醫療等保2.0|新版測評標準對醫療行業網絡安全等級保護提出了更高要求
醫療行業網絡安全形式嚴峻
醫療行業網絡安全面臨四大風險
根據《2020數字醫療網絡安全報告》數據,醫療行業總體 處于“較大風險”級別,存在多種網絡安全風險及大量可被利用的安全隱患,安全防護能力較弱。報告顯示,醫療行業網絡安全面臨四大風險:資產脆弱性風險、僵木蠕毒風險、漏洞風險、網站篡改風險。0
9畫
遭受勒索病毒攻擊嚴重
根據 2018 年騰訊智慧安全發布的《醫療行業勒索病毒專題報告》顯示,在全國三甲 醫院中,有 247 家醫院檢出了勒索病毒,以廣東、湖北、江蘇等 地區檢出勒索病毒最多。2019 年初,某省幾十家互聯互通醫院 同時感染 GlobeImposter3.0 變種勒索病毒而被加密, GlobeImposter 勒索病毒十分偏愛醫療行業,在眾多感染 GlobeImposter 勒索病毒的行業中,醫療行業占比約 50%。醫療行業受勒索病毒感染情況嚴重。
缺乏必要的網絡安全防護設備
根據 CHIMA《2018-2019 年度中國醫院信息化狀況調查報告》 顯示,現階段絕大多數醫院僅采用防火墻保障網絡安全,對網絡 進行 VPN/VLAN 劃分和上網行為管理的醫院僅過半數。醫院對網 閘、防入侵、防毒墻等設備的采用率均小于 50%。可見大部分醫 院都缺乏必要的網絡防護設備。
醫療行業等級保護相關政策法規
等級保護相關法規要求
《中華人民共和國網絡安全法》
第二十一條:“國家實施網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度要求,履行安全保護義務”
第三十一條“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄漏,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護“。
《關鍵信息基礎設施安全保護條例》2021年9月1日實施
第二條:本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。
《網絡安全等級保護條例》(征求意見稿)2018年6月27日公安部官網發布
等級保護相關政策要求
2011年11月29日,衛生部關于印發《衛生行業信息安全等級保護工作的指導意見》的通知;
2018年,國家衛健委發布的《國家健康醫療大數據標準、安全和服務管理辦法(試行)》中第19條:單位應當按照國家網絡安全等級保護制度要求,構建可信的網絡安全環境,加強健康醫療大數據相關系統安全保障體系建設,提升關鍵信息基礎設施和重要信息系統的安全防護能力,確保健康醫療大數據關鍵信息基礎設施和核心系統安全可控。健康醫療大數據中心、相關信息系統等均應開展定級、備案、測評等工作;
2018年,國家衛健委發布的《互聯網醫院管理辦法(試行)》第三章第十五條:互聯網醫院信息系統,按照國家有關法律法規和規定,實施第三級信息安全等級保護;
2018年12月,國家衛健委發布的《電子病歷系統應用水平分級評價標準(試行)》第35項:完成信息安全等級保護定級備案與測評、醫院重要信息安全等級保護不低于三級;
2020年,國家衛健委發布的《醫院信息互聯互通標準化成熟度》新版測評方案4.3章節:評審四級以上的醫院的信息平臺需要完成等級保護三級定級備案與測評,要求提供備案證明及本年度或上一年度相關的安全測評報告。
從近兩年國家頒布的政策法規中可以看出,國家對互聯網+醫療、大數據醫療及醫院區域中心設置標準中都有明確的等級保護要求。落實好網絡安全等級保護制度是醫療行業保障網絡安全的一塊基石。
醫療行業開展等保工作的建議
合理開展系統定級備案工作
醫療行業目前急需落實網絡安全等級保護的系統有兩類,一是傳統核心業務系統,二是新建融合了各種新技術的信息系統。開展網絡安全等級保護工作的第一步就是合理對這些系統進行等級保護定級。
2011年原衛生部頒發的《衛生行業信息安全等級保護工作的指導意見》就明確重要衛生信息系統安全保護等級原則上不低于三級。
隨著新興技術的發展,等級保護2.0將云計算、大數據、物聯網、工業控制系統、移動互聯等新技術產業也納入了監管行列。2019年1月,上海市衛生健康委員會發布了《關于進一步調整本市衛生健康行業重要信息系統定級范圍的通知》,進一步明確了區屬二、三級醫療機構和社區衛生服務中心的相關信息系統安全保護等級原則上不低于第三級。
