根据《2020数字医疗网络安全报告》数据,医疗行业总体 处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。报告显示,医疗行业网络安全面临四大风险:资产脆弱性风险、僵木蠕毒风险、漏洞风险、网站篡改风险。
二、医疗行业等级保护相关政策法规
2011年11月29日,卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知;
2018年,国家卫健委发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》中第19条:单位应当按照国家网络安全等级保护制度要求,构建可信的网络安全环境,加强健康医疗大数据相关系统安全保障体系建设,提升关键信息基础设施和重要信息系统的安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作;
2018年,国家卫健委发布的《互联网医院管理办法(试行)》第三章第十五条:互联网医院信息系统,按照国家有关法律法规和规定,实施第三级信息安全等级保护;
2018年12月,国家卫健委发布的《电子病历系统应用水平分级评价标准(试行)》第35项:完成信息安全等级保护定级备案与测评、医院重要信息安全等级保护不低于三级;
从近两年国家颁布的政策法规中可以看出,国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。
三、医疗行业开展等保工作的建议
医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。
2019年1月,上海市卫生健康委员会发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》,进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级。
A、核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等;
B、区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。
b、承载核心业务信息(包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等)的;
c、与核心业务系统发生双向数据交换或业务协同的系统(包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等);
d、承载医院对外形象宣传的或医院重要信息(包含但不限于医院门户网站、统一登录平台、移动OA、移动App等);
e、承载国家法律法规需要落实敏感信息保护
f、与其他按照等级保护要求运行维护的发生双向数据交换或业务协同的系统。
京公网安备 11011202000939号
在线咨询
010-57298809