一:醫(yī)療行業(yè)相關(guān)法律法規(guī)
2020年《關(guān)于在疫情防控中做好互聯(lián)網(wǎng)診療咨詢服務(wù)工作的通知》 國(guó)衛(wèi)辦醫(yī)函〔2020〕112號(hào)
2019年11月 國(guó)家衛(wèi)健委 《國(guó)家呼吸醫(yī)學(xué)中心及國(guó)家呼吸區(qū)域醫(yī)療中心設(shè)置標(biāo)準(zhǔn)的通知》
2018年9月 國(guó)家衛(wèi)健委 《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等3個(gè)文件的通知》
2018年7月 國(guó)家衛(wèi)健委 《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)�����、安全和服務(wù)管理辦法(試行)》
2018年《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)》
2018年《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》
2018年《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》的通知國(guó)衛(wèi)規(guī)劃發(fā)〔2018〕23號(hào)
2016年《2016三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)考評(píng)辦法(完整版)》
2011年《人口健康信息管理辦法(試行)》的通知國(guó)衛(wèi)規(guī)劃發(fā)〔2014〕24號(hào)
2011年《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作》的通知衛(wèi)辦綜函〔2011〕1126號(hào)
2011年《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知衛(wèi)辦發(fā)〔2011〕85號(hào)
二:醫(yī)療行業(yè)等級(jí)保護(hù)流程
1�����、定級(jí):信息系統(tǒng)運(yùn)營(yíng)使用單位按照等保管理辦法和定級(jí)指南,自主確定信息系統(tǒng)的安全保護(hù)等級(jí)��。有上級(jí)主管部門的�,應(yīng)當(dāng)經(jīng)上級(jí)主管部門審批?���?缡』蛉珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級(jí)。雖然說的是自主定級(jí)��,但主要還是根據(jù)系統(tǒng)實(shí)際情況去定級(jí)�,有行業(yè)指導(dǎo)文件的根據(jù)指導(dǎo)文件來,沒有文件的需要根據(jù)定級(jí)指南來��,總之一句話合理定級(jí)���,該是幾級(jí)就是幾級(jí)�,不要定的高也不要定的低���。
2�����、備案:第二級(jí)以上信息系統(tǒng)定級(jí)市級(jí)單位到所在地社區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)����。省級(jí)單位到省公安廳網(wǎng)安總隊(duì)備案,各地市單位一般直接到市級(jí)網(wǎng)安支隊(duì)備案�,也有部分地市區(qū)縣單位的定級(jí)備案資料是先交到區(qū)縣公安網(wǎng)監(jiān)大隊(duì)的,具體根據(jù)各地市要求來�����。
3�����、系統(tǒng)建設(shè)整改:信息系統(tǒng)安全保護(hù)等級(jí)確定后�����,運(yùn)營(yíng)使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)�,選擇管理辦法要求的信息安全產(chǎn)品,建設(shè)符合等級(jí)要求的信息安全設(shè)施�,建立安全組織,制定并落實(shí)安全管理制度��。
4�、測(cè)評(píng):等級(jí)測(cè)評(píng)信息系統(tǒng)建設(shè)完成后�,運(yùn)營(yíng)使用單位選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu)�����,對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)�����。測(cè)評(píng)完成之后根據(jù)發(fā)現(xiàn)的安全問題及時(shí)進(jìn)行整改���,特別是高危風(fēng)險(xiǎn)。測(cè)評(píng)的結(jié)果分為:優(yōu)���、良��、中��、差�����。
5�、監(jiān)督檢查:公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范及《網(wǎng)絡(luò)安全法》相關(guān)條款�,監(jiān)督檢查運(yùn)營(yíng)使用單位開展等保工作,定期對(duì)信息系統(tǒng)進(jìn)行安全檢查��。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查�、指導(dǎo),如實(shí)向公安機(jī)關(guān)提供有關(guān)材料��。
三:特別整理《醫(yī)療行業(yè)如何開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作》
1��、前言
