伴隨醫療行業信息化建設的不斷髮展,信息系統在其中扮演的角色也越來越重要,其所面臨的安全挑戰也不斷湧現,患者隱私洩露、掛號系統中斷以及木馬病毒攻擊直接威脅到醫療行業運行秩序和信息系統安全。
在等保2.0時代,醫療行業的等級保護工作變得更加重要,等保2.0將雲計算、移動互聯、物聯網、工業控制系統等新技術、新應用的場景列入標準範圍。但是由於醫療行業的行業特徵和特殊性,因此,今天的文章我們就來簡單瞭解醫療行業等級保護工作的有關內容。
醫療行業的等級保護建設之路
早在2011年,原衛生部就下發了《關於全面開展衛生行業信息安全等級保護工作的通知》,要求三級甲等醫院的核心業務信息系統信息安全保護等級不低於第三級,同時要求各醫院於2015年12月30日前完成信息安全等級保護建設整改工作,並通過等級測評。
隨後從2017年開始,我國網絡安全建設步伐加速前進,尤其是2018年,醫院信息建設步伐加速,國務院辦公廳制定了《關於促進“互聯網+醫療健康”發展的意見》(國辦發〔2018〕26號),要求建成省、市、縣三級全民健康信息平臺,二級以上醫院全部接入信息平臺,支撐全民健康管理和決策,提供便民惠民的健康醫療服務。再到2020年,“互聯網+醫療服務”模式基本形成。
醫療行業信息系統現狀
醫療行業信息系統特點
● 高速的響應速度和聯機事務處理能力
● 醫療信息數據的複雜性
● 信息的安全、保密度要求高
● 數據量大
● 穩定性要求高
● 瞬時併發訪問量大
● 系統後期數據維護工作量大
業務中存在的威脅
● 傳統存儲無法支持高併發訪問
● 蠕蟲、病毒的入侵導致的系統故障等信息安全事件
● 人為誤操作導致的數據丟失事件
● 業務系統架構存在單點故障點,存儲故障易導致業務中斷和數據丟失
● 傳統備份數據恢復事件長
從上述內容我們總結一下對醫療行業信息系統等級保護的要求:
HIS、PACS等平臺屬於為國計民生提供服務的信息系統,其服務範圍為區域範圍內的普通公民、醫院等。該業務系統遭到破壞後,所侵害的客體是公民、法人和其他組織的合法權益,同時也侵害社會秩序和公共利益。客觀方面的侵害結果表現為:1、影響正常工作的開展,導致業務能力下降;2、造成社會不良影響,為公眾服務的醫療衛生機構的業務受到影響。
根據《定級指南》的要求,出現上述兩個侵害客體時,優先考慮社會秩序和公共利益,另外一個不做考慮。上述結果的程度表現為:對社會秩序和公共利益造成一般損害。
其中HIS、PACS等相關政策要求:
《電子病歷基本規範(試行)》第十六條第一項規定:
1、具備保障電子病歷數據安全的制度和措施,有數據備份機制,有條件的醫療機構應當建立信息系統災備體系。應當能夠落實系統出現故障時的應急預案,確保電子病歷業務的連續性;
《電子病歷基本規範2017》第十九條規定:
2、門(急)診電子病歷由醫療機構保管的,保存時間自患者最後一次就診之日起不少於15年;住院電子病歷保存時間自患者最後一次出院之日起不少於30年。
《醫學影像診斷中心管理規範(試行)》規定:
3、影像資料保存10年以上,至少3年在線,可供快速調閱、瀏覽和診斷使用。按照衛生計生行政部門有關要求及時上傳影像資料數據信息。
另外我們要注意的是,在《衛生行業信息安全等級保護工作的指導意見》通知中,明確提出衛生行業信息安全等級保護工作的指導意見。以下重要衛生信息系統安全保護等級原則上不低於第三級:
(1)衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統;
(2)國家、省、地市三級衛生信息平臺,新農合、衛生監督、婦幼保健等國家級數據中心;
(3)三級甲等醫院的核心業務信息系統;
(4)衛生部網站系統;
(5)其他經過信息安全技術專家委員會評定為第三級以上(含第三級)的信息系統。
綜合概括起來就是要達到等級保護的要求,除了醫療行業信息系統的機房按照標準化建設外,還要再做好三方面的工作:
醫療行業信息系統的等級保護是關乎國計民生的重要工作,多方面因素導致了信息系統等級保護的工作思路也要與時俱進的變化,做好等級保護工作,通過等級保護測評,都是為了讓醫療行業的信息系統在網絡安全防護上更加牢固。
閱讀更多 e安教育 的文章
