIS,PACS,LIS,RIS,EMR等都己實施并應用,爲醫院發展和業務應用提供了較爲良好的支撐。
同時,随着數字化醫院評審标準的完善以及醫院等級保護測評政策要求的落實,醫療衛生(shēng)系統圍繞HIS、EMR、LIS、PACS等核心業務系統深入開(kāi)展信息安全等級保護工(gōng)作,并在此基礎上指引後續信息化安全建設方向。
通過對醫院信息化現狀調研、分(fēn)析,結合等級保護2.0版在安全物(wù)理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中(zhōng)心、安全管理制度、安全管理機構、安全管理人員(yuán)、安全建設管理、安全運維環境十個方面的要求,協助醫院逐步完善信息安全組織、落實安全責任制,開(kāi)展管理制度建設、技術措施建設,落實等級保護制度的各項要求,使得醫院信息系統安全管理水平提高,安全保護能力增強,安全隐患和安全事故減少,有效保障信息化健康發展。
爲了落地以上建設目标,保證信息系統的安全、穩定、可靠運行,我(wǒ)(wǒ)們對照《二級綜合醫院評審标準實施細則》、《電子病曆評審》、《河南(nán)省數字化醫院建設指南(nán)》、《河南(nán)省數字化醫院評審标準》等要求,對XXXX醫院整體(tǐ)信息系統進行了統一(yī)梳理和信息安全防範體(tǐ)系規劃,旨在保證醫院信息系統各組成部分(fēn)能夠高效協同,對業務與應用提供強有力支撐;同時還需要确保在總體(tǐ)方案規劃下(xià)的分(fēn)步實施。
沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。《網絡安全法》是我(wǒ)(wǒ)國第一(yī)部網絡安全領域的法律,是保障網絡安全的基本法。對網絡運營者,提出了更高的要求,同時增加了對違法個人的追責。
醫療機構作爲信息化的受益者,同時,更肩負了捍衛信息系統安全的職責。
其中(zhōng)第21條明确規定:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下(xià)列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩漏或者被竊取、篡改。
醫療機構如果未通過相對應的等級保護級别,一(yī)旦發生(shēng)網絡安全事故,将被處以警告和限期整改的處罰。同時對直接責任人罰款還有限期整改的處罰。
醫療機構在利用信息技術提升整體(tǐ)運營效率的同時,也會留存大(dà)量的患者隐私數據,并且爲了方便患者通過網絡查詢部分(fēn)數據,還會連通内外(wài)網,這就會涉及到信息發布和隐私數據的洩露的問題。
第47條,這一(yī)條是涉及到網絡信息安全方面的一(yī)條内容,網絡運營者應該加強用戶發布信息管理的内容的監控,禁止發布或者傳輸信息。如果發現的話(huà)應該予以立即的停止傳輸,這實際上相當于網絡運營者有阻止違法信息組織這樣的一(yī)個義務。
與之對應的法則就是第68條,網絡運營者如果沒有停止傳輸采取消除的措施,輕則整改警告,重則罰款,最嚴重可以達到暫停相關業務、停業整頓、關閉網站,吊銷相關營業資(zī)質,對直接責任人會處以罰款等相應的處罰。對于信息的發布者也适用于本法則。
綜上,醫療機構作爲信息系統的建設者、使用者、信息的發布者,必須對信息安全足夠重視,一(yī)旦違法相關法律條文,醫療機構和直接責任人都将被追責。
同時,網絡安全法也充分(fēn)肯定了等級保護制度以評促建的思路,這就爲等級保護2.0的順利實施奠定了法律的基礎。
2.2、等保2.0
等保2.0分(fēn)爲技術、管理兩大(dà)部分(fēn)。
1)技術部分(fēn)可以通過新增安全設備,調試、整改現有網絡設備的方式實現。
2)管理部分(fēn)則需要制定較爲完備的安全管理體(tǐ)系、明确安全責任人等行政手段進行約束,以安全服務的形式進行交付。
2.2.2、管理要求
通過提供安全管理制度、安全管理機構、安全管理人員(yuán)、安全建設管理、安全運營管理五個部分(fēn)入手,提供安全服務,幫助客戶完善等級保護提出的相關管理要求。