當(dāng)前��,我國(guó)疫情防控已經(jīng)取得階段性的勝利��,但由于境外疫情加速擴(kuò)散�,國(guó)內(nèi)形勢(shì)依然嚴(yán)峻。這場(chǎng)突如其來的攻堅(jiān)戰(zhàn)打亂了醫(yī)療資源的正常使用秩序��,暴露了我國(guó)公共衛(wèi)生事件的應(yīng)急短板����。在這特殊時(shí)期,醫(yī)療信息化成為助力抗擊疫情的得力助手��,如互聯(lián)網(wǎng)+醫(yī)療平臺(tái)���、大數(shù)據(jù)平臺(tái)的使用加速擴(kuò)大�,這些平臺(tái)通過開展線上義診、名醫(yī)直播等方式�,為公眾提供線上問診服務(wù)��,解決了醫(yī)療資源合理利用問題����。而互聯(lián)網(wǎng)+醫(yī)療平臺(tái)、大數(shù)據(jù)平臺(tái)的使用�����,使得越來越多的醫(yī)療數(shù)據(jù)存儲(chǔ)在互聯(lián)網(wǎng)中����,為醫(yī)療行業(yè)帶來新的網(wǎng)絡(luò)安全問題,加劇了醫(yī)療行業(yè)網(wǎng)絡(luò)安全的復(fù)雜形勢(shì)��。
2���、政策背景
面對(duì)醫(yī)療行業(yè)網(wǎng)絡(luò)安全復(fù)雜嚴(yán)峻的形勢(shì)���,國(guó)家相關(guān)部門高度重視醫(yī)療行業(yè)的網(wǎng)絡(luò)安全工作,相繼推出一系列政策法規(guī)要求落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度��。
2018年7月國(guó)家衛(wèi)健委發(fā)布《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》���,規(guī)定承載醫(yī)療大數(shù)據(jù)的平臺(tái)必須落實(shí)等級(jí)保護(hù)制度��,健康醫(yī)療大數(shù)據(jù)中心����、相關(guān)信息系統(tǒng)要開展定級(jí)����、備案、測(cè)評(píng)等工作�����。
2018年9月國(guó)家衛(wèi)健委發(fā)布《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等3個(gè)文件的通知》����,要求開展互聯(lián)網(wǎng)診療服務(wù)的醫(yī)療機(jī)構(gòu)必須實(shí)施第三級(jí)信息安全等級(jí)保護(hù)。
2019年11月國(guó)家衛(wèi)生健康委辦公廳發(fā)布《國(guó)家呼吸醫(yī)學(xué)中心及國(guó)家呼吸區(qū)域醫(yī)療中心設(shè)置標(biāo)準(zhǔn)的通知》���,在信息化建設(shè)方面��,醫(yī)院核心業(yè)務(wù)系統(tǒng)達(dá)到國(guó)家信息安全等級(jí)保護(hù)制度三級(jí)要求�����。
從近兩年國(guó)家頒布的政策法規(guī)中可以看出��,國(guó)家對(duì)互聯(lián)網(wǎng)+醫(yī)療���、大數(shù)據(jù)醫(yī)療及醫(yī)院區(qū)域中心設(shè)置標(biāo)準(zhǔn)中都有明確的等級(jí)保護(hù)要求。落實(shí)好網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是醫(yī)療行業(yè)保障網(wǎng)絡(luò)安全的一塊基石�����。
四�、醫(yī)療行業(yè)如何開展等級(jí)保護(hù)工作?
1�、合理開展系統(tǒng)定級(jí)備案工作
早在2011年,還是等保1.0時(shí)代����,原衛(wèi)生部頒發(fā)的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》明確以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于三級(jí):
A、衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)���、傳染性疾病報(bào)告系統(tǒng)���、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國(guó)聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng);
B、國(guó)家�、省、地市三級(jí)衛(wèi)生信息平臺(tái)����,新農(nóng)合、衛(wèi)生監(jiān)督���、婦幼保健等國(guó)家級(jí)數(shù)據(jù)中心;
C�、衛(wèi)生部網(wǎng)站系統(tǒng);
D����、三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng);
E、其他經(jīng)過信息安全技術(shù)專家委員會(huì)評(píng)定為第三級(jí)以上(含第三級(jí)的信息系統(tǒng))��。
提示:隨著新興技術(shù)的發(fā)展�����,等保2.0將云計(jì)算�����、大數(shù)據(jù)��、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)�、移動(dòng)互聯(lián)等新技術(shù)產(chǎn)業(yè)也納入了監(jiān)管行列,顯然2011年的指導(dǎo)意見已經(jīng)不那么充分了����,好在上海市衛(wèi)生健康委員會(huì)2019年1月發(fā)布了《關(guān)于進(jìn)一步調(diào)整本市衛(wèi)生健康行業(yè)重要信息系統(tǒng)定級(jí)范圍的通知》,進(jìn)一步明確了區(qū)屬二��、三級(jí)醫(yī)療機(jī)構(gòu)和社區(qū)衛(wèi)生服務(wù)中心的相關(guān)信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第三級(jí)���,包括以下:
A、核心信息系統(tǒng)范圍覆蓋HIS��、LIS�����、RIS����、PACS、電子病歷�、核心數(shù)據(jù)庫(kù)、醫(yī)院信息采集及數(shù)據(jù)中心等;
B�、區(qū)域核心業(yè)務(wù)系統(tǒng)范圍涉及人口健康信息平臺(tái)����、區(qū)域醫(yī)學(xué)影像診斷信息系統(tǒng)�、區(qū)域心電診斷信息系統(tǒng)、去油臨床檢驗(yàn)診斷信息系統(tǒng)�、其中人口健康信息平臺(tái)涵蓋區(qū)域衛(wèi)生共享交換平臺(tái)、電子健康檔案等重要應(yīng)用系統(tǒng)�。
