初识医院信息安全之等级保护

文章摘要:医院等级安全,需要注意这些。

自从2017年开始,我国网络安全建设步伐加速前进,尤其是2018年,医院信息建设步伐加速,“互联网+”深入各层级建设领域,从国家层面到各省市都在推进。国务院办公厅制定了《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号),地方各省市迅速进行布局和落实中央精神,如甘肃省人民政府办公厅关于促进“互联网+医疗健康”发展的实施意见(甘政办发〔2018〕148号),提出:

到2018年,全面建成省、市、县三级全民健康信息平台,二级以上医院全部接入信息平台,支撑全民健康管理和决策,提供便民惠民的健康医疗服务。

到2019年,完成全行业医疗健康信息互通共享,健全“互联网+医疗健康”标准体系,提高医院管理和便民服务水平,提升医疗机构基础设施保障能力,制定完善相关配套政策,促进“互联网+医疗健康”规范有序发展。

到2020年,“互联网+医疗服务”模式基本形成、“互联网+公共卫生服务”基本实现、“互联网+家庭医生签约”不断完善、“互联网+药品供应保障”稳定运行、“互联网+居家养老服务”基本建成、“互联网+中医养生保健”不断推广、“互联网+医保”惠及百姓、“互联网+医学教育和科普服务”逐步开展、“互联网+人工智能应用服务”不断推进。

“互联网+”正在迅速布局,网络安全建设也在同步加紧推进,其中做等级测评成为大单位的信息安全建设的标准化工程,必须如期按质完成:

一、国家层面对网络安全建设提出等保要求:

《中华人民共和国网络安全法》(2017年6月1日实行)第二十一条明确要求:国家实行网络安全等级保护制度。中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。习近平总书记在网络安全和信息化工作座谈会上发表重要讲话,提出要“坚持政策引导和依法管理并举”,“加快网络立法进程,完善依法监管措施,化解网络风险”、网络安全是国家安全的重要组成部分、网络空间是国家战略空间的延伸和自主管辖范围等。对构建网络安全法律保障机制、建设网络强国、提升网络空间国际治理能力提出了一系列要求。批示要求:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。

 

二、各单位信息系统等级保护之五级划分

 

三、医疗行业信息系统现状(主要业务系统)

 
大型医院如:

 
中小型医院如:

 
信息系统特点:

①高速的响应速度和联机事务处理能力;

②医疗信息数据的复杂性;

③信息的安全、保密度要求高;

④数据量大;

⑤稳定性要求高;

⑥瞬时并发访问量大;

⑦系统后期数据维护工作量大;

业务挑战:

①传统存储无法支持高并发访问;

②蠕虫、病毒的入侵导致的系统故障等信息安全事件;

③人为误操作导致的数据丢失事件;

④业务系统架构存在单点故障点,存储故障易导致业务中断和数据丢失;

⑤传统备份数据恢复事件长;

四、对医院卫生行业的要求:

HIS、PACS等平台属于为国计民生提供服务的信息系统,其服务范围为区域范围内的普通公民、医院等。该业务系统遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:1影响正常工作的开展,导致业务能力下降;2造成社会不良影响,为公众服务的医疗卫生机构的业务受到影响

根据《定级指南》的要求,出现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个不做考虑。上述结果的程度表现为:对社会秩序和公共利益造成一般损害

2011年11月,卫生部印发了《卫生行业信息安全等级保护工作的指导意见》通知,明确提出卫生行业信息安全等级保护工作的指导意见。以下重要卫生信息系统安全保护等级原则上不低于第三级:

(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;

(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;

(3)三级甲等医院的核心业务信息系统;

(4)卫生部网站系统;

(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。

其中,HIS、PACS等相关政策要求:

《电子病历基本规范(试行)》第十六条第一项规定:

1、具备保障电子病历数据安全的制度和措施,有数据备份机制,有条件的医疗机构应当建立信息系统灾备体系。应当能够落实系统出现故障时的应急预案,确保电子病历业务的连续性;

《电子病历基本规范2017》第十九条规定:

2、门(急)诊电子病历由医疗机构保管的,保存时间自患者最后一次就诊之日起不少于15年;住院电子病历保存时间自患者最后一次出院之日起不少于30年。

《医学影像诊断中心管理规范(试行)》规定:

3、影像资料保存10年以上,至少3年在线,可供快速调阅、浏览和诊断使用。按照卫生计生行政部门有关要求及时上传影像资料数据信息。

五、综合概括起来,达到等保要求,从技术层面上,除了机房按标准化建设外,另外至少还有三方面的工作:

 
一是存储,如数据中心双活(兼容数据保护/备份)解决方案

 
注:目前,各大医院,陆续采用虚拟化技术,有些LIS、EMR、财务等非核心业务需要整合到虚拟化平台,为保证数据的安全性,需要保证虚拟平台的安全存储构架与双活冗余压力负担,业务在两边可以同时运行又互为备份。

二是灾备,如:副本数据灾备及管理解决方案

 
注:分级数据保护降低整体灾备架构复杂度与整体TCO,满足核心业务的高SLA要求,可即时验证的灾难恢复效果。

本地与云备份方案:如:基于永久增量的D2D2C解决方案方案

 
三是防攻击、防病毒和日志审计等

 
注:核心业务与非核心业务区分开,实行不同等级的保护,VPN专线区分为内外网单独的专线,并加入审计、防护范围,实行不同的安防策略。

总之,做等级保护,过等级保护测评,都是为了更加网络信息安全。通过三级保护测评,只是一个标准化建设的过程,后续还得不断完善和加固原有信息网络和数据的建设,并不是一劳永逸的工作。对于三甲医院或者其他医院,应根据自己的实际情况,在原有基础上,不断完善自己的网络系统架构和数据保护措施,在技术日益更新的信息化时代,只有不断提升技术能力,紧跟时代步伐,并大力促进自己在信息运营方面的能力,提升服务质量,才能为增加单位创收、引领单位在信息化大潮中、永立行业鳌头之地中体现出信息化部门的应用价值。

至于具体怎么进行等保测评,可以参考《信息安全等级保护测评机构管理办法》,《网络安全法》、等级保护2.0等相关文件和资料。

来源:老吕聊信息安全,文章为原文作者独立观点,不代表医信邦立场。

0


扫一扫,分享到微信

猜你喜欢

文章评论

电子邮件地址不会被公开。 必填项已用*标注

后发表评论

需求发布

上一篇

国家医保局:4个层面,构建适应基层医疗发展的医保政策

下一篇

面临政策挑战 民营医院做大规模对冲风险

微信公众号

微信公众号