HIT专家网
来源:HIT专家网 作者:龚晨
近年来,医院信息中心的网络安全压力越来越大,确保全院业务信息系统的安全稳定运行,已经成为医院信息中心主任的最为在意的大事。2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局三部委联合印发《医疗卫生机构网络安全管理办法》(以下简称《管理办法》),无疑是一场“及时雨”。《管理办法》要求所有医疗卫生机构,加强网络安全管理,防范网络安全事件发生。
通览全文不难发现,《管理办法》实现了对《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等多部法律法规的有效衔接,是对“如何管理医疗卫生行业的网络安全问题”提出的系统化要求,并且专门系统梳理和明确了医疗卫生机构关于网络安全管理的职责体系、组织保障等举措,为医院信息中心协同推进网络安全和数据安全提供了一揽子依据与工作指南。
“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”,这是《管理办法》的总体原则之一,目的是从组织保障的角度,落实网络安全责任制,明确各方责任。网络安全不是医院信息部门的“一家之事”,主管部门、运营部门、信息化部门、使用部门应各司其职、各尽其责。
在经费投入方面,《管理办法》要求,各医疗卫生机构应保障经费投入,保障网络安全等级测评、风险评估、攻防演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运维、教育培训等活动的开展。
还有一条内容引人瞩目:“新建信息化项目的网络安全预算不低于项目总预算的5%。”经HIT专家网查阅各类政策文件发现,5%的指标设计并非首创,其他领域已有类似规定;但在医疗卫生行业,《管理办法》实属首次在公开文件中提出具体要求,堪称亮点。
根据国家卫生健康委统计信息中心发布的《全民健康信息化调查报告——区域卫生信息化与医院信息化(2021)》显示,尚有25%的三级医院、超过50%的二级医院没有网络信息安全专项预算;在新建信息化项目中,近85%的三级医院未能达到网络安全预算不低于总预算5%的目标。因此,《管理办法》的出台将为这部分医院“补齐预算”提供政策依据。
其实,“比‘预算少’更难解的,是‘缺人’的问题。”目前,由于长期得不到应有的重视,国内绝大多数医院信息部门无力设置专门的网络安全工程师岗位。在人员投入方面,《管理办法》的要求相对原则,如:“依法落实人员……投入等重大问题”,“发现选拔网络安全人才,建立人才库,建立健全人才发现、培养、选拔和使用机制,为做好网络安全工作提供人才保障”。
实际上,我国医院信息部门人员配备普遍不足,待遇较低,一人多岗、疲于奔命,专业的网络安全工程师更是凤毛麟角。在HIT专家网的读者群中,不少读者反馈:“如果要求三甲医院信息部门设立网络安全专人专岗就更好了”,“网络安全人才队伍的建设需要医院拓宽进人渠道,目前医院的编制指标很难顾及信息部门”。
不过,HIT专家网注意到,同样在8月发布的国家卫生健康委《关于印发“十四五”卫生健康人才发展规划的通知》中提出,“研究制定卫生健康信息化人员配备标准,突出加强数据分析、网络安全等技术人员配备”。这是一个值得期待的信号,而且越早推进落地越好。
此外,《管理办法》也“鼓励(网络安全业务)管理岗位和技术岗位持证上岗”。期待这一要求,能够促进医院信息部门加强网络安全人才岗位的设立和培养。
《管理办法》要求医疗机构积极参加网络安全攻防演练,提升保护和对抗能力。近一两年,参与网络安全攻防演练的医疗机构数量日渐增多,促进了医疗机构网络安全防护人员实战经验的增长,帮助他们在“枪林弹雨”下成长。
针对医疗机构普遍短缺网络安全人才的现实问题,委托第三方开展安全服务的发展趋势正日渐明显。但又正如《管理办法》再三强调的那样:医疗卫生机构对本单位网络安全负主体责任。在未来的探索发展中,网络安全服务或许可以创新出不同的新途径,但网络安全责任永远无法“外包”。高质量的外包服务,更考验医院各级主体责任分工的落实到位程度。
精彩不容错过!
我们将尽快与您联系!
【责任编辑:秦勉】
评论前必须登录!
注册