【医疗行业】等保评测解决方案
01医疗行业相关法律法规
等保评测
2020年《关于在疫情防控中做好互联网诊疗咨询服务工作的通知》 国卫办医函〔2020〕112号
2019年11月 国家卫健委 《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》
2018年9月 国家卫健委 《关于印发互联网诊疗管理办法(试行)等3个文件的通知》
2018年7月 国家卫健委 《国家健康医疗大数据标准、安全和服务管理办法(试行)》
2018年《关于印发互联网诊疗管理办法(试行)》
2018年《互联网医院管理办法(试行)》
2018年《国家健康医疗大数据标准、安全和服务管理办法(试行)》的通知国卫规划发〔2018〕23号
2016年《2016三级综合医院评审标准考评办法(完整版)》
2011年《人口健康信息管理办法(试行)》的通知国卫规划发〔2014〕24号
2011年《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作》的通知卫办综函〔2011〕1126号
2011年《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号
02医疗行业等级保护流程
一、定级:信息系统运营使用单位按照等保管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但主要还是根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的需要根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。
二、备案:第二级以上信息系统定级市级单位到所在地社区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。
三、系统建设整改:信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
四、测评:等级测评信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结果分为:优、良、中、差。
五、监督检查:公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等保工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
03
医疗行业等级保护费用组成
等保评测
医疗行业等保的费用主要由三部分组成:
第一部分专家定级评审费用,是因为定级环节需要邀请三位专家就信息系统定级情况组织开展定级评审会议所产生的专家费;
第二部分费用为等保的咨询和测评费用,根据系统情况不同,所以费用也不同;
第三部分为建设整改的费用,需要根据企业的实际情况来确定最终费用;
测评的费用因系统规模、不同等级、不同地域而不同,具体价格需要和测评机构进一步讨论才能确定。
04
特别整理《医疗行业如何开展网络安全等级保护工作》
等保评测
一、前言
当前,我国疫情防控已经取得阶段性的胜利,但由于境外疫情加速扩散,国内形势依然严峻。这场突如其来的攻坚战打乱了医疗资源的正常使用秩序,暴露了我国公共卫生事件的应急短板。在这特殊时期,医疗信息化成为助力抗击疫情的得力助手,如互联网+医疗平台、大数据平台的使用加速扩大,这些平台通过开展线上义诊、名医直播等方式,为公众提供线上问诊服务,解决了医疗资源合理利用问题。而互联网+医疗平台、大数据平台的使用,使得越来越多的医疗数据存储在互联网中,为医疗行业带来新的网络安全问题,加剧了医疗行业网络安全的复杂形势。
二、政策背景
面对医疗行业网络安全复杂严峻的形势,国家相关部门高度重视医疗行业的网络安全工作,相继推出一系列政策法规要求落实网络安全等级保护制度。
2018年7月国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,规定承载医疗大数据的平台必须落实等级保护制度,健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。
2018年9月国家卫健委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》,要求开展互联网诊疗服务的医疗机构必须实施第三级信息安全等级保护。
2019年11月国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》,在信息化建设方面,医院核心业务系统达到国家信息安全等级保护制度三级要求。
从近两年国家颁布的政策法规中可以看出,国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。
三、医疗行业如何开展等级保护工作?
1、合理开展系统定级备案工作
早在2011年,还是等保1.0时代,原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》明确以下重要卫生信息系统安全保护等级原则上不低于三级:
A、卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
B、国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
C、卫生部网站系统;
D、三级甲等医院的核心业务信息系统;
E、其他经过信息安全技术专家委员会评定为第三级以上(含第三级的信息系统)。
万方安全提示:随着新兴技术的发展,等保2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列,显然2011年的指导意见已经不那么充分了,好在上海市卫生健康委员会2019年1月发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》,进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级,包括以下:
A、核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等;
B、区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。
C、满足如下条件之一的信息系统:
a、承载公民个人信息的;
b、承载核心业务信息(包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等)的;
c、与核心业务系统发生双向数据交换或业务协同的系统(包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等);
d、承载医院对外形象宣传的或医院重要信息(包含但不限于医院门户网站、统一登录平台、移动OA、移动App等);
e、承载国家法律法规需要落实敏感信息保护的;
f、与其他按照等级保护要求运行维护的发生双向数据交换或业务协同的统。
万方安全提示:医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。以下是目前有关部门发布的意见。
万方安全提示:广大医疗行业网络运营者,《网络安全等级保护条例(征求意见稿)》中明确要求网络运营者应当在规划设计阶段确定网络的安全保护定级。对于第二级以上网络运营者,应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。
2、常规化风险评估、等级测评工作
医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可以自行开展安全评估,或者委托第三方单位开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况,安排当年的等级测评工作,按照要求定级为三级及以上的系统每年开展一次测评,选择公安部推荐目录中的等级保护测评机构开展安全测评。
万方安全提示: 医疗机构应按照要求常规化风险开展等级测评工作,做到定期排查系统安全隐患,对于不符合要求项,信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间,测评完成后对未达到安全保护等级要求的问题进行整改,整改时间及程度依据系统安全现状及经费决定,不涉及购买设备、网络架构大变动小规模系统需要2周左右时间,总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。
3、强化纵深防御能力
对系统进行了全方位的风险分析,完成了等保测评后,就需要对测评中发现的问题进行整改。最快速简单的整改办法就是从网络整体架构出发,完善医疗机构网络安全建设,配备并配置必要的网络安全设备,形成纵深防御能力,确保系统中无高风险问题,其次再逐渐修正一些中低风险问题。鉴于医疗行业数据的重要性,做好数据备份、数据加密存储和传输工作,保障医疗数据的安全。