首页 > 新闻动态> 医疗行业等级保护的关键要素与实施建议
医疗行业等级保护的关键要素与实施建议
2024-03-13

医疗行业作为等级保护评测的重点领域,早在等保2.0发布前便已受到充分关注。鉴于其具有丰硕的医疗数据资源且进行了系统化处理,互联网+时代的到来更推动其积极融入互联网。然而,此举同时也加大了网络安全风险,即使有等级保护措施,思想的落实仍不尽人意,存在较大安全隐患,医疗信息系统防护能力不足。这为黑客和不良分子提供了入侵的渠道。

一、医疗行业所面临的信息安全威胁

医疗行业逐步依赖的信息系统,包含重要的患者数据和医疗记录等,使其往往成为黑客和网络犯罪的首选目标。

1.数据泄漏是医疗卫生行业最主要的威胁之一,大量敏感的患者信息存储于医疗机构,一旦外泄将给患者隐私带来极大威胁。甚至有人在暗地里倒卖这些信息,令数据泄露的风险急剧上升。

2.医疗器械的网络化也带来了安全隐患,不少医疗器械已经联网,使得黑客有机会远程操纵设备,危及患者安全。由于医疗机构未能及时更新和维护这些设备,更易成为攻击目标。

3.医疗卫生行业内部人员也可能导致数据泄露或系统受损,对信息安全构成挑战。

总而言之,医疗卫生行业的信息安全状况危机四伏,亟须更强有力地保护措施来抵御层出不穷的安全威胁。

二、医疗行业等级保护相关政策法规

面对医疗行业网络安全形势严峻,国家管理部门高度重视,纷纷出台了一系列相关政策法规,强化了网络安全等级保护制度的执行力度。

2011年,国家卫健委发布《卫生行业信息安全等级保护工作的指导意见》,规定三级医院重要业务系统必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评;

2016年,国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定重要业务系统必须达到等保三级标准才能满足三级医院评审标准中关于网络安全的要求。

2018年,国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了健康医疗大数据平台必须落实现行等级保护制度。

2018年,国家卫健委发布的《互联网医院管理办法(试行)》第三章第十五条明确规定:互联网医院信息系统,需遵守国家律法和规定,实行第三级信息安全等级保护。

2018年,国家卫健委发布的《电子病历系统应用水平分级评价标准(试行)》第35项:只有完成信息安全等级保护定级备案与测评,每个医院的相关信息安全等级保护才不低于三级。

2019年,国家卫生健康委发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》,明确指出信息化建设应达标"国家信息安全等级保护三级制度。

从上述政策法规可见,无论是互联网+医疗、大数据医疗还是医院区域中心设置均对等级保护提出严格要求。执行好网络安全等级保护制度是医疗行业保障网络安全的关键所在。

三、医疗行业开展等级保护工作的建议

首先,对医疗行业实施等级保护提出以下建议。当前,医疗行业亟需进行网络安全等级保护的主要系统包括两个类别,即传统的核心业务系统及融合新型技术的信息化系统。2019年,卫生健康委员会发布通知,进一步明确规定地区二、三级医疗机构及社区卫生服务中心相关信息系统的安全保护等级不得低于第三级。

1.核心信息系统覆盖了HIS、LIS、RIS、PACS、电子病历、核心数据库及医院信息采集与数据中心等;

2.区域核心业务系统则涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统,其中人口健康信息平台还涵盖区域卫生共享交换平台及电子健康档案等重要应用软件;

3.满足以下至少一个条件的信息系统:

a.承载公民个人信息;

b.涉及提供预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等核心业务信息的系统;

c.与核心业务系统进行双向数据交换或业务协同的系统(如网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等);

d.输送医院对外形象宣传内容或展示医院重要信息(如医院门户网站、统一登录平台、移动OA、移动app等);

e.需保障敏感信息的系统;

f.与其他按等级保护要求运行和维护的系统进行双向数据交换或业务协同的系统。

医疗行业等级保护工作是保障信息系统安全、稳定运行的关键。医疗行业需要加强管理体系的建设、加强技术的应用、加强人员的培训和建立健全的应急预案,以提高信息系统的安全性和稳定性。同时,医疗行业也需要关注行业的发展趋势,及时了解新技术的应用和发展,以适应行业的发展需求。