医疗行业如何开展等级保护工作

医疗行业如何开展等级保护工作？时代新威等级保护小组目录政策背景重要政策分析工作经验总结contents01政策背景政策背景网络安全相关监管要求文件1.《中华人民共和国网络安全法》2017年6月2.《公安机关互联网安全监督检查规定》(公安部第151号令【2018】)3.《网络安全等级保护条例》（征求意见）公安部2018年6月4.《信息安全等级保护管理办法》（公通字【2007】43号）5.《个人信息和重要数据出境安全评估办法（征求意见稿）》

2017年4月，国家互联网信息办公室6.《数据安全管理办法（征求意见稿）》2019年5月国家互联网信息办公室7.《关键信息基础设施安全保护条例（征求意见稿）》

2017年7月国家互联网信息办公室8.《计算机信息系统安全保护条例》（国务院令第147号）9.《计算机软件保护条例》（国务院令【2013】第632号）政策背景医疗行业网络安全相关监管要求文件1.卫办发〔2011〕85号《卫生行业信息安全等级保护工作的指导意见》的通知2.卫办综函〔2011〕1126号《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作》的通知3.由国家卫生健康委员会、国家中医药管理局于2018年7月17日印发《互联网医院管理办法（试行）》4.国卫规划发〔2014〕24号《人口健康信息管理办法（试行）》的通知5.2016年卫健委发《2016三级综合医院评审标准考评办法(完整版)》6.国卫规划发〔2018〕23号《国家健康医疗大数据标准、安全和服务管理办法（试行）》的通知政策背景2018年7月国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》，规定承载医疗大数据的平台必须落实等级保护制度，健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。2018年9月国家卫健委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》，要求开展互联网诊疗服务的医疗机构必须实施第三级信息安全等级保护。2019年11月国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》，在信息化建设方面，医院核心业务系统达到“国家信息安全等级保护制度三级要求”。从近两年国家颁布的政策法规中可以看出，国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。政策背景从近两年国家颁布的政策法规中可以看出，国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。02重要政策分析《中国软件评测中心网安中心对医疗行业开展等级保护工作的建议》重要政策分析一、合理开展系统定级备案工作医疗行业目前急需落实网络安全等级保护的系统有两类，一是传统核心业务系统，二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。中国软件评测中心网安中心整理了目前有关部门发布的意见。早在2011年，还是等级保护1.0时代，原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》明确以下重要卫生信息系统安全保护等级原则上不低于三级：重要政策分析1.卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;2.国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心;3.三级甲等医院的核心业务信息系统;4.卫生部网站系统;5.其他经过信息安全技术专家委员会评定为第三级以上(含第三级的信息系统)。重要政策分析但随着新兴技术的发展，等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列，显然2011年的指导意见已经不那么充分了，好在上海市卫生健康委员会2019年1月发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》，进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级，包括以下：重要政策分析1.核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等;2.区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。3.满足如下条件之一的信息系统：重要政策分析a、承载公民个人信息的信息系统;b、承载核心业务信息(包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等)的信息系统;c、与核心业务系统发生双向数据交换或业务协同的信息系统(包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等);d、承载国家法律法规需要落实敏感信息保护的信息系统;e、承载医院对外形象宣传的信息系统或医院重要信息(包含但不限于医院门户网站、统一登录平台、移动OA、移动App等);f、与其他按照等级保护要求运行维护的信息系统发生双向数据交换或业务协同的信息系统。重要政策分析上海卫健委发布的定级范围可以说是紧跟国家相关政策法律法规，区分了核心业务系统、区域核心业务系统，以及将含有敏感信息保护的信息系统、承载公民个人信息保护的系统都包含进来，是非常有借鉴作用的。等级保护2.0的开展，对医疗机构而言，无疑是对其网络和信息安全能力提出了进一步要求。重要政策分析另外，中国软件评测中心网安中心提醒广大医疗行业网络运营者，《网络安全等级保护条例(征求意见稿)》中明确要求“网络运营者应当在规划设计阶段确定网络的安全保护定级”。对于第二级以上网络运营者，应当在网络的安全保护等级确定后10个工作日内，到县级以上公安机关备案。重要政策分析二、常规化风险评估、等级测评工作医疗机构在完成定级备案工作后，由信息安全管理部门牵头进行安全建设整改工作，可以自行开展安全评估，或者委托第三方单位开展安全评估工作，依据等级保护标准对评估结果进行差距分析，查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况，安排当年的等级测评工作，按照要求定级为三级及以上的系统每年开展一次测评，选择公安部推荐目录中的等级保护测评机构开展安全测评。重要政策分析医疗机构应按照要求常规化风险评估、等级测评工作，做到定期排查系统安全隐患，对于不符合要求项，信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间，测评完成后对未达到安全保护等级要求的问题进行整改，整改时间及程度依据系统安全现状及经费决定，不涉及购买设备、网络架构大变动小规模系统需要2周左右时间，总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。重要政策分析三、强化纵深防御能力对系统进行了全方位的风险分析，完成了等级保护测评后，就需要对测评中发现的问题进行整改。最快速简单的整改办法就是从网络整体架构出发，完善医疗机构网络安全建设，配备并配置必要的网络安全设备，形成纵深防御能力，确保系统中无高风险问题，其次再逐渐修正一些中低风险问题。鉴于医疗行业数据的重要性，做好数据备份、数据加密存储和传输工作，保障医疗数据的安全。中国软件评测