专业咨询
致力推进中国医疗卫生信息化

【HIT180观察】四部门出台《云计算服务安全评估办法》,对医院“上云”影响几何?

来源:HIT专家网      记者:孙鹏

7月22日,中国网信网发布“国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部关于发布《云计算服务安全评估办法》的公告”(2019年第2号)(简称:《公告》)。《公告》显示,为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部制定并发布了《云计算服务安全评估办法》(简称:《评估办法》),自2019年9月1日起施行。

这件事可能暂时还没有在医疗行业引起太大的注意。那么,《云计算服务安全评估办法》的出台对于医疗机构用户究竟有无关系?

医疗行业属于关键信息基础设施运营者

首先第一反应是,“关键信息基础设施运营者”是否覆盖医疗卫生行业?

2017年7月,根据《中华人民共和国网络安全法》,国家互联网信息办公室会同相关部门起草了《关键信息基础设施安全保护条例(征求意见稿)》。其中,第三章第十八条明确:下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:

(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;

(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;

(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;

(四)广播电台、电视台、通讯社等新闻单位;

(五)其他重点单位。

由上可知,医疗卫生机构应当纳入关键信息基础设施保护范围,属于关键信息基础设施运营者在2019年C3安全峰会上,公安部网络安全保卫局总工程师郭启全表示,由中央网信办和公安部牵头的《国家关键信息基础设施安全保护条例》已上报国务院,等待批准之后将发布实施。《条例》将为关键信息基础设施保护提供强大的支撑和保障,覆盖电信、广播电视、能源、金融、交通、铁路、航空、卫生健康、社会保障、关键制造、电子政务、化工、国防科技等领域的重要网络、重要信息系统、云平台、物联网、工控系统、大数据中心、大型公共服务平台等。

一句话,医疗卫生机构毫无疑问地属于关键信息基础设施运营者

医疗云日益普及

实际上,近年来医院IT基础设施面临着存储、运维、灾备等一系列挑战,也基于此,越来越多的医疗机构用户开始选择“上云”来应对这些问题。北京友谊医院信息中心主任王力华就曾总结过医院“上云”的几点考虑:一是院内存储空间资源及机房空间资源有限;二是医院业务发展迅速,但相关项目建设规划和实施周期较长;三是医院为单机房,无法异地容灾和备份,如遇异常则无法保障数据;四是医院核心业务的连续性要求;五是医院信息部门的运维工程师较少。

目前,很多大型三甲医疗机构已经在存储、灾备、科研等方面应用医疗云IaaS服务,同时也有很多医疗大数据、医学人工智能等新技术应用正基于医疗专有云来开发和部署。而对于医联体、医共体、中小医疗机构来说,公有云厂商也开始与传统医疗信息化厂商合作,在IaaS和PaaS服务的基础上提供SaaS服务,最典型的例子就是目前比较热的云HIS系统。此外,医疗云支撑建设区域卫生信息平台的例子也并不鲜见。就在2019年7月初,一份来自IDC的研究显示,2018年中国医疗云IT总支出达到50.5亿元,预计2023年将达到168.8亿元。

虽然医疗云市场持续走热,但需要注意的是,近两年勒索病毒、数据泄露事件在医疗行业屡次发生,持续拉响医疗行业网络安全警报,这也对医院的网络安全体系提出了更高要求。对于医院信息系统而言,虽然传统的自建模式很难避免出现故障,但是大多数医院信息工作者依然觉得风险可控。从这一角度出发,还是使不少医疗机构用户心存顾虑,即使是已经“上云”的医院,也担心不能完全保障安全。

政策监管有利于医疗云安全

一系列新政策的出台,有望加速提升医疗云平台的安全可控水平。其中,早在2019年5月出台的网络安全等保2.0标准就已专门新增了对“云计算平台”的要求,等级保护对象从原来关注传统系统扩展到云平台的安全,明确了云平台的基础架构要符合等保2.0标准的要求。而本次《评估办法》针对云计算平台服务提出了更为全面的要求,将重点评估六项内容:

一是云平台管理运营者(云服务商)的征信、经营状况等基本情况;

二是云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;

三是云平台技术、产品和服务供应链安全情况;

四是云服务商安全管理能力及云平台安全防护情况;

五是客户迁移数据的可行性和便捷性;

六是云服务商的业务连续性。

其中,《评估办法》所规定的安全评估对象是依据云服务商申请,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。而且同一云服务商运营的不同云平台,都需要分别申请安全评估。

安全性和应用性永远是一对矛盾,在国家出台《云计算服务安全评估办法》和网络安全等保2.0标准等文件的背景下,医疗机构“上云”需保持更加谨慎的态度,因为符合相关要求是“上云”必须要完成的前提工作,但这些安全标准和要求也为医院“上云”提供了更多保障。HIT专家网认为,《评估办法》的出台将至少为医疗机构用户“上云”带来两点积极意义。

首先,能为医院用户提供有针对性的参考,一系列要求使医院“上云”过程和使用云平台服务的过程都更加具有规范性。《评估办法》所规定的云计算服务安全评估包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。

