等保2.0在医疗行业信息化建设中的机遇与挑战
2017年国务院发布的《关于深化医药卫生体制改革的意见》开启了新医疗体制改革。新医改提出了“四梁八柱”,其中信息化是医改的重要任务,也是医改成功逐步推进的重要保障。随着医疗体制改革继续深入推进,医疗信息化已经成为医疗体制改革的重点发展方向。
医疗卫生事业是构建社会主义和谐社会的重要基础,也是保证人民日常生活的重要环节。医疗卫生行业的健康发展,直接关系到民生问题。随着医院信息化建设的逐步深入,网上业务由单一到多元化,各类应用系统数十个,信息系统承受的压力日益增长,医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台。核心业务是医院信息化建设的基础,是医院信息系统运行的平台,对医院运行效率和管理水平都有重要作用,因此创造良好信息系统安全运营环境是医院信息安全的最终目标。
1、医院信息安全建设面临大转型
医院拥有大量患者数据,在黑灰产中越来越受到“青睐”,这也推动黑客越来越多地“盯上”医院。一般来说,医院信息化安全建设面临诸多问题。
中国医院协会信息专业委员会(CHIMA)在今年3月发布了《2019年医院信息安全调查报告》,其中对医院实施等级保护情况做了专门章节介绍。据了解,在389家样本医院中,50.13%的医院通过了等保测评。其中,三级医院实施等保工作情况明显好于三级以下医院,经济发达地区实施等保工作的比例高于中等发达地区和经济欠发达地区。
本次调查显示,在近三年医院信息化建设重点内容的调查排名前三位的是:重点建设患者服务系统(挂号APP、自助机等)的医院为 226 家,占比 58.10%;重点建设医院管理系统(HRP、BI、财务系统等)的医院为 212 家,占比 54.50%;重点建设HIS以外的业务系统(EMR、LIS、PACS、超声等)的医院为 203 家,占比52.19%。
医院网络安全建设落后主要有两方面原因:一方面,医院信息化建设本身投入相对不足,资金更多投入在应用和硬件上,安全方面投入很少;另一方面,医院信息部门缺乏安全建设经验,安全专业能力不足。
绝大部分医院都缺乏专业的网络安全人才,在网络安全运营方向做的都很少,还是以防御建设为主。医院网络安全建设痛点要从两个方面看:一是外部。医疗行业越来越开放,医疗业务拥抱互联网,虽然方便了老百姓就医,但也引入了大量的互联网安全风险。二是内部。医院网络规模虽不大,但相对比较复杂。各个业务系统之间的关联非常紧密,数据共享很频繁,非常容易造成安全风险在内部蔓延。
2、医院信息化如何迎考等保2.0?
医疗行业等保2.0建设工作应“以病人中心,以诊疗活动为主线,以人性化服务”为主导,以智能化和信息化技术为支撑的诊疗自动化、建筑设备管理智能化、管理信息集成化,最终打造最为先进的“诊疗手段完备、管理科学、信息一体化、高效节能的智慧医疗”为蓝图的智慧医疗框架体系。
网络信息安全是个系统工程,三分技术、七分管理,医疗机构需从技术和管理多角度构建网络安全体系。由于很多安全威胁来自于医院内部的管理漏洞,建设全方位的网络信息安全管理体系并落实到位,是医疗机构信息部门在2019年的重要工作。其信息化建设应参考等保2.0标准,并结合医院实际情况,选择性地采取更多安全措施。
另一方面,对于之前已经通过等保3级的医疗机构,再去认证等级保护2.0下的相关测评要求参考时,可以参考已通过等保1.0标准下等保3级的系统沿用之前的定级,在2.0时代不需要再重新定级和备案。但仍需按照新标准进行安全加固、补齐不足,在每年复评审查时需要满足新标准的评分要求。
此外,等保2.0中技术控制项与等保1.0中有不少区别。比如在“安全扩展要求”中,针对云计算平台、物联网平台、移动互联网均有额外的控制项要求。在国家出台网络安全等级保护2.0标准的背景下,医院上云更加需要一种审慎的态度。等保2.0提出了更高要求,比如等级保护对象从原来关注传统系统扩展到云平台和大数据平台的安全。因此,云平台的基础架构要符合等级保护2.0标准的要求。尤其在选择云端安全产品时,一定要提前考虑等保2.0标准的要求,这也是上云必须要解决的问题。
在加强医院网络和信息安全建设方面,建议把可能造成医院业务系统停运的每个环节都要考虑到位。比如,数据库等核心应用更要加强安全建设。医院在开展网络安全建设时可以遵循两个原则:一是医院的信息系统不会因为硬件故障而停运;二是一定要对核心数据进行有效的防泄密、数据脱敏等技术手段。
灵狐科技结合行业现状和新标准要求,对医疗机构开展网络安全等级保护工作提出以下五点建议。
1、合理开展新业务系统及平台的定级备案工作,如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐。
2、在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。
3、加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效。
4、加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性。
5、适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。
医疗卫生事业是构建社会主义和谐社会的重要基础,也是保证人民日常生活的重要环节。医疗卫生行业的健康发展,直接关系到民生问题。随着医院信息化建设的逐步深入,网上业务由单一到多元化,各类应用系统数十个,信息系统承受的压力日益增长,医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台。核心业务是医院信息化建设的基础,是医院信息系统运行的平台,对医院运行效率和管理水平都有重要作用,因此创造良好信息系统安全运营环境是医院信息安全的最终目标。
1、医院信息安全建设面临大转型
医院拥有大量患者数据,在黑灰产中越来越受到“青睐”,这也推动黑客越来越多地“盯上”医院。一般来说,医院信息化安全建设面临诸多问题。
中国医院协会信息专业委员会(CHIMA)在今年3月发布了《2019年医院信息安全调查报告》,其中对医院实施等级保护情况做了专门章节介绍。据了解,在389家样本医院中,50.13%的医院通过了等保测评。其中,三级医院实施等保工作情况明显好于三级以下医院,经济发达地区实施等保工作的比例高于中等发达地区和经济欠发达地区。
本次调查显示,在近三年医院信息化建设重点内容的调查排名前三位的是:重点建设患者服务系统(挂号APP、自助机等)的医院为 226 家,占比 58.10%;重点建设医院管理系统(HRP、BI、财务系统等)的医院为 212 家,占比 54.50%;重点建设HIS以外的业务系统(EMR、LIS、PACS、超声等)的医院为 203 家,占比52.19%。
医院网络安全建设落后主要有两方面原因:一方面,医院信息化建设本身投入相对不足,资金更多投入在应用和硬件上,安全方面投入很少;另一方面,医院信息部门缺乏安全建设经验,安全专业能力不足。
绝大部分医院都缺乏专业的网络安全人才,在网络安全运营方向做的都很少,还是以防御建设为主。医院网络安全建设痛点要从两个方面看:一是外部。医疗行业越来越开放,医疗业务拥抱互联网,虽然方便了老百姓就医,但也引入了大量的互联网安全风险。二是内部。医院网络规模虽不大,但相对比较复杂。各个业务系统之间的关联非常紧密,数据共享很频繁,非常容易造成安全风险在内部蔓延。
2、医院信息化如何迎考等保2.0?
医疗行业等保2.0建设工作应“以病人中心,以诊疗活动为主线,以人性化服务”为主导,以智能化和信息化技术为支撑的诊疗自动化、建筑设备管理智能化、管理信息集成化,最终打造最为先进的“诊疗手段完备、管理科学、信息一体化、高效节能的智慧医疗”为蓝图的智慧医疗框架体系。
网络信息安全是个系统工程,三分技术、七分管理,医疗机构需从技术和管理多角度构建网络安全体系。由于很多安全威胁来自于医院内部的管理漏洞,建设全方位的网络信息安全管理体系并落实到位,是医疗机构信息部门在2019年的重要工作。其信息化建设应参考等保2.0标准,并结合医院实际情况,选择性地采取更多安全措施。
另一方面,对于之前已经通过等保3级的医疗机构,再去认证等级保护2.0下的相关测评要求参考时,可以参考已通过等保1.0标准下等保3级的系统沿用之前的定级,在2.0时代不需要再重新定级和备案。但仍需按照新标准进行安全加固、补齐不足,在每年复评审查时需要满足新标准的评分要求。
此外,等保2.0中技术控制项与等保1.0中有不少区别。比如在“安全扩展要求”中,针对云计算平台、物联网平台、移动互联网均有额外的控制项要求。在国家出台网络安全等级保护2.0标准的背景下,医院上云更加需要一种审慎的态度。等保2.0提出了更高要求,比如等级保护对象从原来关注传统系统扩展到云平台和大数据平台的安全。因此,云平台的基础架构要符合等级保护2.0标准的要求。尤其在选择云端安全产品时,一定要提前考虑等保2.0标准的要求,这也是上云必须要解决的问题。
在加强医院网络和信息安全建设方面,建议把可能造成医院业务系统停运的每个环节都要考虑到位。比如,数据库等核心应用更要加强安全建设。医院在开展网络安全建设时可以遵循两个原则:一是医院的信息系统不会因为硬件故障而停运;二是一定要对核心数据进行有效的防泄密、数据脱敏等技术手段。
灵狐科技结合行业现状和新标准要求,对医疗机构开展网络安全等级保护工作提出以下五点建议。
1、合理开展新业务系统及平台的定级备案工作,如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐。
2、在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。
3、加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效。
4、加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性。
5、适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。
相关链接: