三部門聯(lián)合發(fā)布《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》:筑造安全長(zhǎng)城 保衛(wèi)醫(yī)療圣地
2022-11-09
來(lái)源:安全419
據(jù)官方消息,為指導(dǎo)醫(yī)療衛(wèi)生機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全管理,國(guó)家衛(wèi)生健康委、國(guó)家中醫(yī)藥局、國(guó)家疾控局發(fā)布《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》(以下簡(jiǎn)稱《辦法》)。
《辦法》共5章三十四條,明確了醫(yī)療衛(wèi)生機(jī)構(gòu)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理責(zé)任義務(wù)。
● 《辦法》推進(jìn)網(wǎng)絡(luò)安全等級(jí)保護(hù)
《辦法》第二章第五條要求有二級(jí)及以上網(wǎng)絡(luò)的醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立網(wǎng)絡(luò)安全管理制度體系,加強(qiáng)網(wǎng)絡(luò)安全防護(hù);第七條鼓勵(lì)三級(jí)醫(yī)院探索態(tài)勢(shì)感知平臺(tái)建設(shè);第八條要求各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立應(yīng)急處置機(jī)制有效處理網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件。
● 《辦法》加強(qiáng)網(wǎng)絡(luò)安全管控
《辦法》第二章第十三條要求相關(guān)機(jī)構(gòu)應(yīng)用大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術(shù)開(kāi)展服務(wù)時(shí),上線前應(yīng)評(píng)估新技術(shù)的安全風(fēng)險(xiǎn)并進(jìn)行安全管控。
● 《辦法》加強(qiáng)個(gè)人信息保護(hù)
《辦法》第二章第十四條要求各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)規(guī)范和加強(qiáng)醫(yī)療設(shè)備數(shù)據(jù)、個(gè)人信息保護(hù)和網(wǎng)絡(luò)安全管理?!掇k法》第三章第十八條要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)擬定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計(jì)劃,建立健全數(shù)據(jù)安全和個(gè)人信息保護(hù)制度。第二十二條要求各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集、存儲(chǔ)、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作,數(shù)據(jù)全生命周期活動(dòng)應(yīng)在境內(nèi)開(kāi)展。
知之愈明 行之愈篤
隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算技術(shù)的快速發(fā)展,醫(yī)療機(jī)構(gòu)的信息化、數(shù)字化程度越來(lái)越高,系統(tǒng)從院內(nèi)服務(wù)逐步向個(gè)人終端、互聯(lián)網(wǎng)延伸,容易受到勒索、挖礦病毒與漏洞利用攻擊、APT攻擊隱蔽滲透、釣魚(yú)行為等,與此同時(shí),醫(yī)療大數(shù)據(jù)價(jià)值凸顯,數(shù)據(jù)泄露等事件層出不窮。
● 2021年3月,西安市某醫(yī)院的網(wǎng)絡(luò)系統(tǒng)突然出現(xiàn)故障,導(dǎo)醫(yī)臺(tái)、診室系統(tǒng)等網(wǎng)絡(luò)設(shè)備無(wú)法正常聯(lián)網(wǎng),醫(yī)院診療秩序受到破壞。經(jīng)院方網(wǎng)絡(luò)工程師初步排查,醫(yī)院網(wǎng)絡(luò)系統(tǒng)重要文件疑似被人為更改,診療系統(tǒng)全面癱瘓。
● 據(jù)2022年8月29日外媒報(bào)道,Critical Insight 發(fā)布H1 2022醫(yī)療數(shù)據(jù)泄露報(bào)告,其表示攻擊者逐漸將目標(biāo)從大型醫(yī)院轉(zhuǎn)移到小型或?qū)?漆t(yī)院。更多攻擊者會(huì)傾向于缺乏相同水平安全措施的小型醫(yī)院系統(tǒng)和??圃\所。
醫(yī)療行業(yè)面對(duì)愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)威脅態(tài)勢(shì),面對(duì)愈發(fā)嚴(yán)苛的監(jiān)管要求,需要全面提升網(wǎng)絡(luò)安全建設(shè)和管理水平,遏制外部攻擊與內(nèi)部威脅,保護(hù)患者個(gè)人信息無(wú)虞,保護(hù)醫(yī)療基礎(chǔ)設(shè)施安全。
安全419關(guān)注到,結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求,中國(guó)評(píng)測(cè)網(wǎng)安中心提出了醫(yī)療行業(yè)網(wǎng)絡(luò)安全實(shí)現(xiàn)架構(gòu),從安全物理環(huán)境、安全網(wǎng)絡(luò)架構(gòu)、安全計(jì)算環(huán)境、安全制度管理和醫(yī)療數(shù)據(jù)安全方面搭建醫(yī)療行業(yè)網(wǎng)絡(luò)安全重點(diǎn)實(shí)現(xiàn)內(nèi)容,其中安全物理環(huán)境和安全網(wǎng)絡(luò)架構(gòu)是網(wǎng)絡(luò)安全防護(hù)基礎(chǔ),安全計(jì)算環(huán)境是網(wǎng)絡(luò)安全防護(hù)的重要組成部分,安全制度管理和醫(yī)療數(shù)據(jù)安全工作需覆蓋到物理環(huán)境、網(wǎng)絡(luò)架構(gòu)和計(jì)算環(huán)境三個(gè)層面。
除此之外,中國(guó)軟件評(píng)測(cè)中心發(fā)布的《移動(dòng)互聯(lián)網(wǎng)醫(yī)療安全風(fēng)控技術(shù)白皮書(shū)》針對(duì)移動(dòng)互聯(lián)網(wǎng)醫(yī)療中日益凸顯的新技術(shù)應(yīng)用安全風(fēng)險(xiǎn)提出了相關(guān)建議:
01 加強(qiáng)安全風(fēng)控頂層設(shè)計(jì),促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”持續(xù)發(fā)展。
02 構(gòu)建安全風(fēng)險(xiǎn)防控體系,為行業(yè)安全提供基礎(chǔ)保障。
03 持續(xù)優(yōu)化安全技術(shù)標(biāo)準(zhǔn),滿足國(guó)家和行業(yè)監(jiān)管要求。
04 構(gòu)建新技術(shù)防范濫用機(jī)制,確保安全可控。
相應(yīng)的,醫(yī)療機(jī)構(gòu)的安全建設(shè)實(shí)踐也值得關(guān)注參考。安全419曾報(bào)道三甲公立醫(yī)院浙大二院信息安全運(yùn)營(yíng)服務(wù)體系的建設(shè)情況,其安全策略包含四大方向:保障IT基礎(chǔ)架構(gòu)安全、管控資產(chǎn)和訪問(wèn)權(quán)限、及時(shí)感知并預(yù)警風(fēng)險(xiǎn)、規(guī)范技術(shù)人員運(yùn)維。推行“角色分工”制度,垮崗位、垮院區(qū)形成聯(lián)動(dòng)機(jī)制,通過(guò)工具技術(shù)流現(xiàn)實(shí)全安全體系的日常建設(shè)與運(yùn)維,第三方安全企業(yè)技術(shù)團(tuán)隊(duì)則負(fù)責(zé)更加具體的網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警、運(yùn)維、處置、響應(yīng)等專業(yè)支撐。(延伸閱讀:《浙大二院:信息技術(shù)是未來(lái)醫(yī)院發(fā)展的核心競(jìng)爭(zhēng)力》)
知之愈明,行之愈篤,《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》現(xiàn)已施行,相關(guān)醫(yī)療機(jī)構(gòu)應(yīng)高度重視,一同構(gòu)建網(wǎng)絡(luò)安全長(zhǎng)城。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<