醫療行業如何做好網絡安全等級保護工作

醫療行做好網絡安全等級保護工作的措施有以下幾方面：

• 合理開展系統定級備案工作：醫療行業目前急需落實網絡安全等級保護的系統有兩類，一是傳統核心業務系統，二是新建融合了各種新技術的信息系統。開展網絡安全等級保護工作的第一步就是合理對這些系統進行等級保護定級。在國家衛生健康委員會發布的《互聯網診療管理辦法（試行）》、《互聯網醫院管理辦法（試行）》中，明確提出了互聯網醫院要實施第三級信息安全等級保護等規定。隨著新興技術的發展，等級保護2.0將云計算、大數據、物聯網、工業控制系統、移動互聯等新技術產業也納入了監管行列。

• 常規化風險評估、等級測評工作：醫療機構在完成定級備案工作后，由信息安全管理部門牽頭進行安全建設整改工作，可以自行開展安全評估，或者委托第三方單位開展安全評估工作，依據等級保護標準對評估結果進行差距分析，查看是否符合等級保護基本要求。醫療機構根據各系統的定級情況，安排當年的等級測評工作，按照要求定級為三級及以上的系統每年開展一次測評，選擇公安部推薦目錄中的等級保護測評機構開展安全測評。醫療機構應按照要求常規化風險評估、等級測評工作，做到定期排查系統安全隱患，對于不符合要求項，信息系統運營、使用單位及時開展安全整改。一般現場測評工作需要1周左右時間，測評完成后對未達到安全保護等級要求的問題進行整改，整改時間及程度依據系統安全現狀及經費決定，不涉及購買設備、網絡架構大變動小規模系統需要2周左右時間，總體測評及出具最終符合公安機關要求的測評報告需至少一月時間。

• 強化縱深防御能力：對系統進行了全方位的風險分析，完成了等級保護測評后，就需要對測評中發現的問題進行整改。最快速簡單的整改辦法就是從網絡整體架構出發，完善醫療機構網絡安全建設，配備并配置必要的網絡安全設備，形成縱深防御能力，確保系統中無高風險問題，其次再逐漸修正一些中低風險問題。鑒于醫療行業數據的重要性，做好數據備份、數據加密存儲和傳輸工作，保障醫療數據的安全。

回答所涉及的環境：聯想天逸510S、Windows 10。