醫(yī)療行業(yè)如何開展等級(jí)保護(hù)工作

醫(yī)療行業(yè)如何開展等級(jí)保護(hù)工作？時(shí)代新威等級(jí)保護(hù)小組目錄政策背景重要政策分析工作經(jīng)驗(yàn)總結(jié)contents01政策背景政策背景網(wǎng)絡(luò)安全相關(guān)監(jiān)管要求文件1.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》2017年6月2.《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》(公安部第151號(hào)令【2018】)3.《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》（征求意見）公安部2018年6月4.《信息安全等級(jí)保護(hù)管理辦法》（公通字【2007】43號(hào)）5.《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》

2017年4月，國(guó)家互聯(lián)網(wǎng)信息辦公室6.《數(shù)據(jù)安全管理辦法（征求意見稿）》2019年5月國(guó)家互聯(lián)網(wǎng)信息辦公室7.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》

2017年7月國(guó)家互聯(lián)網(wǎng)信息辦公室8.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院令第147號(hào)）9.《計(jì)算機(jī)軟件保護(hù)條例》（國(guó)務(wù)院令【2013】第632號(hào)）政策背景醫(yī)療行業(yè)網(wǎng)絡(luò)安全相關(guān)監(jiān)管要求文件1.衛(wèi)辦發(fā)〔2011〕85號(hào)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知2.衛(wèi)辦綜函〔2011〕1126號(hào)《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作》的通知3.由國(guó)家衛(wèi)生健康委員會(huì)、國(guó)家中醫(yī)藥管理局于2018年7月17日印發(fā)《互聯(lián)網(wǎng)醫(yī)院管理辦法（試行）》4.國(guó)衛(wèi)規(guī)劃發(fā)〔2014〕24號(hào)《人口健康信息管理辦法（試行）》的通知5.2016年衛(wèi)健委發(fā)《2016三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)考評(píng)辦法(完整版)》6.國(guó)衛(wèi)規(guī)劃發(fā)〔2018〕23號(hào)《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》的通知政策背景2018年7月國(guó)家衛(wèi)健委發(fā)布《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》，規(guī)定承載醫(yī)療大數(shù)據(jù)的平臺(tái)必須落實(shí)等級(jí)保護(hù)制度，健康醫(yī)療大數(shù)據(jù)中心、相關(guān)信息系統(tǒng)要開展定級(jí)、備案、測(cè)評(píng)等工作。2018年9月國(guó)家衛(wèi)健委發(fā)布《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等3個(gè)文件的通知》，要求開展互聯(lián)網(wǎng)診療服務(wù)的醫(yī)療機(jī)構(gòu)必須實(shí)施第三級(jí)信息安全等級(jí)保護(hù)。2019年11月國(guó)家衛(wèi)生健康委辦公廳發(fā)布《國(guó)家呼吸醫(yī)學(xué)中心及國(guó)家呼吸區(qū)域醫(yī)療中心設(shè)置標(biāo)準(zhǔn)的通知》，在信息化建設(shè)方面，醫(yī)院核心業(yè)務(wù)系統(tǒng)達(dá)到“國(guó)家信息安全等級(jí)保護(hù)制度三級(jí)要求”。從近兩年國(guó)家頒布的政策法規(guī)中可以看出，國(guó)家對(duì)互聯(lián)網(wǎng)+醫(yī)療、大數(shù)據(jù)醫(yī)療及醫(yī)院區(qū)域中心設(shè)置標(biāo)準(zhǔn)中都有明確的等級(jí)保護(hù)要求。落實(shí)好網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是醫(yī)療行業(yè)保障網(wǎng)絡(luò)安全的一塊基石。政策背景從近兩年國(guó)家頒布的政策法規(guī)中可以看出，國(guó)家對(duì)互聯(lián)網(wǎng)+醫(yī)療、大數(shù)據(jù)醫(yī)療及醫(yī)院區(qū)域中心設(shè)置標(biāo)準(zhǔn)中都有明確的等級(jí)保護(hù)要求。落實(shí)好網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是醫(yī)療行業(yè)保障網(wǎng)絡(luò)安全的一塊基石。02重要政策分析《中國(guó)軟件評(píng)測(cè)中心網(wǎng)安中心對(duì)醫(yī)療行業(yè)開展等級(jí)保護(hù)工作的建議》重要政策分析一、合理開展系統(tǒng)定級(jí)備案工作醫(yī)療行業(yè)目前急需落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)的系統(tǒng)有兩類，一是傳統(tǒng)核心業(yè)務(wù)系統(tǒng)，二是新建融合了各種新技術(shù)的信息系統(tǒng)。開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的第一步就是合理對(duì)這些系統(tǒng)進(jìn)行等級(jí)保護(hù)定級(jí)。中國(guó)軟件評(píng)測(cè)中心網(wǎng)安中心整理了目前有關(guān)部門發(fā)布的意見。早在2011年，還是等級(jí)保護(hù)1.0時(shí)代，原衛(wèi)生部頒發(fā)的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》明確以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于三級(jí)：重要政策分析1.衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國(guó)聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng);2.國(guó)家、省、地市三級(jí)衛(wèi)生信息平臺(tái)，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國(guó)家級(jí)數(shù)據(jù)中心;3.三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng);4.衛(wèi)生部網(wǎng)站系統(tǒng);5.其他經(jīng)過信息安全技術(shù)專家委員會(huì)評(píng)定為第三級(jí)以上(含第三級(jí)的信息系統(tǒng))。重要政策分析但隨著新興技術(shù)的發(fā)展，等級(jí)保護(hù)2.0將云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)等新技術(shù)產(chǎn)業(yè)也納入了監(jiān)管行列，顯然2011年的指導(dǎo)意見已經(jīng)不那么充分了，好在上海市衛(wèi)生健康委員會(huì)2019年1月發(fā)布了《關(guān)于進(jìn)一步調(diào)整本市衛(wèi)生健康行業(yè)重要信息系統(tǒng)定級(jí)范圍的通知》，進(jìn)一步明確了區(qū)屬二、三級(jí)醫(yī)療機(jī)構(gòu)和社區(qū)衛(wèi)生服務(wù)中心的相關(guān)信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第三級(jí)，包括以下：重要政策分析1.核心信息系統(tǒng)范圍覆蓋HIS、LIS、RIS、PACS、電子病歷、核心數(shù)據(jù)庫(kù)、醫(yī)院信息采集及數(shù)據(jù)中心等;2.區(qū)域核心業(yè)務(wù)系統(tǒng)范圍涉及人口健康信息平臺(tái)、區(qū)域醫(yī)學(xué)影像診斷信息系統(tǒng)、區(qū)域心電診斷信息系統(tǒng)、去油臨床檢驗(yàn)診斷信息系統(tǒng)、其中人口健康信息平臺(tái)涵蓋區(qū)域衛(wèi)生共享交換平臺(tái)、電子健康檔案等重要應(yīng)用系統(tǒng)。3.滿足如下條件之一的信息系統(tǒng)：重要政策分析a、承載公民個(gè)人信息的信息系統(tǒng);b、承載核心業(yè)務(wù)信息(包含但不限于預(yù)約掛號(hào)、診療診斷、健康體檢、免疫疾控、醫(yī)囑開方、藥品與耗材、醫(yī)院運(yùn)營(yíng)、醫(yī)院管理、遠(yuǎn)程醫(yī)療等)的信息系統(tǒng);c、與核心業(yè)務(wù)系統(tǒng)發(fā)生雙向數(shù)據(jù)交換或業(yè)務(wù)協(xié)同的信息系統(tǒng)(包含但不限于網(wǎng)上簽約、健康管理、問醫(yī)用藥、醫(yī)療物聯(lián)網(wǎng)、科研隨訪、保險(xiǎn)理賠等);d、承載國(guó)家法律法規(guī)需要落實(shí)敏感信息保護(hù)的信息系統(tǒng);e、承載醫(yī)院對(duì)外形象宣傳的信息系統(tǒng)或醫(yī)院重要信息(包含但不限于醫(yī)院門戶網(wǎng)站、統(tǒng)一登錄平臺(tái)、移動(dòng)OA、移動(dòng)App等);f、與其他按照等級(jí)保護(hù)要求運(yùn)行維護(hù)的信息系統(tǒng)發(fā)生雙向數(shù)據(jù)交換或業(yè)務(wù)協(xié)同的信息系統(tǒng)。