前言
當前,我國疫情防控已經取得階段性的勝利,但由於境外疫情加速擴散,國內形勢依然嚴峻。這場突如其來的攻堅戰打亂了醫療資源的正常使用秩序,暴露了我國公共衛生事件的應急短板。在這特殊時期,醫療信息化成為助力抗擊疫情的得力助手,如互聯網+醫療平臺、大數據平臺的使用加速擴大,這些平臺通過開展線上義診、名醫直播等方式,為公眾提供線上問診服務,解決了醫療資源合理利用問題。而互聯網+醫療平臺、大數據平臺的使用,使得越來越多的醫療數據存儲在互聯網中,為醫療行業帶來新的網絡安全問題,加劇了醫療行業網絡安全的複雜形勢。
政策背景
面對醫療行業網絡安全複雜嚴峻的形勢,國家相關部門高度重視醫療行業的網絡安全工作,相繼推出一系列政策法規要求落實網絡安全等級保護制度。
2018年7月國家衛健委發佈《國家健康醫療大數據標準、安全和服務管理辦法(試行)》,規定承載醫療大數據的平臺必須落實等級保護制度,健康醫療大數據中心、相關信息系統要開展定級、備案、測評等工作。
2018年9月國家衛健委發佈《關於印發互聯網診療管理辦法(試行)等3個文件的通知》,要求開展互聯網診療服務的醫療機構必須實施第三級信息安全等級保護。
2019年11月國家衛生健康委辦公廳發佈《國家呼吸醫學中心及國家呼吸區域醫療中心設置標準的通知》,在信息化建設方面,醫院核心業務系統達到“國家信息安全等級保護制度三級要求”。
從近兩年國家頒佈的政策法規中可以看出,國家對互聯網+醫療、大數據醫療及醫院區域中心設置標準中都有明確的等級保護要求。落實好網絡安全等級保護制度是醫療行業保障網絡安全的一塊基石。
中國軟件評測中心網安中心對醫療行業開展等級保護工作的建議
一、合理開展系統定級備案工作
醫療行業目前急需落實網絡安全等級保護的系統有兩類,一是傳統核心業務系統,二是新建融合了各種新技術的信息系統。開展網絡安全等級保護工作的第一步就是合理對這些系統進行等級保護定級。 中國軟件評測中心網安中心整理了目前有關部門發佈的意見。
早在2011年,還是等級保護1.0時代,原衛生部頒發的《衛生行業信息安全等級保護工作的指導意見》明確以下重要衛生信息系統安全保護等級原則上不低於三級:
1.衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統;
2.國家、省、地市三級衛生信息平臺,新農合、衛生監督、婦幼保健等國家級數據中心;
3.三級甲等醫院的核心業務信息系統;
4.衛生部網站系統;
5.其他經過信息安全技術專家委員會評定為第三級以上(含第三級的信息系統)。
但隨著新興技術的發展,等級保護2.0將雲計算、大數據、物聯網、工業控制系統、移動互聯等新技術產業也納入了監管行列,顯然2011年的指導意見已經不那麼充分了,好在上海市衛生健康委員會2019年1月發佈了《關於進一步調整本市衛生健康行業重要信息系統定級範圍的通知》,進一步明確了區屬二、三級醫療機構和社區衛生服務中心的相關信息系統安全保護等級原則上不低於第三級,包括以下:
1.核心信息系統範圍覆蓋HIS、LIS、RIS、PACS、電子病歷、核心數據庫、醫院信息採集及數據中心等;
2.區域核心業務系統範圍涉及人口健康信息平臺、區域醫學影像診斷信息系統、區域心電診斷信息系統、去油臨床檢驗診斷信息系統、其中人口健康信息平臺涵蓋區域衛生共享交換平臺、電子健康檔案等重要應用系統。
3.滿足如下條件之一的信息系統:
a、承載公民個人信息的信息系統;
b、承載核心業務信息(包含但不限於預約掛號、診療診斷、健康體檢、免疫疾控、醫囑開方、藥品與耗材、醫院運營、醫院管理、遠程醫療等)的信息系統;
c、與核心業務系統發生雙向數據交換或業務協同的信息系統(包含但不限於網上籤約、健康管理、問醫用藥、醫療物聯網、科研隨訪、保險理賠等);
d、承載國家法律法規需要落實敏感信息保護的信息系統;
e、承載醫院對外形象宣傳的信息系統或醫院重要信息(包含但不限於醫院門戶網站、統一登錄平臺、移動OA、移動App等);
f、與其他按照等級保護要求運行維護的信息系統發生雙向數據交換或業務協同的信息系統。
上海衛健委發佈的定級範圍可以說是緊跟國家相關政策法律法規,區分了核心業務系統、區域核心業務系統,以及將含有敏感信息保護的信息系統、承載公民個人信息保護的系統都包含進來,是非常有借鑑作用的。等級保護2.0的開展,對醫療機構而言,無疑是對其網絡和信息安全能力提出了進一步要求。
另外,中國軟件評測中心網安中心提醒廣大醫療行業網絡運營者,《網絡安全等級保護條例(徵求意見稿)》中明確要求“網絡運營者應當在規劃設計階段確定網絡的安全保護定級” 。對於第二級以上網絡運營者,應當在網絡的安全保護等級確定後10個工作日內,到縣級以上公安機關備案。
二、常規化風險評估、等級測評工作
醫療機構在完成定級備案工作後,由信息安全管理部門牽頭進行安全建設整改工作,可以自行開展安全評估,或者委託第三方單位開展安全評估工作,依據等級保護標準對評估結果進行差距分析,查看是否符合等級保護基本要求。醫療機構根據各系統的定級情況,安排當年的等級測評工作,按照要求定級為三級及以上的系統每年開展一次測評,選擇公安部推薦目錄中的等級保護測評機構開展安全測評。
醫療機構應按照要求常規化風險評估、等級測評工作,做到定期排查系統安全隱患,對於不符合要求項,信息系統運營、使用單位及時開展安全整改。一般現場測評工作需要1周左右時間,測評完成後對未達到安全保護等級要求的問題進行整改,整改時間及程度依據系統安全現狀及經費決定,不涉及購買設備、網絡架構大變動小規模系統需要2周左右時間,總體測評及出具最終符合公安機關要求的測評報告需至少一月時間。
三、強化縱深防禦能力
對系統進行了全方位的風險分析,完成了等級保護測評後,就需要對測評中發現的問題進行整改。最快速簡單的整改辦法就是從網絡整體架構出發,完善醫療機構網絡安全建設,配備並配置必要的網絡安全設備,形成縱深防禦能力,確保系統中無高風險問題,其次再逐漸修正一些中低風險問題。鑑於醫療行業數據的重要性,做好數據備份、數據加密存儲和傳輸工作,保障醫療數據的安全。
中國軟件評測中心網絡空間安全測評工程技術中心在有關部門的指導下,結合豐富的一線實戰經驗,參照近三年的測試(脫敏後)數據,聯合HC3i數字醫療網共同推出《醫療行業網絡安全白皮書2020》。
(中國軟件評測中心 劉思思)
