近日,国家卫生健康委及下属国家中医药局、国家疾控局联合制定了《医疗卫生机构网络安全管理办法》(以下简称《管理办法》),以指导医疗卫生机构加强网络安全管理。这是卫健委规划发展与信息化司第一个网络安全方向的管理办法,该办法将成为医院及公卫机构网络安全建设的重要参考。
《医疗卫生机构网络安全管理办法》解读
可从合规、技术、管理、运营、资金等多个层面对《管理办法》内容进行解读。
1. 合规层面
医疗卫生机构安全建设要遵循《关键信息基础设施安全保护条例》、《密码法》、网络安全等级保护制度。
根据《管理办法》,对符合关键信息基础设施要求的医疗卫生机构应进行重点保护,保障网络安全、重要数据和个人信息安全。
《管理办法》要求,各医疗卫生机构应按照《密码法》等有关法律法规和密码应用相关标准规范,使用符合相关要求的密码产品和服务。密码产品和服务可有效验证医护患者等人员身份的真实性,保障医疗数据传输、存储、处理的保密性和完整性,实现共享、使用行为操作的可追溯性和不可抵赖性等。
医疗卫生机构应履行网络安全等级保护制度。《管理办法》在国家网络安全等级保护制度的基础上,根据行业自身情况,对二级网络的等保测评频次进行了调整,由原来的2年一次等保测评调整到3~5年一次。
二级网络系统涉及10万人以上个人信息的网络3年一次等保测评,其他的5年一次等保测评,减少了医疗机构的经费负担。外部的合规硬性要求的频率减少了,但对业务安全的内在要求反而更高了。需要医疗机构准确定级,既要避免投入不足,又要避免过度投入;并且在两次测评周期的3~5年内,需要确保安全的持续有效运营。
2. 技术层面
涵盖网络安全和数据安全,为医疗机构协同推进两方面的工作提供指导:
网络安全:围绕网络信息系统,进行等保定级、备案、测评、建设整改的全生命周期防护;同时,提出人工智能等新技术安全应用、供应链安全管理、医疗设备采购安装、运行维护、报废等全生命安全周期的各方面要求。
数据安全:要求技管并重。梳理数据资产,进行分类分级;并采取数据脱敏、数据加密、链路加密等防控措施,加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作。
3. 管理层面
管理安全覆盖以下层面:
数据安全管理:建立数据安全管理组织架构,健全数据安全管理制度、操作规程及技术规范,加强数据安全教育培训和教育;加强数据全生命周期安全管理。
网络安全管理:加强运维管理,制定运维操作规范和工作流程;加强远程运维管理;加强信息系统自行开发或外包开发过程中的安全管理;建立医疗设备相关网络安全管理制度;加强供应链安全管理。
人员安全管理:加强内部和第三方网络运营人员管理,安全管理负责人和关键岗位人员要做好安全背景审查等。
4. 运营层面
鼓励三级医院以态势感知平台为中心,构建网络安全运营体系,强化安全监测、态势感知、通报预警和应急处置等重点工作,落实网络安全保护的“三化六防”措施。此项工作也恰好契合等级保护“一个中心,三重防护”的总体安全防护思路。
5. 资金层面
以往医疗信息化项目中,安全占比较低。尤其是疫情以来,医疗行业也受到极大影响,资金紧张,不少项目被迫中止或暂停。即使正常运行的项目,由于资金原因,安全比例也一直在压缩。
《管理办法》要求新建信息化项目的网络安全预算不低于项目总预算的5%,首次对安全预算投入进行了制度性的规定,确保医疗机构在网络安全等级测评、安全建设整改等方面的经费投入。
医疗机构面临的难点
网络安全建设不是单一部门的工作任务,“谁主管谁负责、谁运营谁负责、谁使用谁负责”。《管理办法》要求二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门,这就需要负网络安全管理职责的牵头部门,统筹协调医疗机构内部所有合规、业务、运营、技术、管理等各层面的工作。
医院信息中心通常负责网络安全管理工作,但目前普遍人手不足,安全专业化能力欠缺,平时疲于应对日常管理运维,难以有效应对勒索病毒、挖矿、攻击等各类安全事件;业务快速发展新技术不断迭代,不清楚安全防护重点是什么;通常上了一堆安全产品不知该如何有效使用,资金大量投入却看不到效果,导致安全防护沦为了空架子。
医疗机构需要的安全能力
安全应从顶层进行系统性的设计,而不是单纯地堆叠产品,也不能单纯地聚焦网络问题或数据问题。需要一个总体的咨询规划来指引,建立全局性的、主动防御的安全防御体系。东软NetEye咨询规划服务可起到信息中心网络安全总工程师的角色,帮助医疗机构理清思路,摸清家底,分析风险,制定规划,落实能力,构建完善的安全防御体系。
东软NetEye网络安全咨询服务主要围绕九个关键步骤开展具体服务:
理思路——即理清医院业务与安全之间的关系,重新定位网络安全发展思路;
明方向——即锚定医院业务战略和信息化战略,明确与之匹配的网络安全方向;
融资源——即全面融合医院内外部网络安全资源,实现问题手段两手抓;
摸家底——即细化医院IT资产分类,构筑以业务为主线的医院资产仓库;
识风险——即围绕关键业务关联的资产,全面识别医院所面临的安全风险;
构蓝图——即构建基于医院业务驱动安全的网络安全发展蓝图;
提能力——即以“平战结合”理念,构筑医院常态化网络安全能力;
看效果——即通过指标的量化,度量医院安全能力所达到的效果;
抓运营——即围绕医院网络安全问题持续迭代优化,将安全能力融合到运营过程。
东软NetEye通过以咨询为牵引、以产品为抓手、以态势感知平台为支撑,将人、制度、产品、服务、工具结合作为”五位一体“的手段实现各安全能力组件的有机协同,实现医院业务连续性的保障。在网络安全建设过程中不断发现、验证、分析、解决问题,并持续迭代优化安全能力,将安全融合到运营过程中,实现医院网络安全的可持续运营。
东软NetEye是业内最早开展医疗等保建设的网络安全厂商之一,熟谙等保全生命周期的安全建设要求,积累了大量的医疗行业等保案例。同时,凭借着近30年的医疗业务领域业务积淀,26余年的网络安全实践经验积累,东软NetEye调研并剖析了大量三甲医院在数字化转型过程业务变化,以及信息化建设过程中所面临的网络安全挑战,形成了具有医疗专有属性的网络安全解决方案和产品。
近些年来,多次参与行业标准编制,如《健康医疗数据安全指南》《健康医疗大数据安全保护能力评估要求》等,并参与了国家部委多项数据安全课题、医疗器械网络安全课题研究,可以覆盖《管理办法》中所需的医疗机构等保安全、医疗设备安全、数据安全、供应链安全等内容,同时还可提供县域医共体、互联网医院等各类场景化安全解决方案。