重要政策分析上海衛(wèi)健委發(fā)布的定級(jí)范圍可以說是緊跟國(guó)家相關(guān)政策法律法規(guī)，區(qū)分了核心業(yè)務(wù)系統(tǒng)、區(qū)域核心業(yè)務(wù)系統(tǒng)，以及將含有敏感信息保護(hù)的信息系統(tǒng)、承載公民個(gè)人信息保護(hù)的系統(tǒng)都包含進(jìn)來，是非常有借鑒作用的。等級(jí)保護(hù)2.0的開展，對(duì)醫(yī)療機(jī)構(gòu)而言，無疑是對(duì)其網(wǎng)絡(luò)和信息安全能力提出了進(jìn)一步要求。重要政策分析另外，中國(guó)軟件評(píng)測(cè)中心網(wǎng)安中心提醒廣大醫(yī)療行業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)者，《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)》中明確要求“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)在規(guī)劃設(shè)計(jì)階段確定網(wǎng)絡(luò)的安全保護(hù)定級(jí)”。對(duì)于第二級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者，應(yīng)當(dāng)在網(wǎng)絡(luò)的安全保護(hù)等級(jí)確定后10個(gè)工作日內(nèi)，到縣級(jí)以上公安機(jī)關(guān)備案。重要政策分析二、常規(guī)化風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)工作醫(yī)療機(jī)構(gòu)在完成定級(jí)備案工作后，由信息安全管理部門牽頭進(jìn)行安全建設(shè)整改工作，可以自行開展安全評(píng)估，或者委托第三方單位開展安全評(píng)估工作，依據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)對(duì)評(píng)估結(jié)果進(jìn)行差距分析，查看是否符合等級(jí)保護(hù)基本要求。醫(yī)療機(jī)構(gòu)根據(jù)各系統(tǒng)的定級(jí)情況，安排當(dāng)年的等級(jí)測(cè)評(píng)工作，按照要求定級(jí)為三級(jí)及以上的系統(tǒng)每年開展一次測(cè)評(píng)，選擇公安部推薦目錄中的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)開展安全測(cè)評(píng)。重要政策分析醫(yī)療機(jī)構(gòu)應(yīng)按照要求常規(guī)化風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)工作，做到定期排查系統(tǒng)安全隱患，對(duì)于不符合要求項(xiàng)，信息系統(tǒng)運(yùn)營(yíng)、使用單位及時(shí)開展安全整改。一般現(xiàn)場(chǎng)測(cè)評(píng)工作需要1周左右時(shí)間，測(cè)評(píng)完成后對(duì)未達(dá)到安全保護(hù)等級(jí)要求的問題進(jìn)行整改，整改時(shí)間及程度依據(jù)系統(tǒng)安全現(xiàn)狀及經(jīng)費(fèi)決定，不涉及購(gòu)買設(shè)備、網(wǎng)絡(luò)架構(gòu)大變動(dòng)小規(guī)模系統(tǒng)需要2周左右時(shí)間，總體測(cè)評(píng)及出具最終符合公安機(jī)關(guān)要求的測(cè)評(píng)報(bào)告需至少一月時(shí)間。重要政策分析三、強(qiáng)化縱深防御能力對(duì)系統(tǒng)進(jìn)行了全方位的風(fēng)險(xiǎn)分析，完成了等級(jí)保護(hù)測(cè)評(píng)后，就需要對(duì)測(cè)評(píng)中發(fā)現(xiàn)的問題進(jìn)行整改。最快速簡(jiǎn)單的整改辦法就是從網(wǎng)絡(luò)整體架構(gòu)出發(fā)，完善醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)，配備并配置必要的網(wǎng)絡(luò)安全設(shè)備，形成縱深防御能力，確保系統(tǒng)中無高風(fēng)險(xiǎn)問題，其次再逐漸修正一些中低風(fēng)險(xiǎn)問題。鑒于醫(yī)療行業(yè)數(shù)據(jù)的重要性，做好數(shù)據(jù)備份、數(shù)據(jù)加密存儲(chǔ)和傳輸工作，保障醫(yī)療數(shù)據(jù)的安全。中國(guó)軟件評(píng)測(cè)