医疗行业信息系统等级保护工作
伴随医疗行业信息化建设的不断发展,信息系统在其中扮演的角色也越来越重要,其所面临的安全挑战也不断涌现,患者隐私泄露、挂号系统中断以及木马病毒攻击直接威胁到医疗行业运行秩序和信息系统安全。
在等保2.0时代,医疗行业的等级保护工作变得更加重要,等保2.0将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。但是由于医疗行业的行业特征和特殊性,因此,今天的文章我们就来简单了解医疗行业等级保护工作的有关内容。
医疗行业的等级保护建设之路
早在2011年,原卫生部就下发了《关于全面开展卫生行业信息安全等级保护工作的通知》,要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级,同时要求各医院于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
随后从2017年开始,我国网络安全建设步伐加速前进,尤其是2018年,医院信息建设步伐加速,国务院办公厅制定了《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号),要求建成省、市、县三级全民健康信息平台,二级以上医院全部接入信息平台,支撑全民健康管理和决策,提供便民惠民的健康医疗服务。再到2020年,“互联网+医疗服务”模式基本形成。
医疗行业信息系统现状
医院信息系统 |
主要应用 |
HIS系统 |
医疗信息系统(流程) |
LIS系统 |
临床试验系统(临床、患者状况、用药、疗程) |
PACS系统 |
影像(B超、彩超、X光等) |
EMR系统 |
电子病历(接收并存放LIS的信息) |
医疗行业信息系统特点
● 高速的响应速度和联机事务处理能力
● 医疗信息数据的复杂性
● 信息的安全、保密度要求高
● 数据量大
● 稳定性要求高
● 瞬时并发访问量大
● 系统后期数据维护工作量大
业务中存在的威胁
● 传统存储无法支持高并发访问
● 蠕虫、病毒的入侵导致的系统故障等信息安全事件
● 人为误操作导致的数据丢失事件
● 业务系统架构存在单点故障点,存储故障易导致业务中断和数据丢失
● 传统备份数据恢复事件长
从上述内容我们总结一下对医疗行业信息系统等级保护的要求:
HIS、PACS等平台属于为国计民生提供服务的信息系统,其服务范围为区域范围内的普通公民、医院等。该业务系统遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面的侵害结果表现为:1、影响正常工作的开展,导致业务能力下降;2、造成社会不良影响,为公众服务的医疗卫生机构的业务受到影响。
根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。上述结果的程度表现为:对社会秩序和公共利益造成一般损害。
其中HIS、PACS等相关政策要求:
《电子病历基本规范(试行)》第十六条第一项规定:
1、具备保障电子病历数据安全的制度和措施,有数据备份机制,有条件的医疗机构应当建立信息系统灾备体系。应当能够落实系统出现故障时的应急预案,确保电子病历业务的连续性;
《电子病历基本规范2017》第十九条规定:
2、门(急)诊电子病历由医疗机构保管的,保存时间自患者最后一次就诊之日起不少于15年;住院电子病历保存时间自患者最后一次出院之日起不少于30年。
《医学影像诊断中心管理规范(试行)》规定:
3、影像资料保存10年以上,至少3年在线,可供快速调阅、浏览和诊断使用。按照卫生计生行政部门有关要求及时上传影像资料数据信息。
另外我们要注意的是,在《卫生行业信息安全等级保护工作的指导意见》通知中,明确提出卫生行业信息安全等级保护工作的指导意见。以下重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
综合概括起来就是要达到等级保护的要求,除了医疗行业信息系统的机房按照标准化建设外,还要再做好三方面的工作:
存储 |
以解决15年以上的急诊(门诊)病历和30年住院电子病历为主。 |
灾备 |
以保护HIS、EMR、LIS、OA等数据为主。 |
防御 |
以加强网络安全、日志审计、防御各种攻击为主。 |
医疗行业信息系统的等级保护是关乎国计民生的重要工作,多方面因素导致了信息系统等级保护的工作思路也要与时俱进的变化,做好等级保护工作,通过等级保护测评,都是为了让医疗行业的信息系统在网络安全防护上更加牢固。