A、核心信息系統范圍覆蓋HIS、LIS、RIS、PACS、電子病歷、核心數據庫、醫院信息采集及數據中心等;
B、區域核心業務系統范圍涉及人口健康信息平臺、區域醫學影像診斷信息系統、區域心電診斷信息系統、去油臨床檢驗診斷信息系統、其中人口健康信息平臺涵蓋區域衛生共享交換平臺、電子健康檔案等重要應用系統。
C、滿足如下條件之一的信息系統:
a、承載公民個人信息的;
b、承載核心業務信息(包含但不限于預約掛號、診療診斷、健康體檢、免疫疾控、醫囑開方、藥品與耗材、醫院運營、醫院管理、遠程醫療等)的;
c、與核心業務系統發生雙向數據交換或業務協同的系統(包含但不限于網上簽約、健康管理、問醫用藥、醫療物聯網、科研隨訪、保險理賠等);
d、承載醫院對外形象宣傳的或醫院重要信息(包含但不限于醫院門戶網站、統一登錄平臺、移動OA、移動App等);
e、承載國家法律法規需要落實敏感信息保護的;
f、與其他按照等級保護要求運行維護的發生雙向數據交換或業務協同的系統。
常規化風險評估、等級測評工作
醫療機構在完成定級備案工作后,由信息安全管理部門牽頭進行安全建設整改工作,可委托第三方單位開展安全評估工作,依據等級保護標準對評估結果進行差距分析,查看是否符合等級保護基本要求。醫療機構根據各系統的定級情況,安排當年的等級測評工作,按照要求定級為三級及以上的系統每年開展一次測評,選擇公安部推薦目錄中的等級保護測評機構開展安全測評。
醫療機構應按照要求常規化風險評估、等級測評工作,做到定期排查系統安全隱患,對于不符合要求項,信息系統運營、使用單位及時開展安全整改。一般現場測評工作需要1周左右時間,測評完成后對未達到安全保護等級要求的問題進行整改,整改時間及程度依據系統安全現狀及經費決定,不涉及購買設備、網絡架構大變動小規模系統需要2周左右時間,總體測評及出具最終符合公安機關要求的測評報告需至少一月時間。
強化縱深防御能力
對系統進行了全方位的風險分析,完成了等級保護測評后,就需要對測評中發現的問題進行整改。最快速簡單的整改辦法就是從網絡整體架構出發,完善醫療機構網絡安全建設,配備并配置必要的網絡安全設備,形成縱深防御能力,確保系統中無高風險問題,其次再逐漸修正一些中低風險問題。鑒于醫療行業數據的重要性,做好數據備份、數據加密存儲和傳輸工作,保障醫療數據的安全。
醫療行業等級保護流程
一、定級:信息系統運營使用單位按照等保管理辦法和定級指南,自主確定信息系統的安全保護等級。有上級主管部門的,應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。雖然說的是自主定級,但主要還是根據系統實際情況去定級,有行業指導文件的根據指導文件來,沒有文件的需要根據定級指南來,總之一句話合理定級,該是幾級就是幾級,不要定的高也不要定的低。
二、備案:第二級以上信息系統定級市級單位到所在地社區的市級以上公安機關辦理備案手續。省級單位到省公安廳網安總隊備案,各地市單位一般直接到市級網安支隊備案,也有部分地市區縣單位的定級備案資料是先交到區縣公安網監大隊的,具體根據各地市要求來。
三、系統建設整改:信息系統安全保護等級確定后,運營使用單位按照管理規范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實安全管理制度。
四、測評:等級測評信息系統建設完成后,運營使用單位選擇符合管理辦法要求的檢測機構,對信息系統安全等級狀況開展等級測評。測評完成之后根據發現的安全問題及時進行整改,特別是高危風險。測評的結果分為:優、良、中、差。
五、監督檢查:公安機關依據信息安全等級保護管理規范及《網絡安全法》相關條款,監督檢查運營使用單位開展等保工作,定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
醫療行業等級保護費用組成
醫療行業等保的費用主要由三部分組成:
第一部分專家定級評審費用,是因為定級環節需要邀請三位專家就信息系統定級情況組織開展定級評審會議所產生的專家費;
第二部分費用為等保的咨詢和測評費用,根據系統情況不同,所以費用也不同;
第三部分為建設整改的費用,需要根據企業的實際情況來確定最終費用;
測評的費用因系統規模、不同等級、不同地域而不同,具體價格需要和測評機構進一步討論才能確定。
