HIT专家网
来源:HIT专家网 记者:陈翠翠
2015年,医疗卫生行业等级保护建设与整改工作进入倒计时。原卫生部要求于2015年12月30日前完成信息安全等级保护建设整改工作。但目前的状况,并不乐观。医疗行业等保实施多年,数据表明全行业仅有200来家医疗卫生机构通过等保认证。
卫生计生委卫生计生监督中心信息二处处长王晖认为,目前我国医疗机构信息化水平参差不齐,信息安全水平建设差异极大,有些医院甚至没有独立的信息中心,为此很有必要进行整个行业建设的经验分享与思路指导。
卫生计生委卫生计生监督中心信息二处处长王晖
安全等保建设思路:按需防御
对于医疗卫生行业等级保护建设,王晖提出“按需防御”的等级保护建设思路,即根据不同信息系统安全保护等级,提出不同安全保护基本要求。他强调,医疗机构做安全等保,一定要按需防御,博览众长,要严格落实等保标准,结合ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-要求》、PDCA理念,同时应用 ITLT的理念,在运维中做好安全。
王晖建议,实施等保要借鉴并融合国际内安全管理指导体系,与具有实践意义的国际标准ISO27001与我国等级保护建设标准相结合,做到可持续改进的等级保护安全体系。要坚持正确的技术路线,从国情出发,按需适度安全,逐步发展完善。对于三级系统的单位,安全域划分后,一定要做统一的安全管理中心,并设立信息安全的岗位和安全管理员,落实安全管理策略。这也是与二级最大的差别。
中国医院协会信息管理专业委员会副主任委员沈韬
“回头反思,医院信息安全应该做哪些?重点是哪些?” 王晖表示,“安全等保是面向所有的行业,但目前卫生行业并没有相应的细则。定出行业基本要求,比行业基本保护要求更为重要。卫生行业应该制定行业细则,以促进结合行业自身特点来达到等级保护的要求。”
中国医院协会信息管理专业委员会副主任委员沈韬分析,医院信息安全等级保护的着眼点,一是仅为通过测评,二是务实解决信息管理中的安全问题。当前医院信息化面临的安全挑战,主要包括互联网安全、财务安全、敏感信息漏洞以及业务连续性管理。“就目前而言,医院应用主导的地位没有改变,安全还是处于从属地位。”沈韬坦言。
等保实战:管理先行,技术并重
“信息安全一定是管理和技术并重——七分管理,三分技术。”王晖说。
2011年10月,卫生部卫生监督中心顺利通过信息安全等级保护第三级测评,成为全国卫生领域第一家通过第三级测评的卫生机构。“等保真正难的不是技术,而是管理制度的落实。比如,机房要做到出入登记,真正落实起来却很难。很多管理上不到位,这是等保实施最大的问题。”王晖感慨,“我们做了4年的测评,按理每年的风险应该降低,结果是不降反升,究其根本原因,是运维过程中没有真正落实做基线管理。”
“等级测评千万别当考试,把所有的期望寄托都放在补考上。一定要落实到管理制度。如何落实监督考核?要结合运维的管理,做真正的指标考核,要从工作量到工作质量的全面考核,才能真正做到运维下的安全。”王晖说。
王晖介绍,医疗机构等级保护整改,按照等级保护整改实施的流程,首先要做现状的差距分析;其次进行技术和管理的方案编纂,确定框架,制定整改方案,重点是理解安全控制、对接安全措施、划分安全区域、强化访问控制、融合应用安全、统一安全策略、关注整体安全;之后进行策略设计,最后落实这些策略防护相关的措施。
根据卫生部卫生监督中心的实践,王晖总结了医疗卫生机构开展测评应把握的七项重点工作:
- 理解安全控制,把握等级保护《基本要求》中的安全控制内容;
- 对接安全措施,能够把安全控制和目前采用的安全产品、安全配置和管理制度相衔接;
- 划分安全区域,保护核心系统很关键的是要合理划分安全域,这是一项“打地基”的工作;
- 强化访问控制,加强不同安全域、业务应用、信息系统、终端和用户等的访问控制,这是安全保护的一项必要措施,也是贯穿等级保护物理、网络、主机、应用各个层面的基本要求;
- 融合应用安全,加强应用系统自身安全性,在需求、设计、编码、测试和运行等各个环节融合安全控制要求;
- 统一安全策略,尤其是三级以及三级以上信息系统,统一安全策略是必要保障;
- 关注整体安全、保障核心是等级保护的原则,但是在基础设施安全建设中,对于组织安全建设要进行统筹考虑,这个整体主要是指统筹全面考虑安全。
2012年11月,北京阜外心血管病医院顺利通过信息安全等级保护第三级测评,成为全国卫生领域第一家通过第三级测评的医院。
北京阜外心血管病医院信息中心主任赵韡
“医院过等级保护,实际上也是有自己的苦衷,因为医院的HIS、EMR等核心系统都是自主研发,我们要对自己的系统负责。”北京阜外心血管病医院信息中心主任赵韡坦言。
赵韡认为,医院信息系统对业务连续性要求较高,未经授权或破坏使数据失去价值甚至威胁医疗安全,资产完整性发生破坏,也会导致很重大的医疗安全。因此,医院核心的信息系统应定在3-4级之间。医院做安全等保,应从信息资产识别、资产脆弱性的识别、威胁的识别这三方面来考虑。
“医院里非恶意人员造成的损失,往往比恶意人员造成的多,因为处理事情的时候没有按照规程去实施。目前看来,医院遇到的安全问题,比较多的是故障类和管理不到位。诸如系统宕机、信息泄露、医院内部人员统方、黑客潜入医院统方、黑客攻击医院网站勒索的例子并不少。”赵韡说,“信息安全归根结底是人的问题。一方面意识淡薄,安全风险防范意识差,二是操作过程出现问题。”
等保三级要求分为两大部分,技术角度包括:数据安全、应用安全、主机安全、网络安全、物理安全;安全管理角度包括:系统运维管理、系统建设管理、人员安全管理、安全管理制度、安全管理机构。“等保测评要求总共73类,290项,但并不是都要求达到满分,而是结合实际情况适当取舍。”赵韡说。
评论前必须登录!
注册