醫(yī)院信息安全等級(jí)保護(hù)的探討

時(shí)間:2022-01-20 03:12:22

導(dǎo)語:醫(yī)院信息安全等級(jí)保護(hù)的探討一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

醫(yī)院信息安全等級(jí)保護(hù)的探討

1醫(yī)院重要信息系統(tǒng)等級(jí)保護(hù)行業(yè)政策

1.1國家衛(wèi)生部文件

文件明確規(guī)定了信息安全等級(jí)保護(hù)工作的工作目標(biāo)、工作原則、工作機(jī)制、工作任務(wù)、工作要求,工作任務(wù)中特別強(qiáng)調(diào)了“三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)”應(yīng)進(jìn)行定級(jí)備案。

1.2浙江省衛(wèi)生廳文件

為加強(qiáng)醫(yī)療衛(wèi)生行業(yè)信息安全管理,提高信息安全意識(shí),以信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)促進(jìn)全行業(yè)的信息安全工作,提高全省衛(wèi)生系統(tǒng)信息安全保護(hù)與信息安全技術(shù)水平,強(qiáng)化信息安全的重要性。2011年6月7日,浙江省衛(wèi)生廳和浙江省公安廳聯(lián)合下發(fā)《關(guān)于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級(jí)保護(hù)工作的通知》(浙衛(wèi)發(fā)〔2011〕131號(hào)),并一同下發(fā)了《浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案》和《浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見》。為進(jìn)一步指導(dǎo)我省衛(wèi)生行業(yè)單位開展信息安全等級(jí)保持工作,浙江省衛(wèi)生信息中心于2012年4月6日下發(fā)了《關(guān)于印發(fā)<浙江省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作指導(dǎo)意見細(xì)則>的函》。上述文件詳細(xì)規(guī)定了工作目標(biāo)、工作流程和工作進(jìn)度,并明確了醫(yī)療衛(wèi)生單位重要信息系統(tǒng)的劃分和定級(jí),具有很強(qiáng)的指導(dǎo)性和操作性。

2醫(yī)院信息安全等級(jí)保護(hù)

依據(jù)上述行業(yè)文件要求,全省醫(yī)院重要信息系統(tǒng)信息安全等級(jí)保護(hù)工作由省衛(wèi)生廳和各級(jí)衛(wèi)生局、公安局分級(jí)負(fù)責(zé),按照系統(tǒng)定級(jí)、系統(tǒng)備案、等級(jí)測(cè)評(píng)、安全整改[1]四個(gè)工作步驟實(shí)施。

2.1系統(tǒng)定級(jí)

2.1.1確定對(duì)象

我省醫(yī)院信息化發(fā)展較早,各類系統(tǒng)比較完善,但數(shù)量繁多。將出現(xiàn)多達(dá)幾十甚至上百個(gè)定級(jí)對(duì)象的狀況,這與要求重點(diǎn)保護(hù)、控制建設(shè)成本、優(yōu)化資源配置[2]的原則相違背,不利于醫(yī)院重要信息系統(tǒng)開展信息安全等級(jí)保護(hù)工作。依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859-1999)》等標(biāo)準(zhǔn),結(jié)合我省醫(yī)院信息化現(xiàn)狀及發(fā)展需要,經(jīng)衛(wèi)生信息化專家和信息安全專家多次論證,本著突出重點(diǎn)、按類歸并、相對(duì)獨(dú)立、節(jié)約費(fèi)用的原則,從系統(tǒng)管理、業(yè)務(wù)使用者、系統(tǒng)服務(wù)對(duì)象和運(yùn)行環(huán)境等多方面綜合考慮,把醫(yī)院信息系統(tǒng)劃分為以下幾類,如表1所示。

2.1.2等級(jí)評(píng)定

醫(yī)院重要信息系統(tǒng)的信息安全和系統(tǒng)服務(wù)應(yīng)用被破壞時(shí),產(chǎn)生的危害主要涉及公民的個(gè)人隱私、就醫(yī)權(quán)利及合法權(quán)益,對(duì)社會(huì)秩序和公共利益的損害屬于“損害”或“嚴(yán)重?fù)p害”程度。參考《信息安全等級(jí)保護(hù)管理辦法》及省衛(wèi)生信息中心指導(dǎo)意見細(xì)則要求[3],即屬于“第二級(jí)”或“第三級(jí)”范疇。因此醫(yī)院信息系統(tǒng)對(duì)信息安全防護(hù)和服務(wù)能力保護(hù)的要求較高,結(jié)合業(yè)務(wù)服務(wù)及系統(tǒng)應(yīng)用范疇,實(shí)行保護(hù)重點(diǎn)、以點(diǎn)帶面原則,參考定級(jí)如表2所示。

2.2系統(tǒng)定級(jí)備案

省衛(wèi)生廳及省級(jí)醫(yī)療衛(wèi)生單位信息系統(tǒng)、全省統(tǒng)一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省公安廳受理備案;各市衛(wèi)生局及其下屬單位、轄區(qū)內(nèi)醫(yī)院信息系統(tǒng)由屬地公安機(jī)關(guān)受理備案。各市衛(wèi)生局應(yīng)將轄區(qū)內(nèi)醫(yī)療衛(wèi)生單位備案匯總情況和《信息系統(tǒng)安全等級(jí)保護(hù)備案表》等材料以電子文件形式向省衛(wèi)生廳報(bào)備。定級(jí)備案流程示意圖如圖1所示。

2.3等級(jí)保護(hù)測(cè)評(píng)

醫(yī)院重要信息系統(tǒng)完成定級(jí)備案后,應(yīng)依據(jù)《浙江省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組關(guān)于公布信息安全等級(jí)報(bào)測(cè)評(píng)機(jī)構(gòu)的通知》(浙等?!?010〕9號(hào))選擇浙江省信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu),啟動(dòng)等級(jí)測(cè)評(píng)工作,結(jié)合所屬等級(jí)要求對(duì)系統(tǒng)進(jìn)行逐項(xiàng)測(cè)評(píng)。通過對(duì)醫(yī)院系統(tǒng)進(jìn)行查驗(yàn)、訪談、現(xiàn)場(chǎng)測(cè)試等方式收集相關(guān)信息,詳細(xì)了解信息安全保護(hù)現(xiàn)狀,分析所收集的資料和數(shù)據(jù),查找發(fā)現(xiàn)醫(yī)院重要信息系統(tǒng)漏洞和安全隱患,針對(duì)測(cè)評(píng)報(bào)告結(jié)果進(jìn)行分析反饋、溝通協(xié)商,明確等級(jí)保護(hù)整改工作目標(biāo)、整改流程及注意事項(xiàng),共同制定等級(jí)保護(hù)整改建議方案用于指導(dǎo)后續(xù)整改工作。對(duì)第二級(jí)以上的信息系統(tǒng)要定期開展等級(jí)測(cè)評(píng)。信息系統(tǒng)測(cè)評(píng)后,醫(yī)院應(yīng)及時(shí)將測(cè)評(píng)機(jī)構(gòu)出具的《信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》向所屬地公安機(jī)關(guān)報(bào)備。

2.4等級(jí)保護(hù)規(guī)劃建設(shè)整改

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》及省實(shí)施方案,結(jié)合醫(yī)院信息系統(tǒng)的安全需求分析,判斷安全保護(hù)現(xiàn)狀,設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案,并制定出安全實(shí)施規(guī)劃[4]等,用以指導(dǎo)信息系統(tǒng)安全建設(shè)工程實(shí)施。引進(jìn)第三方安全技術(shù)服務(wù)商,協(xié)助完成系統(tǒng)安全規(guī)劃、建設(shè)及整改工作。建設(shè),整改實(shí)施過程中按照詳細(xì)設(shè)計(jì)方案,設(shè)置安全產(chǎn)品采購、安全控制開發(fā)與集成、機(jī)構(gòu)和人員配置、安全管理制度建設(shè)、人員安全技能培訓(xùn)等環(huán)節(jié)[5],將規(guī)劃設(shè)計(jì)階段的安全方針和策略,切實(shí)落實(shí)到醫(yī)院系統(tǒng)的信息安全規(guī)劃、建設(shè)、評(píng)估、運(yùn)行和維護(hù)等各個(gè)環(huán)節(jié)。其核心是根據(jù)系統(tǒng)的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應(yīng)用重點(diǎn),并結(jié)合醫(yī)院自身信息安全建設(shè)的實(shí)際需求,建設(shè)一套全面保護(hù)、重點(diǎn)突出、持續(xù)運(yùn)行的安全保障體系,確保醫(yī)院系統(tǒng)的信息安全。等級(jí)保護(hù)工程及管理體系建設(shè)整改流程如圖2所示。

3醫(yī)院重要信息系統(tǒng)安全等級(jí)保護(hù)成效

各級(jí)醫(yī)院按照國家有關(guān)信息安全等級(jí)保護(hù)政策、標(biāo)準(zhǔn),結(jié)合衛(wèi)生行業(yè)政策和要求,全面落實(shí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作,保障信息系統(tǒng)安全可靠運(yùn)行,提高安全管理運(yùn)維水平。

3.1明確系統(tǒng)安全保護(hù)目標(biāo)

通過推行各級(jí)醫(yī)院信息安全等級(jí)保護(hù)工作,梳理衛(wèi)生信息系統(tǒng)資產(chǎn)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)安全設(shè)備部署及運(yùn)行狀況。根據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、危害的覆蓋范圍及影響性判定安全等級(jí),從而根據(jù)標(biāo)準(zhǔn)全面、系統(tǒng)、深入地掌握系統(tǒng)潛在的風(fēng)險(xiǎn)隱患,安全漏洞。明確需要重點(diǎn)保護(hù)的應(yīng)用系統(tǒng)及信息資產(chǎn),提出行之有效的保護(hù)措施,有針對(duì)性地提高保護(hù)等級(jí),實(shí)現(xiàn)重點(diǎn)目標(biāo)重點(diǎn)保護(hù)。

3.2建立安全管理保障體系

安全管理保障體系是開展信息安全工作的保障,指導(dǎo)落實(shí)各項(xiàng)安全指標(biāo)要求。信息安全等級(jí)保護(hù)基本要求中明確要求加強(qiáng)主管及安全責(zé)任部門領(lǐng)導(dǎo),配備信息安全專員督導(dǎo)安全檢查、維護(hù)、培訓(xùn)工作。建立健全信息安全管理保障制度體系,包括機(jī)房安全管理制度、人員安全管理制度、運(yùn)維安全管理規(guī)范。建立行之有效的安全應(yīng)急響應(yīng)預(yù)案及常規(guī)化的信息安全培訓(xùn)及預(yù)防演練,形成長期的安全風(fēng)險(xiǎn)管控機(jī)制。

3.3加強(qiáng)安全意識(shí)和管理能力

通過落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求,認(rèn)識(shí)安全意識(shí)在信息安全工作中的重要性和必要性,調(diào)動(dòng)安全保護(hù)的自覺主動(dòng)性,加大安全保護(hù)的資金投入力度,優(yōu)化安全管理資源及策略,主動(dòng)提升安全保護(hù)能力。同時(shí)重視常規(guī)化的信息安全管理教育和培訓(xùn),強(qiáng)化安全管理員和責(zé)任人的安全意識(shí),提高風(fēng)險(xiǎn)分析和安全性評(píng)估等能力,信息系統(tǒng)安全整體管理水平將得到提高。

3.4強(qiáng)化安全保護(hù)技術(shù)實(shí)施

醫(yī)院開展信息安全等級(jí)保護(hù)工作可加深分級(jí)、分域的縱深防御理念,進(jìn)一步結(jié)合終端安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)技術(shù),建立統(tǒng)一的安全監(jiān)控平臺(tái)和安全運(yùn)行中心。根據(jù)測(cè)評(píng)報(bào)告及建設(shè)整改建議,增強(qiáng)對(duì)應(yīng)用系統(tǒng)的授權(quán)訪問,終端計(jì)算機(jī)的安全控制,網(wǎng)絡(luò)流量的異常監(jiān)控,業(yè)務(wù)與數(shù)據(jù)安全保障,惡意軟件和攻擊行為的防御、發(fā)現(xiàn)及阻擊等功能,深層次提高抵御外部和內(nèi)部信息安全威脅的能力。

3.5優(yōu)化第三方技術(shù)服務(wù)

與安全技術(shù)服務(wù)機(jī)構(gòu)建立長期穩(wěn)定的合作關(guān)系,引進(jìn)并優(yōu)化第三方技術(shù)資源,搭建安全保護(hù)技術(shù)的學(xué)習(xí)橋梁與交流平臺(tái)。在安全技術(shù)與管理方面加固信息安全防護(hù)措施,完善信息安全管理制度,同時(shí)通過安全技術(shù)管理培訓(xùn)強(qiáng)化醫(yī)院工作人員信息安全保護(hù)意識(shí),提高信息安全隊(duì)伍的技術(shù)與管理水平,共同為醫(yī)院系統(tǒng)信息化建設(shè)的快速發(fā)展保駕護(hù)航??傊t(yī)院開展信息安全等級(jí)保護(hù)工作將有效提高醫(yī)院信息化建設(shè)的整體水平,有利于醫(yī)院信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào);有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù);有利于優(yōu)化信息安全資源的配置,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)、個(gè)人隱私、醫(yī)療資源和社會(huì)公共衛(wèi)生等方面的重要信息系統(tǒng)的安全[6]。

4結(jié)束語

醫(yī)院系統(tǒng)信息安全是衛(wèi)生信息化的重要組成部分,也是決定衛(wèi)生信息化未來發(fā)展的關(guān)鍵因子。開展和完善醫(yī)院重要信息系統(tǒng)信息安全等級(jí)保護(hù)工作,從安全意識(shí)、安全制度、安全技術(shù)及安全管理等多方位措施加強(qiáng)防護(hù),排查安全漏洞及潛在隱患,對(duì)于保障醫(yī)院重要信息系統(tǒng)正常運(yùn)行,促進(jìn)衛(wèi)生信息化健康發(fā)展,深化醫(yī)藥衛(wèi)生體制改革,維護(hù)公共利益、社會(huì)秩序和國家安全具有重要意義。

本文作者:辛均益陳啟岳王宏宇工作單位:浙江省衛(wèi)生信息中心