其次,《评估办法》明确云计算服务安全评估坚持事前评估与持续监督,这将有助于全方位保障医院用户的云端安全据了解,云计算服务安全评估参照了《云计算服务安全能力要求》、《云计算服务安全指南》等国家标准。其中,《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面均提出了要求。

正如知名医疗信息化专家陈金雄主任所指出:质量和安全依然是医疗机构选择云平台的最大心理障碍。可以预见的是,《评估办法》的出台将有助于降低因使用云服务所带来的网络安全风险,有利于增强医疗机构用户“上云”的信心。

附:《公告》全文

国家互联网信息办公室 国家发展和改革委员会 工业和信息化部 财政部关于发布《云计算服务安全评估办法》的公告

2019年 第2号

为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部制定了《云计算服务安全评估办法》,现予以发布。

    附件:云计算服务安全评估办法

国家互联网信息办公室 国家发展和改革委员会

工业和信息化部 财政部

2019年7月2日

云计算服务安全评估办法 

第一条 为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,制定本办法。

第二条 云计算服务安全评估坚持事前评估与持续监督相结合,保障安全与促进应用相统一,依据有关法律法规和政策规定,参照国家有关网络安全标准,发挥专业技术机构、专家作用,客观评价、严格监督云计算服务平台(以下简称“云平台”)的安全性、可控性,为党政机关、关键信息基础设施运营者采购云计算服务提供参考。

本办法中的云平台包括云计算服务软硬件设施及其相关管理制度等。

第三条 云计算服务安全评估重点评估以下内容:

(一)云平台管理运营者(以下简称“云服务商”)的征信、经营状况等基本情况;

(二)云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;

(三)云平台技术、产品和服务供应链安全情况;

(四)云服务商安全管理能力及云平台安全防护情况;

(五)客户迁移数据的可行性和便捷性;

(六)云服务商的业务连续性;

(七)其他可能影响云服务安全的因素。

第四条 国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、财政部建立云计算服务安全评估工作协调机制(以下简称“协调机制”),审议云计算服务安全评估政策文件,批准云计算服务安全评估结果,协调处理云计算服务安全评估有关重要事项。

云计算服务安全评估工作协调机制办公室(以下简称“办公室”)设在国家互联网信息办公室网络安全协调局。

第五条 云服务商可申请对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。

第六条 申请安全评估的云服务商应向办公室提交以下材料:

(一)申报书;

(二)云计算服务系统安全计划;

(三)业务连续性和供应链安全报告;

(四)客户数据可迁移性分析报告;

(五)安全评估工作需要的其他材料。

第七条 办公室受理云服务商申请后,组织专业技术机构参照国家有关标准对云平台进行安全评价。

第八条 专业技术机构应坚持客观、公正、公平的原则,按照国家有关规定,在办公室指导监督下,参照《云计算服务安全指南》《云计算服务安全能力要求》等国家标准,重点评价本办法第三条所述内容,形成评价报告,并对评价结果负责。

第九条 办公室在专业技术机构安全评价基础上,组织云计算服务安全评估专家组进行综合评价。

第十条 云计算服务安全评估专家组根据云服务商申报材料、评价报告等,综合评价云计算服务的安全性、可控性,提出是否通过安全评估的建议。

第十一条 云计算服务安全评估专家组的建议经协调机制审议通过后,办公室按程序报国家互联网信息办公室核准。

云计算服务安全评估结果由办公室发布。

第十二条 云计算服务安全评估结果有效期3年。有效期届满需要延续保持评估结果的,云服务商应在届满前至少6个月向办公室申请复评。

有效期内,云服务商因股权变更、企业重组等导致实控人或控股权发生变化的,应重新申请安全评估。

第十三条 办公室通过组织抽查、接受举报等形式,对通过评估的云平台开展持续监督,重点监督有关安全控制措施有效性、重大变更、应急响应、风险处置等内容。

通过评估的云平台已不再满足要求的,经协调机制审议、国家互联网信息办公室核准后撤销通过评估的结论。

第十四条 通过评估的云平台停止提供服务时,云服务商应至少提前6个月通知客户和办公室,并配合客户做好迁移工作。

第十五条 云服务商对所提供申报材料的真实性负责。在评估过程中拒绝按要求提供材料或故意提供虚假材料的,按评估不通过处理。

第十六条 未经云服务商同意,参与评估工作的相关机构和人员不得披露云服务商提交的未公开材料以及评估工作中获悉的其他非公开信息,不得将云服务商提供的信息用于评估以外的目的。

第十七条 本办法自2019年9月1日起施行。

小助手二维码

想加入HIT专家网专业交流群吗?请添加“HIT专家网”小助手微信好友

(请务必注明姓名、单位名称、职务、主管技术或产品领域等实名信息)

【责任编辑:孙鹏】

赞(6)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 【HIT180观察】四部门出台《云计算服务安全评估办法》,对医院“上云”影响几何?
分享到: 更多 (0)