HIT专家网
来源:HIT专家网 作者:王晖 郑攀
卫生计生委卫生计生监督中心信息二处处长王晖
人口健康信息安全建设是国家卫生计生行业信息化建设的重要保障和重要组成部分,没有信息安全,就没有卫生计生信息化的健康发展。卫生计生行业各单位已确定一批重要信息系统,这些重要信息系统具有两个特征:一是承载公民个人健康、隐私信息不能泄露;二是为公民个人健康保障、诊疗的信息化服务能力不能中断。
卫生计生行业信息安全问题突出
当前,各卫生计生机构对信息安全保障工作给予了足够的重视,各方面的信息安全保障工作都在逐步推进。但是与发达国家相比,我国卫生计生行业的信息安全管理领域的工作推进还处于刚刚起步阶段。随着卫生计生行业信息化程度的逐步提高,网络犯罪行为已经崭露头角。虽然在卫生计生机构内已经部署了很多安全产品,但是仍然有很多的安全问题出现,对已经与信息化紧密相关的卫生计生业务来讲,会在极大程度上影响卫生计生行业为公众进行服务的效果。因此,卫生计生机构认真落实国家信息安全等级保护制度是十分必要的。
2011年,原卫生部发布了《卫生行业信息安全级保护工作的指导意见》(卫办发〔2011〕85号),原卫生部办公厅发布了《关于开展全国卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号),文件均明确要求在全行业内开展信息安全等级保护工作,这对居民健康、信息安全、保障医疗卫生服务秩序和社会稳定具有重要意义。
但由于多方面原因,这些年行业内各单位信息安全等级保护工作虽大规模开展,但尚存在一些不足,信息安全问题依然突出。在上述相关文件中,对如何结合行业特点准确定级、如何根据行业特点开展信息系统安全体系设计等关键工作没有提出明确具体的要求,一些单位在实际开展等级保护工作方面缺乏技术指导,导致等级保护工作不完善、不细致、不具体,影响到整体安全保障成效。
因此,应加快出台卫生计生行业信息安全等级保护实施细则,从而为全行业进一步推动信息安全工作奠定良好基础。
参考其他行业成功经验
参考其他行业成功经验有助于卫生计生行业落实信息安全等级保护工作。
国家发布的信息安全等级保护制度是面向全国,面向所有行业。在不同行业内使用时,允许结合行业实际情况通过实施细则的方式进行推广。很多行业都颁布了本行业的信息安全等级保护实施细则或具体工作建议。以行业信息系统定级备案要求来看,电力行业在定级建议中明确生产控制系统、生产管理系统、网站系统、管理信息系统等四大类23种系统在不同使用范围、不同业务承载量下的定级建议。
证券行业也对所属证券公司、基金管理公司的业务系统,从营业网点、用户数量、资金规模等方面分析在系统受到破坏后,对社会秩序和公共利益及国家安全造成严重损害还是一般损害,达到相应规模的有可能造成严重损害,建议系统的信息安全等级定为三级,未达到的定级为二级。海关总署信息系统覆盖全国,建议全行业除核心报关业务系统定为等保三级外,其他信息系统均定级为二级及以下。
这些具体工作要求和建议,对在行业内开展信息安全等级保护工作有较明确的指导意义,也对定级备案之后的整改测评工作奠定了良好的基础。
制定卫生行业信息安全等级保护实施细则
制定行业信息安全等级保护实施细则是由卫生计生行业的行业复杂性决定的。
1. 行业机构组成的复杂性
2014年我国卫生和计划生育事业发展统计公报数据表明,截至2014年末,全国医疗卫生机构总数达981432个,其中:医院25860个、基层医疗卫生机构917335个、专业公共卫生机构35029个。医院中,公立医院13314个,民营医院12546个。医院按等级分:三级医院1954个(三级甲等医院1158个)、二级医院6850个、一级医院7009个、未定级医院10047个。医院按床位数分:100张床位以下医院15474个、100-199张医院3755个、200-499张医院3758个、500-799张医院1504个、800张及以上医院1369个。
数量、种类如此繁多的卫生计生机构,在落实信息系统等级保护工作时很难做到“一刀切”,应从国家层面给予更加细化的指导。以三甲医院为例,全国共有三级甲等医院1158个,这些三甲医院的日门诊量从几百到上万不等,床位数由几百到几千不等,不能简单地以三甲医院和非三甲医院来确定信息系统的等级。不同情况下,不同业务信息系统对社会秩序、公共利益以及公民、法人和其他组织的合法权益产生的影响不尽相同,在制定实施细则时要结合实际。
