三部門聯(lián)合發(fā)布《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》:筑造安全長城 保衛(wèi)醫(yī)療圣地
2022-11-09
來源:安全419
據(jù)官方消息,為指導醫(yī)療衛(wèi)生機構(gòu)加強網(wǎng)絡(luò)安全管理,國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局發(fā)布《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》(以下簡稱《辦法》)。
《辦法》共5章三十四條,明確了醫(yī)療衛(wèi)生機構(gòu)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理責任義務(wù)。
● 《辦法》推進網(wǎng)絡(luò)安全等級保護
《辦法》第二章第五條要求有二級及以上網(wǎng)絡(luò)的醫(yī)療衛(wèi)生機構(gòu)應(yīng)建立網(wǎng)絡(luò)安全管理制度體系,加強網(wǎng)絡(luò)安全防護;第七條鼓勵三級醫(yī)院探索態(tài)勢感知平臺建設(shè);第八條要求各醫(yī)療衛(wèi)生機構(gòu)應(yīng)建立應(yīng)急處置機制有效處理網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件。
● 《辦法》加強網(wǎng)絡(luò)安全管控
《辦法》第二章第十三條要求相關(guān)機構(gòu)應(yīng)用大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術(shù)開展服務(wù)時,上線前應(yīng)評估新技術(shù)的安全風險并進行安全管控。
● 《辦法》加強個人信息保護
《辦法》第二章第十四條要求各醫(yī)療衛(wèi)生機構(gòu)應(yīng)規(guī)范和加強醫(yī)療設(shè)備數(shù)據(jù)、個人信息保護和網(wǎng)絡(luò)安全管理?!掇k法》第三章第十八條要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)擬定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護計劃,建立健全數(shù)據(jù)安全和個人信息保護制度。第二十二條要求各醫(yī)療衛(wèi)生機構(gòu)應(yīng)加強數(shù)據(jù)收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作,數(shù)據(jù)全生命周期活動應(yīng)在境內(nèi)開展。
知之愈明 行之愈篤
隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算技術(shù)的快速發(fā)展,醫(yī)療機構(gòu)的信息化、數(shù)字化程度越來越高,系統(tǒng)從院內(nèi)服務(wù)逐步向個人終端、互聯(lián)網(wǎng)延伸,容易受到勒索、挖礦病毒與漏洞利用攻擊、APT攻擊隱蔽滲透、釣魚行為等,與此同時,醫(yī)療大數(shù)據(jù)價值凸顯,數(shù)據(jù)泄露等事件層出不窮。
● 2021年3月,西安市某醫(yī)院的網(wǎng)絡(luò)系統(tǒng)突然出現(xiàn)故障,導醫(yī)臺、診室系統(tǒng)等網(wǎng)絡(luò)設(shè)備無法正常聯(lián)網(wǎng),醫(yī)院診療秩序受到破壞。經(jīng)院方網(wǎng)絡(luò)工程師初步排查,醫(yī)院網(wǎng)絡(luò)系統(tǒng)重要文件疑似被人為更改,診療系統(tǒng)全面癱瘓。
● 據(jù)2022年8月29日外媒報道,Critical Insight 發(fā)布H1 2022醫(yī)療數(shù)據(jù)泄露報告,其表示攻擊者逐漸將目標從大型醫(yī)院轉(zhuǎn)移到小型或?qū)?漆t(yī)院。更多攻擊者會傾向于缺乏相同水平安全措施的小型醫(yī)院系統(tǒng)和??圃\所。
醫(yī)療行業(yè)面對愈發(fā)嚴峻的網(wǎng)絡(luò)威脅態(tài)勢,面對愈發(fā)嚴苛的監(jiān)管要求,需要全面提升網(wǎng)絡(luò)安全建設(shè)和管理水平,遏制外部攻擊與內(nèi)部威脅,保護患者個人信息無虞,保護醫(yī)療基礎(chǔ)設(shè)施安全。
安全419關(guān)注到,結(jié)合網(wǎng)絡(luò)安全等級保護基本要求,中國評測網(wǎng)安中心提出了醫(yī)療行業(yè)網(wǎng)絡(luò)安全實現(xiàn)架構(gòu),從安全物理環(huán)境、安全網(wǎng)絡(luò)架構(gòu)、安全計算環(huán)境、安全制度管理和醫(yī)療數(shù)據(jù)安全方面搭建醫(yī)療行業(yè)網(wǎng)絡(luò)安全重點實現(xiàn)內(nèi)容,其中安全物理環(huán)境和安全網(wǎng)絡(luò)架構(gòu)是網(wǎng)絡(luò)安全防護基礎(chǔ),安全計算環(huán)境是網(wǎng)絡(luò)安全防護的重要組成部分,安全制度管理和醫(yī)療數(shù)據(jù)安全工作需覆蓋到物理環(huán)境、網(wǎng)絡(luò)架構(gòu)和計算環(huán)境三個層面。
除此之外,中國軟件評測中心發(fā)布的《移動互聯(lián)網(wǎng)醫(yī)療安全風控技術(shù)白皮書》針對移動互聯(lián)網(wǎng)醫(yī)療中日益凸顯的新技術(shù)應(yīng)用安全風險提出了相關(guān)建議:
01 加強安全風控頂層設(shè)計,促進“互聯(lián)網(wǎng)+醫(yī)療健康”持續(xù)發(fā)展。
02 構(gòu)建安全風險防控體系,為行業(yè)安全提供基礎(chǔ)保障。
03 持續(xù)優(yōu)化安全技術(shù)標準,滿足國家和行業(yè)監(jiān)管要求。
04 構(gòu)建新技術(shù)防范濫用機制,確保安全可控。
相應(yīng)的,醫(yī)療機構(gòu)的安全建設(shè)實踐也值得關(guān)注參考。安全419曾報道三甲公立醫(yī)院浙大二院信息安全運營服務(wù)體系的建設(shè)情況,其安全策略包含四大方向:保障IT基礎(chǔ)架構(gòu)安全、管控資產(chǎn)和訪問權(quán)限、及時感知并預(yù)警風險、規(guī)范技術(shù)人員運維。推行“角色分工”制度,垮崗位、垮院區(qū)形成聯(lián)動機制,通過工具技術(shù)流現(xiàn)實全安全體系的日常建設(shè)與運維,第三方安全企業(yè)技術(shù)團隊則負責更加具體的網(wǎng)絡(luò)安全監(jiān)測、預(yù)警、運維、處置、響應(yīng)等專業(yè)支撐。(延伸閱讀:《浙大二院:信息技術(shù)是未來醫(yī)院發(fā)展的核心競爭力》)
知之愈明,行之愈篤,《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》現(xiàn)已施行,相關(guān)醫(yī)療機構(gòu)應(yīng)高度重視,一同構(gòu)建網(wǎng)絡(luò)安全長城。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<