【KK原创】-《医疗卫生机构网络安全管理办法》的思考

（由于无法直接上传文档，聊天回复《办法解读》，获取PPT下载地址）

一、构成：

    总则、网络安全管理、数据安全管理、监督管理、管理保障

二、重点内容：

01.发行者：国家（卫健委、中医药局、疾控局）

02.目的：加强网络安全管理、促进互联网+医疗健康发展、发挥健康医疗大数据的基础性战略资源作用

03.机构管理：发行者提供统筹、指导、评估、和监督，县级以上卫生健康行政部门负责指导监督

04.范围：云计算、物联网、区块链、5G、大数据，系统功能、服务范围、服务对象、处理数据，规划和申报阶段确定网络安全保护等级

05.安全通报预警：三级医院-态势感知平台建设、威胁情报工作、安全威胁分析和态势研判

06.新技术的应用：人脸技术的使用，使用目的、主体权益保障

三、核心要求：

一个周期--全生命周期管理。

1、网络安全方面：围绕信息系统全生命周期，提出落实等级保护制度、监测预警、应急实战、安全整改、人员管理、新技术应用、密码安全、医疗设备、供应链管理等方面的要求；

2、数据安全方面，以保障数据的机密性、完整性、可用性为目标，要求采取数据加密、数据备份、数据脱敏等技术，加强数据收集、传输、存储、使用、交换、销毁等全生命周期的安全防护。

两个要点--顶层设计和制度保障。

1、顶层设计方面，在整体网络安全体系的基础上，依据数据的特性建构网络和数据安全顶层设计，落实安全责任分工，明确数据管理部门、业务部门、信息化部门在网络和数据安全管理工作中的权责。

2、制度保障方面，应建立健全安全管理制度、操作规程及技术规范。在执行过程中，应密切结合自身业务模式的变更，及时修订完善制度要求，保持网络和数据安全制度的有效执行力及充分协同。

三位一体--管理、技术、运营

 建立网络安全管理制度体系，加强网络安全防护

通过管理和技术手段保障数据安全和数据应用的有效平衡。将总体安全策略拆解到具体安全管理要求，并通过安全技术实现管理要求，最终融入对应到安全运营体系中，形成融合管理、技术、运营三位一体的立体化网络安全管理模式。

四个体系-防护、监测、处置、保障

1、安全防护，要求建立“实战化、体系化、常态化”的安全防护体系，形成“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护态势；

2、安全监测，鼓励三级医院探索态势感知平台建设，及时收集、汇总、分析各方网络安全信息，并与国家及行业平台对接；

3、安全处置，要形成监督管理、安全检查、应急预案、联防联控协同体系；

4、安全保障，通过统筹领导和规划设计，在人才培养、安全培训、经费支持等方面实现全方位保障。

四、总则：

法律框架：《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等有关法律法规标准

分级保护：关键信息基础设施、网络安全等级保护三级及以上

三化六防：“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”

技术方法：利用人工智能、大数据分析等技术、强化安全监测、态势感知、通报预警和应急处置等重点工作

五、网络安全管理

组织架构级人员：

1、成立专项小组，主要负责人领导负责

2、至少一次网络安全办公会

3、明确职能部门，设立专门岗位

4、建立技术体系、制度体系和应急响应体系

网络安全等级保护：

1、规划和申报阶段确定并报主管部门审核同意

2、新技术的应用要特别梳理、明确（云、5G、大数据、区块链、物联网等）

3、细化功能和范围（网络的功能、服务范围、服务对象和处理数据等）

4、10个工作日内备案、撤销、变更（普通行业，一般按月）

5、一个中心(安全管理中心)，三重防护(安全通信网络、安全区域边界、安全计算环境)”

6、三级及以上---每年、二级+10万个人信息--三年、其他五年。

技术建设：

1、态势感知平台建设

2、建立应急处置机制

其他：

1、通过文档核验、漏洞扫描、渗透测试等进行自查及整改

2、关基-对安全人员进行安全背景审查

3、相关人员的安全管理（入职、培训、考核、离岗），建立各类审批流程。（实名登记、背景审查、保密协议、资质核验）

4、医疗设备的相关网络安全管理制度及流程

5、密码产品和服务的要求

6、供应链安全管理的要求

7、资产管理的要求（更新、下线、废止、销毁等）

六、数据安全管理

组织架构级人员：

1、成立专项小组，明确业务部门和管理部门的责任

2、安全责任书：规范管理、业务、信息化等部门的权责

3、涉密人员的保密协议

数据全生命周期管理

1、数据资产的梳理（分类分级、重要程度、危害程度）

2、数据安全管理制度、操作规程及技术规范，年更新

3、每年对本单位的数据进行数据安全风险评估

4、数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作

5、数据出境，提交网络安全审查（kksecurity：解读）

6、三级及以上---每年、二级+10万个人信息--三年、其他五年。

技术建设部分：

1、数据脱敏、数据加密、链路加密等防控措施，防止数据收集过程中数据被泄露

2、不同安全级别数据的加密传输进而建立接口安全控制

3、存储安全：备份、加密、保存周期、访问控制、数据副本、数据归档等

4、日志审计相关

5、发布、共享前应评估安全风险

6、数据销毁、数据残留风险和数据备份风险

人脸识别或辨识

1、除人脸方式外，应提供其他方式

2、不得影响基本业务功能

3、使用目的

4、特性化安全能力（加密传出和存储）

5、物理或逻辑隔离存储人脸识别和身份信息

七、八个信息化时代下的健康医疗数据安全场景

注：此部分图、文均为原创，如需转载请注明或联系作者。

1、互联互通数据安全

2、远程医疗数据安全

3、汇聚中心数据安全

4、健康传感数据安全

5、移动应用数据安全

6、临床研究数据安全

7、商保对接数据安全

8、器械维护数据安全

八、监督管理

01.配合监督管理及日常检查

02.积极整改

03.应急预案和风险处置

        04.网络安全事件的上报等

九、管理保障

01.要求高度重视并列入重要议事日程，人员、经费、相关建设的保障

02.人员：建立人才机制（培养、选拔、教育、使用、发现等）

03.经费投入：不少于信息化项目预算5%

04.网络安全考核评价机制，与绩效挂钩

原文始发于微信公众号（KK安全说）：【KK原创】-《医疗卫生机构网络安全管理办法》的思考