新版测评标准对医疗行业网络安全等级保护提出了更高要求

admin 2022年6月29日11:37:55制度法规评论6 views3821字阅读12分44秒阅读模式
新版测评标准对医疗行业网络安全等级保护提出了更高要求


等保不是安全建设的唯一目标但是必须达到的目标,等保2.0对医疗行业提出了更高的要求。

获得可持续的安全保障是安全建设的重要目标,网络安全与医疗业务应用系统共生存,跟业务系统一样需要专业的团队来运营;网络安全绝不是简单的设备堆砌,使用和管理更重要,只要网络还存在,安全就是一个永恒的主题。


1

医疗行业网络安全形势严峻

  医疗行业网络安全面临四大风险

根据《2020数字医疗网络安全报告》数据,医疗行业总体 处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。报告显示,医疗行业网络安全面临四大风险:资产脆弱性风险、僵木蠕毒风险、漏洞风险、网站篡改风险。

  遭受勒索病毒攻击严重

根据 2018 年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。2019年初,某省几十家互联互通医院同时感染GlobeImposter3.0变种勒索病毒而被加密,GlobeImposter勒索病毒十分偏爱医疗行业,在众多感染GlobeImposter勒索病毒的行业中,医疗行业占比约 50%。医疗行业受勒索病毒感染情况严重。

  缺乏必要的网络安全防护设备

根据 CHIMA《2018-2019 年度中国医院信息化状况调查报告》 显示,现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于 50%。可见大部分医院都缺乏必要的网络防护设备。

新版测评标准对医疗行业网络安全等级保护提出了更高要求

2

医疗行业等级保护相关政策法规

  等级保护相关法规要求

《中华人民共和国网络安全法》

第二十一条:“国家实施网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”

第三十一条“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄漏,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护“。

关键信息基础设施安全保护条例》2021年9月1日实施

第二条:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

《网络安全等级保护条例》(征求意见稿)2018年6月27日公安部官网发布

  等级保护相关政策要求

2011年11月29日,卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知;

2018年,国家卫健委发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》中第19条:单位应当按照国家网络安全等级保护制度要求,构建可信的网络安全环境,加强健康医疗大数据相关系统安全保障体系建设,提升关键信息基础设施和重要信息系统的安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作;

2018年,国家卫健委发布的《互联网医院管理办法(试行)》第三章第十五条:互联网医院信息系统,按照国家有关法律法规和规定,实施第三级信息安全等级保护;

2018年12月,国家卫健委发布的《电子病历系统应用水平分级评价标准(试行)》第35项完成信息安全等级保护定级备案与测评、医院重要信息安全等级保护不低于三级;

2020年,国家卫健委发布的《医院信息互联互通标准化成熟度》新版测评方案4.3章节:评审四级以上的医院的信息平台需要完成等级保护三级定级备案与测评,要求提供备案证明及本年度或上一年度相关的安全测评报告。

从近两年国家颁布的政策法规中可以看出,国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。

3

医疗行业开展等保工作的建议

  合理开展系统定级备案工作

医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。

2011年原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》就明确重要卫生信息系统安全保护等级原则上不低于三级。

随着新兴技术的发展,等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列。2019年1月,上海市卫生健康委员会发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》,进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级。

A、核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等;

B、区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统;

C、满足如下条件之一的信息系统:

a、承载公民个人信息的;

b、承载核心业务信息(包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等)的;

c、与核心业务系统发生双向数据交换或业务协同的系统(包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等);

d、承载医院对外形象宣传的或医院重要信息(包含但不限于医院门户网站、统一登录平台、移动OA、移动App等);

e、承载国家法律法规需要落实敏感信息保护的;

f、与其他按照等级保护要求运行维护的发生双向数据交换或业务协同的系统;

  常规化风险评估、等级测评工作

医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可委托第三方单位开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况,安排当年的等级测评工作,按照要求定级为三级及以上的系统每年开展一次测评,选择公安部推荐目录中的等级保护测评机构开展安全测评

医疗机构应按照要求常规化风险评估、等级测评工作,做到定期排查系统安全隐患,对于不符合要求项,信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间,测评完成后对未达到安全保护等级要求的问题进行整改,整改时间及程度依据系统安全现状及经费决定,不涉及购买设备、网络架构大变动小规模系统需要2周左右时间,总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。

  强化纵深防御能力

对系统进行了全方位的风险分析,完成了等级保护测评后,就需要对测评中发现的问题进行整改。最快速简单的整改办法就是从网络整体架构出发,完善医疗机构网络安全建设,配备并配置必要的网络安全设备,形成纵深防御能力,确保系统中无高风险问题,其次再逐渐修正一些中低风险问题。鉴于医疗行业数据的重要性,做好数据备份、数据加密存储和传输工作,保障医疗数据的安全。

4

医疗行业等级保护流程

1

定级

信息系统运营使用单位按照等保管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但主要还是根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的需要根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。

2

备案

第二级以上信息系统定级市级单位到所在地社区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。

3

系统建设整改

信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。

4

测评

等级测评信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结果分为:优、良、中、差。

5

监督检查

公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等保工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。

5

医疗行业等级保护费用组成

医疗行业等保的费用主要由三部分组成:

第一部分专家定级评审费用,是因为定级环节需要邀请三位专家就信息系统定级情况组织开展定级评审会议所产生的专家费;

第二部分费用为等保的咨询和测评费用,根据系统情况不同,所以费用也不同;

第三部分为建设整改的费用,需要根据企业的实际情况来确定最终费用;

测评的费用因系统规模、不同等级、不同地域而不同,具体价格需要和测评机构进一步讨论才能确定。

来源:智医讯

新版测评标准对医疗行业网络安全等级保护提出了更高要求

原文始发于微信公众号(信息安全国家工程研究中心):新版测评标准对医疗行业网络安全等级保护提出了更高要求

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日11:37:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  新版测评标准对医疗行业网络安全等级保护提出了更高要求 http://cn-sec.com/archives/1138414.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: