HIT专家网
来源:HIT专家网 作者:北京网御星云信息技术有限公司 张号
2014年即将过去,距离医疗卫生行业等级保护测评通过要求的时间仅有一年。等保整改是个系统工程,如果还有卫生行政机构和医疗机构没有开始这项工作,时间已经非常紧迫。但是医院信息科不是专门做信息安全的,如何具体落地建设可能并清楚。因此,应该尽快找一家专业的信息安全厂商作为支撑单位,进行咨询规划 以及整改建设支持。作为HIT专家网系列丛书的第一部著作,由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)从等保政策,到等保实施做了系统的阐述,欢迎大家登录HIT专家网微店订购。
背景
2014年即将过去,在医疗卫生行业信息化高速发展的今天,有项工作已经迫在眉睫。今年10月31日在京举办的“北京卫生信息化大讲堂系列培训”提出“三甲医院等保大限将至”,说的就是这件事。就是说,距离医疗卫生行业等级保护测评通过要求的时间仅有一年。因为等保整改是个系统工程,如果还有卫生行政机构和医疗机构没有开始这项工作,时间已经非常紧迫。
这里首先回顾一下政策。从国家政策来看,信息安全等级保护制度是对信息和信息载体按照重要性等级分级别进行保护的一项工作,是我国信息安全建设基本制度,具有明确的法律地位。因此这项工作必须要做,带有强制性。
从行业政策来看,原卫生部于2011年11月分别发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号),卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号)。1126号文明确要求安全建设整改工作要于2015年12月30日前完成并通过测评。其中,不低于三级的重要系统包括:卫生统计网络直报系统等跨省全国联网运行的信息系统;国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;三级甲等医院的核心业务信息系统等。
再来看看等保在全国范围内的大体进展情况。医疗卫生行业所辖机构可以分为两类,一类是行政机构,包括卫计委、省卫生厅、市(县)卫生局、疾控中心、卫生监督中心、中医院管理局等;另外一条线就是医院,特别是全国范围内的三甲医院。行政机构的等保进程相对好一些,而全国数量众多的医院则复杂很多,有已经通过等保测评的,如北京阜外医院2012年底就成为第一家通过三级测评的医疗机构,也有进行了部分工作准备整改的,还有基本没开始的。各地公安部门也加紧了等保检查力度,很多医院都有被出具等级保护限期整改通知书的经历。明年很多医院必将进行大规模建设。本文重点以医院等保建设为例。
措 施
目标已经很清楚了,但是医院信息科不是专门做信息安全的,如何具体落地建设可能并清楚。因此,应该尽快找一家专业的信息安全厂商作为支撑单位,进行咨询规划以及整改建设支持。网御星云通过多年在等级保护政策及标准方面的研究,提出了一整套等保体系建设方法,按照下面的流程进行:
网御星云等级保护项目整改与安全建设阶段划分流程
整体项目大阶段上分为准备阶段、建设和服务阶段以及运维阶段。核心是第二阶段。对于医院来说,这些步骤中的几个关键动作。
系统定级
定级就是确定目标,确定要保护的系统到底应该按照一个什么样的标准去建设。明确哪些系统需要定级以及确定该系统的等级。1126号文明确了三级甲等医院的核心业务信息系统,必须按照等保三级标准去做,这主要是因为医院系统对连续性和信息的机密性要求很高。以系统连续性为例,试想以现在各大医院的门诊量和繁忙程度,一但系统出现宕机等问题必将极大影响患者的诊疗过程,对公民权益、社会秩序造成严重损害,所以要求按三级标准建设。当然也要注意,不是把所有的系统都定三级,一般HIS、EMR等是医院的核心系统要定成三级。定级阶段需要编制定级报告并到对应的公安机关完成定级备案。安全厂商可以提供辅助定级的服务。
风险评估
这个过程是为了把医院重要系统所面临的安全风险状况都看清楚,到底有哪些资产,有哪些系统弱点,有哪些安全威胁,存在多少安全风险,这样后面才知道差距在哪儿、怎么具体去落地。对医院系统来说,有哪些点最怕出问题?
- 首先是刚才我们提到的可用性问题,即系统或网络宕机。后果很严重,原因也有很多,比如软件bug、硬件故障、病毒爆发、人为网络攻击、人为误操作等等。现在医院的诊疗过程对IT系统依赖程度非常高,如果门诊高峰期系统故障20分钟或更长时间,都可能会引发群体性事件。
- 第二是数据安全问题,特别是信息泄密。这里分两个方面,其一是个人信息泄密。CSDN、天涯、快递公司、酒店、银行等各种泄密事件纷纷曝光, 医疗行业也有母婴信息、患者信息被打包出售的案件发生;另外一个是行业特有的“统方”数据泄露,内部人员、厂商运维人员、攻击者都可能窃取统方数据用于回扣计算、贩卖。
- 其他问题,比如计算机终端的合理使用问题,由于操作终端与系统紧密结合,相比其他行业普通办公终端,医疗终端对操作行为管理需更加严格。再比如医院两网融合,医院的两张网之间越来越多的需要进行数据交换,如医院提供网上信息查询服务,很多数据来自于内网系统,如果打通,内网将面临来自外部更为复杂的攻击,这些风险都需要考虑。
评论前必须登录!
注册