2. 行业信息系统的复杂性
国家在“十二五”期间颁布了卫生计生资源整合顶层设计规划——“4631-2工程”,其中,最后一个“2”是人口健康信息标准体系和信息安全防护体系。涉及种类众多,由于业务不同,信息系统的特点也各不相同,以公共卫生信息系统和医院信息系统为例:
公共卫生信息系统是公共卫生建设的重要组成部分,公共卫生应用信息系统包括疾病预防控制信息系统、紧急医疗救援信息系统、卫生计生监督执法信息系统、妇幼保健信息系统、社区卫生服务信息系统和血液管理信息系统等。
而医疗服务中由于医院自身的目标、任务和性质决定了医院信息系统是各类信息系统中最复杂的系统之一。《医院信息系统基本功能规范》根据数据流量、流向及处理过程,将整个医院信息系统划分为五部分:临床诊疗部分、药品管理部分、经济管理部分、综合管理与统计分析部分、外部接口部分。
不同情况下,业务信息系统对社会秩序、公共利益以及公民、法人和其他组织的合法权益,造成的影响不尽相同,因此信息安全等级保护定级也应有所区别,应结合具体业务及信息系统实际情况制定实施细则。
3. 行业数据的高度敏感性
卫生计生业务系统中的数据,包括电子健康档案、电子病历、疾病防控数据、基因数据和全员人口个案等数据,这些数据不仅涉及个人隐私、健康状况,还涉及医疗技术知识产权,甚至涉及国家安全。按照人口健康信息化建设规划,未来行业各类信息系统要互联互通、信息共享,而保障各类信息全生命周期安全是互联共享的前提,近期国务院发布的《关于促进和规范健康医疗大数据应用发展的指导意见》中明确把“安全为先、保护隐私”作为健康医疗大数据利用的重要原则,更加突出了行业数据安全的高度重要性。
而现在行业各级各类系统定级差别很大,有的定为三级,有的定为二级,甚至有的没有定级,在这种情况下,各类系统互联共享时就会出现数据安全保护措施不同的情况,极容易出现短板和缺漏,造成信息泄露,按照“木桶理论”,整个行业人口健康信息安全就会面临挑战。
为此,有必要从保障人口健康信息全生命周期安全的全局高度出发,结合行业数据特性,制定针对性的等级保护实施细则,指导行业各单位有效落实数据安全防护措施,有效保护个人隐私,保护健康医疗大数据应用安全。
四方面明确细则
近些年卫生计生信息化迅猛发展,我们在看到成绩的同时,也要看到问题所在。目前全国卫生计生行业信息安全等级保护建设依然存在很多空白,有些工作依然流于形式,没有真正去发现问题、解决问题,起到切实保障作用。如何在新时期进一步提升卫生计生行业信息安全等级保护工作,找到驱动因子,有力推动等保工作更好落实,这值得我们认真思考。
卫生计生行业应当按照《信息系统安全等级保护基本要求》等国家标准,结合行业特点,在国家等级保护制度基本要求的基础上制定行业细则,如卫生计生行业等级保护定级细则、卫生计生行业等级保护基本要求细则,在细则里明确技术手段和管理手段的要求。确定《信息系统安全等级保护基本要求》的具体指标;在不低于等级保护基本要求的情况下,结合系统安全保护的特殊需求,制定行业信息安全标准规范或实施细则,指导卫生计生行业信息系统安全建设整改工作。
建议以制定行业等级保护实施细则为抓手,从以下四个方面进行明确:
第一,明确信息安全管理组织架构,建议成立专门的部门或设立专门的信息安全岗位。
第二,明确信息安全目标,制定卫生计生行业的信息安全规划、规范及标准,指导行业信息安全整改建设。
第三,明确行业内的安全监督、审查、验收机制,确保信息系统建设与安全建设能够同步。
第四,明确责任到人,重视和执行对行业从业人员的安全知识、法规、标准的宣传、培训、考核,实施行业信息安全人员持证上岗制度。
随着“互联网+健康医疗”新业态的普及,健康医疗大数据的逐渐兴起,卫生计生行业信息化建设迎来了又一次快速发展,在推进智慧医疗、互联网医疗、移动医疗等信息系统建设的同时,应该同步考虑信息安全的规划建设。在等保制度的标准规范下,结合行业特点,统筹规划,不断细化,同步建设,保障人口健康领域各项业务顺利开展。
评论前必须登录!
注册