首 頁12月1日等保2.0已來,衛(wèi)生健康行業(yè)應(yīng)具備的合規(guī)能力
迎接2.0新時(shí)代
國家標(biāo)準(zhǔn)GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(代替GB/T 22239-2008),于2019年12月1日正式實(shí)施,意味著網(wǎng)絡(luò)安全工作已正式邁入等保2.0的新時(shí)代。
鞏固1.0時(shí)代的網(wǎng)絡(luò)安全建設(shè)成果,構(gòu)建符合2.0時(shí)代新框架、多領(lǐng)域、高標(biāo)準(zhǔn)的安全體系,如何加快衛(wèi)生健康行業(yè)網(wǎng)絡(luò)安全合規(guī)建設(shè)的步伐,跟上新時(shí)代的要求刻不容緩。
自上而下的驅(qū)動(dòng)
等保2.0建設(shè)工作開展依據(jù),是基于《中華人民共和國網(wǎng)絡(luò)安全法》,從等保1.0時(shí)代條例法規(guī)的執(zhí)行已上升為法律層面應(yīng)盡的責(zé)任和義務(wù)。
網(wǎng)絡(luò)安全體系的建立,從國家到主管單位到醫(yī)院,是自上而下的治理。醫(yī)院網(wǎng)絡(luò)安全工作的開展,已不是單一職能科室的責(zé)任,而是以醫(yī)院主要黨政領(lǐng)導(dǎo)為首要負(fù)責(zé)的醫(yī)療機(jī)構(gòu)對(duì)社會(huì)的承諾和責(zé)任。根據(jù)法律法規(guī),網(wǎng)絡(luò)安全事件發(fā)生時(shí)將會(huì)追究醫(yī)院領(lǐng)導(dǎo)的第一責(zé)任。明確黨政領(lǐng)導(dǎo)作為第一責(zé)任人,將有助于網(wǎng)絡(luò)安全建設(shè)的推進(jìn)。
基于目標(biāo)的框架
建立符合醫(yī)院特性的網(wǎng)絡(luò)安全等級(jí)保護(hù)體系,是落實(shí)醫(yī)院網(wǎng)絡(luò)安全工作框架最基礎(chǔ)、最有效的方法。在框架的范疇內(nèi)進(jìn)行深入和細(xì)化,做好網(wǎng)絡(luò)安全工作的點(diǎn)點(diǎn)滴滴,其目標(biāo)只有一個(gè):杜絕網(wǎng)絡(luò)安全事件的發(fā)生。
為杜絕網(wǎng)絡(luò)安全事件的發(fā)生,在醫(yī)院信息化建設(shè)中樹立醫(yī)院網(wǎng)絡(luò)整體安全的正確意識(shí),根據(jù)網(wǎng)絡(luò)安全法“三同步”原則及時(shí)進(jìn)行風(fēng)險(xiǎn)識(shí)別和隱患治理。千里之堤毀于蟻穴,“木桶原理”是指網(wǎng)絡(luò)安全整體水平由安全級(jí)別最低的部分所決定。1.0時(shí)代,普遍存在“主管單位不提的問題不管,非核心系統(tǒng)問題不管,其他醫(yī)院也存在的問題不管”,安全事件發(fā)生時(shí)抱團(tuán)救火。2.0時(shí)代已來,這些陳舊思想應(yīng)一去不復(fù)返。
由于網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)的科學(xué)性和普適性,是最易于醫(yī)院網(wǎng)絡(luò)安全體系化建設(shè)的參照標(biāo)準(zhǔn),也是最適合醫(yī)院網(wǎng)絡(luò)安全風(fēng)險(xiǎn)合規(guī)的基礎(chǔ)性指導(dǎo)框架。1.0時(shí)代,條例法規(guī)的對(duì)標(biāo)執(zhí)行、被動(dòng)防護(hù)的安全要求,醫(yī)院網(wǎng)絡(luò)安全防護(hù)的主觀能動(dòng)性較差。面對(duì)2.0時(shí)代,只有全面落實(shí)網(wǎng)絡(luò)安全防護(hù)工作,提升醫(yī)院網(wǎng)絡(luò)安全的整體能力和主動(dòng)防護(hù)能力,才能積極避免網(wǎng)絡(luò)安全事件的發(fā)生。
全面的安全管理
在1.0的基礎(chǔ)上,2.0對(duì)定級(jí)級(jí)別、定級(jí)對(duì)象、達(dá)標(biāo)要求等都進(jìn)行大幅提高,要求形成全面的、規(guī)范的安全管理。例如,公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時(shí),相應(yīng)系統(tǒng)的等級(jí)保護(hù)級(jí)別從1.0的第二級(jí)調(diào)整到了第三級(jí)(GA/T1389);等保1.0的定級(jí)對(duì)象僅限于信息系統(tǒng),等保2.0的定級(jí)對(duì)象擴(kuò)展至基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多系統(tǒng)平臺(tái)。
例如基于5G的云平臺(tái)的患者隨訪系統(tǒng),可能涉及到隨訪系統(tǒng)安全、與醫(yī)院核心信息系統(tǒng)的交互安全、云平臺(tái)安全、移動(dòng)終端安全、生命體征等物聯(lián)系統(tǒng)、5G網(wǎng)絡(luò)使用安全等方方面面的安全管理。雖然擴(kuò)展了這么多安全防護(hù)對(duì)象,但達(dá)標(biāo)要求絲毫不減,2.0中測評(píng)的基本分相比1.0時(shí)代有了調(diào)高:90分及以上為優(yōu)、80分及以上為良、70分及以上為中,該系統(tǒng)需要綜合測評(píng)超過70分以上才算基本符合要求,可見網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求之高。
回顧上海市衛(wèi)生健康委員會(huì)2019年1月發(fā)布的滬衛(wèi)計(jì)信息[2019]2號(hào)文《關(guān)于進(jìn)一步調(diào)整本市衛(wèi)生健康行業(yè)重要信息系統(tǒng)定級(jí)范圍的通知》,前瞻性地將醫(yī)療物聯(lián)、承載公民個(gè)人信息、與核心業(yè)務(wù)系統(tǒng)發(fā)生雙向數(shù)據(jù)交互等系統(tǒng)納入不低于三級(jí)的安全等級(jí)保護(hù)范疇,符合2.0時(shí)代實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)的趨勢。但真正實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全管理,以衛(wèi)生健康行業(yè)目前的合規(guī)能力來說還比較難,如何實(shí)現(xiàn)網(wǎng)絡(luò)安全與醫(yī)院信息化并行、醫(yī)院安全管理戰(zhàn)略和目標(biāo)、生命周期貫徹安全管理、人員安全素養(yǎng)培養(yǎng)和隊(duì)伍建設(shè)等,還有很長一段路要走。
作者簡介:
