合肥医院等级保护怎么做?一般做几级?
医院是一个国家的重要的基础建设之一。救死护伤,是医院职责,随着信息技术的普及,网络和计算机技术成为医院这个生态圈的一个重要组成部分,为人民的就业带来便捷。但是由于这些技术的引进,一个封闭的医院数据生态系统,为外界提供了更多的入口,这些入口也成为很多网络攻击的目标。因此,对于医院来说,除了做好本职的工作外,医院的网络安全工作也需要的得到重视。同时也被要求开展等级保护工作,针对数据重要性开展分级保护工作。
医院的等级保护工作早2011年就开展了,在去年把互联医院平台也列入了等级保护测评。具体的相关文件发布时间如下:
2011年
国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评;
2016年
国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求;
2018年
国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了承载健康医疗大数据的平台必须通过等级保护(未规定级别),一般引入大数据技术的医院都是三级甲等医院,基本以三级等保为主;
2018年
国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评。
根据上述医院开展等级保护的相关意见和管理办法的规定来看,一般建议医院这样来定级。
医院内部重要的信息系统,建议这些内网的数据信息系统开展等级保护三级测评,并且实现相关的等保建设和安全防护,具体的测评对象如下:
医院信息系统(HIS)
实验室(检验科)信息系统(LIS)
医学影像信息系统(PACS)
电子病历系统
与患者交流的其他服务系统
一些对外开放的信息系统或者网站,主要用于OA,建议这些信息系统实施等级保护二级工作,开展相关的测评和建设,具体的测评对象如下:
门户网站
医院资源(财务业务一体化)规划系统(HRP)
其他涉及重要信息的业务系统
等级保护二级,一般每两年至少开展一次测评,等级保护三级以上的系统,每年都需要开展测评,这是都所有行业的规定,因此医院也需要按照这些规定开展测评工作。
医疗机构信息安全等级保护的需求背景
卫生医疗行业信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生医疗信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
某某医院三级等保建设拓扑
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)要求,卫生部结合卫生行业实际,特研究制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)和《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)来指导卫生医疗行业的信息安全建设工作。
医疗机构信息安全等级保护的安全需求
任何的安全事件所导致的医院业务系统宕机,都会降低患者的就医满意度同时医院的信息数据泄漏问题影响很大损害了医院的信誉,处理不当则可能会引起医患纠纷、法律问题甚至社会问题。综上所述,当前三甲医院面临的主要问题有以下几个方面:
医院信息系统互联互通的实现,使得医院信息系统面临更多来自外部的威胁(边界防护及边界访问控制)
安全意识的淡薄以及管理制度的不完善,面临着来自内部的人为失误或蓄意破坏、信息窃取(应用风险)
三甲医院拥有的患者信息、诊疗信息更加具有商业价值,渐渐得到灰色产业链的觊觎(应用风险)
安全事件造成的损失以及医院信息系统恢复的成本(备份恢复)
缺乏安全技术人员以及安全管理制度(三级等保制度)
面对外部网络威胁的恐慌,导致了医院信息化发展的裹足不前
医改对医院信息共享、远程医疗协助的政策导向,延伸出的信息安全保障
中新医疗机构信息安全等级保护解决方案特点
对于三甲医院的信息系统而言,安全建设应该主要考虑以下几个方面:
医院信息安全建设将从事前预防,事中减损,和事后纠正三个方面提供全面的防护策略,全面提升提高医院
安全防护能力;
重点防护对外WEB应用,降低数据泄露风险、支撑WEB可用性以及控制恶意访问;
采用VPN技术保证医院与分支医疗机构、医院与上下级机构以及医院与移动医护工作者的的安全数据交换;
加强主动防御能力,通过全方位、多视角的风险分析,完善医院信息系统漏洞,降低安全风险,提高信息系
统健壮性;
Bypass部署设计,一旦安全设备出现异常,将自动重启系统或者启用bypass,实现医院业务零断网;
提升医院IT设备运维审计能力,最小化避免操作失误以及蓄意破坏带来的损失;
采用集中统一的安全管理形式,提高安全管理效率;
选用安全服务外包模式,弥补医院专业安全技术人员的缺失,最大程度上减少医院运营中断和管理成本;
根据上级主管部门的政策指导,依据信息安全等级保护要求,对业务系统进行等级保护建设。