C、滿足如下條件之一的信息系統(tǒng):
a���、承載公民個(gè)人信息的;
b����、承載核心業(yè)務(wù)信息(包含但不限于預(yù)約掛號(hào)����、診療診斷、健康體檢���、免疫疾控�����、醫(yī)囑開方����、藥品與耗材、醫(yī)院運(yùn)營(yíng)�����、醫(yī)院管理��、遠(yuǎn)程醫(yī)療等)的;
c��、與核心業(yè)務(wù)系統(tǒng)發(fā)生雙向數(shù)據(jù)交換或業(yè)務(wù)協(xié)同的系統(tǒng)(包含但不限于網(wǎng)上簽約���、健康管理、問醫(yī)用藥�、醫(yī)療物聯(lián)網(wǎng)、科研隨訪�����、保險(xiǎn)理賠等);
d��、承載醫(yī)院對(duì)外形象宣傳的或醫(yī)院重要信息(包含但不限于醫(yī)院門戶網(wǎng)站���、統(tǒng)一登錄平臺(tái)����、移動(dòng)OA、移動(dòng)App等);
e��、承載國(guó)家法律法規(guī)需要落實(shí)敏感信息保護(hù)的;
f���、與其他按照等級(jí)保護(hù)要求運(yùn)行維護(hù)的發(fā)生雙向數(shù)據(jù)交換或業(yè)務(wù)協(xié)同的統(tǒng)�。
提示:醫(yī)療行業(yè)目前急需落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)的系統(tǒng)有兩類���,一是傳統(tǒng)核心業(yè)務(wù)系統(tǒng)��,二是新建融合了各種新技術(shù)的信息系統(tǒng)����。開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的第一步就是合理對(duì)這些系統(tǒng)進(jìn)行等級(jí)保護(hù)定級(jí)���。以下是目前有關(guān)部門發(fā)布的意見��。
提示:廣大醫(yī)療行業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)者����,《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)》中明確要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)在規(guī)劃設(shè)計(jì)階段確定網(wǎng)絡(luò)的安全保護(hù)定級(jí)���。對(duì)于第二級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者��,應(yīng)當(dāng)在網(wǎng)絡(luò)的安全保護(hù)等級(jí)確定后10個(gè)工作日內(nèi)�����,到縣級(jí)以上公安機(jī)關(guān)備案��。
2�����、常規(guī)化風(fēng)險(xiǎn)評(píng)估�、等級(jí)測(cè)評(píng)工作
醫(yī)療機(jī)構(gòu)在完成定級(jí)備案工作后,由信息安全管理部門牽頭進(jìn)行安全建設(shè)整改工作����,可以自行開展安全評(píng)估�,或者委托第三方單位開展安全評(píng)估工作,依據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)對(duì)評(píng)估結(jié)果進(jìn)行差距分析���,查看是否符合等級(jí)保護(hù)基本要求�。醫(yī)療機(jī)構(gòu)根據(jù)各系統(tǒng)的定級(jí)情況��,安排當(dāng)年的等級(jí)測(cè)評(píng)工作,按照要求定級(jí)為三級(jí)及以上的系統(tǒng)每年開展一次測(cè)評(píng)�,選擇公安部推薦目錄中的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)開展安全測(cè)評(píng)。
提示: 醫(yī)療機(jī)構(gòu)應(yīng)按照要求常規(guī)化風(fēng)險(xiǎn)開展等級(jí)測(cè)評(píng)工作�����,做到定期排查系統(tǒng)安全隱患��,對(duì)于不符合要求項(xiàng)���,信息系統(tǒng)運(yùn)營(yíng)��、使用單位及時(shí)開展安全整改���。一般現(xiàn)場(chǎng)測(cè)評(píng)工作需要1周左右時(shí)間,測(cè)評(píng)完成后對(duì)未達(dá)到安全保護(hù)等級(jí)要求的問題進(jìn)行整改�����,整改時(shí)間及程度依據(jù)系統(tǒng)安全現(xiàn)狀及經(jīng)費(fèi)決定�,不涉及購(gòu)買設(shè)備、網(wǎng)絡(luò)架構(gòu)大變動(dòng)小規(guī)模系統(tǒng)需要2周左右時(shí)間���,總體測(cè)評(píng)及出具最終符合公安機(jī)關(guān)要求的測(cè)評(píng)報(bào)告需至少一月時(shí)間��。
3�����、強(qiáng)化縱深防御能力
對(duì)系統(tǒng)進(jìn)行了全方位的風(fēng)險(xiǎn)分析���,完成了等保測(cè)評(píng)后����,就需要對(duì)測(cè)評(píng)中發(fā)現(xiàn)的問題進(jìn)行整改����。最快速簡(jiǎn)單的整改辦法就是從網(wǎng)絡(luò)整體架構(gòu)出發(fā),完善醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)�,配備并配置必要的網(wǎng)絡(luò)安全設(shè)備,形成縱深防御能力���,確保系統(tǒng)中無高風(fēng)險(xiǎn)問題����,其次再逐漸修正一些中低風(fēng)險(xiǎn)問題�。鑒于醫(yī)療行業(yè)數(shù)據(jù)的重要性,做好數(shù)據(jù)備份�����、數(shù)據(jù)加密存儲(chǔ)和傳輸工作�����,保障醫(yī)療數(shù)據(jù)的安全
等保測(cè)評(píng)咨詢
