随着信息化程度的深入,医疗机构信息系统的安全显得尤为重要,直接关系到医疗工作的正常运行。
因为一旦出现问题,将对医疗企业和患者带来巨大的麻烦。
一、互联网医疗企业一定要过等保吗?
互联网医院出现,网上问诊需求增多,不少企业也开始参与互联网医院建设,而针对互联网医院的相关等保要求也陆续出台。
#
针对医疗行业的等保要求:
国家卫健委《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》国家呼吸医学中心设置标准中和国家呼吸区域医疗中心设置标准都要求:
医院核心业务系统需达到“国家信息安全等级保护制度”三级要求。
国家卫健委《关于印发互联网诊疗管理办法(试行)等3个文件的通知》互联网医院基本标准文件中第四条:
(六)信息系统实施第三级信息安全等级保护。
国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》第十九条:
责任单位应当按照国家网络安全等级保护制度要求,构建可信的网络安全环境,加强健康医疗大数据相关系统安全保障体系建设,提升关键信息基础设施和重要信息系统的安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。
健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作。
除了以上卫健委发布的通知、法规,医疗行业也已出台许多政策。
#
医疗行业等保要求历程:
-
2020年《关于在疫情防控中做好互联网诊疗咨询服务工作的通知》国卫办医函(2020)112号
-
2019年国家卫健委《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》
-
2018年国家卫健委《关于印发互联网诊疗管理办法(试行)等3个文件的通知》
-
2018年国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》
-
2018年《互联网医院管理办法(试行)》
-
2018年《关于印发互联网诊疗管理办法(试行)》
-
2018年《国家健康医疗大数据标准、安全和服务管理办法(试行)》的通知 国卫规划发〔2018〕23号
-
2016年《2016三级综合医院评审标准考评办法(完整版)》
-
2011年《人口健康信息管理办法(试行)》的通知国卫规划发(2014)24号
-
2011年《ws部办公厅关于全面开展卫生行业信息安全等级保护工作》的通知卫办综函(2011)1126号
-
2011年《卫生行业信息安全等级保护工作的指导意见》的通知卫办发[2011)85号
从相关法规政策及其发展来看,要交付医疗系统,建设互联网医院,拿到互联网医院牌照,“三级等保”是标配,是企业绕不开的必修课。
二、医疗行业不过等保会怎样?
如果根据规定企业需要过对应级别的等保,但实际并没有去做,那就是违法的!
有可能会面临警告或高达一百万的罚款!
《网络安全法》第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
三、补充了解:医疗企业如何过等保?
#
等保流程
第一步:系统定级。对业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告。
第二步:系统备案。持定级报告和备案表到当地公安网监进行备案。
第三步:建设整改。参照定级要求和标准,对信息系统整改加固。
第四步:等级测评。测评机构对信息系统等级测评,形成测评报告。
第五步:合规监督检查。向当地公安网监提交测评报告,用户配合完成检查。
#
医疗企业过等保的好处
①免于处罚、互联网医疗的门槛
信息系统运营、使用单位履行网络安全等级保护制度要求,履行安全保护义务,符合行业监管部门要求,相关责任人可以免于相应的处罚。
等级保护证明成为互联网医院申请牌照的准入门槛。三级等保证明也是评选三级医院的必要条件。
②安全要求、病人隐私保护
通过开展等级保护工作,可及时发现系统与国家安全标准之间存在的差距,查明系统内部存在的安全隐患与不足之处,通过安全整改,提升系统的安全防护能力,降低被攻击的风险,减少不必要的财产损失。同时更有效地保护病人的个人隐私数据。
③可信度增强
信息系统运营单位在向外部客户提供业务服务时,通过等保测评,能向客户及利益相关方展示信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。
#
哪些医疗系统需过三级等保?
2019年,四川省卫健委及四川省公安厅印发《四川省卫生健康行业网络安全等级保护工作实施方案》的通知中,明确:
三级医疗卫生机构建设和运营的重要信息系统应定级为信息安全等级保护三级;二级医疗卫生机构建设和运营的信息系统应定级不低于等级保护二级。
其中HIS、LIS、PACS、EMR及门户网站等系统不低于三级:
(1)医院管理信息化(HIS)
它是以管理为主轴,对医院的人流、物流和财流进行综合化的管理,利用电子计算机和通讯设备,为医院所属各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力并满足所有用户的功能需求的平台。医院管理信息化包括行政管理系统、医疗管理系统、决策支持系统和其他各种辅助系统,帮助实现医院内部管理一体化、员工工作高效化、部门协作关系简单化、科室收益透明化、患者费用清单化、诊疗信息电子化,使医疗服务过程更加高效、有序、规范。
(2)电子病历系统(EMR)
电子病历系统,是医学专用软件。医院通过电子病历以电子化方式记录患者就诊的信息,包括:首页、病程记录、检查检验结果、医嘱、手术记录、护理记录等等,其中既有结构化信息,也有非结构化的自由文本,还有图形图像信息。涉及病人信息的采集、存储、传输、质量控制、统计和利用。
(3)官方/门户网站系统(OS)
官方网站,亦称官网。官方网站是公开团体主办者体现其意志想法,团体信息公开,并带有专用、权威、公开性质的一种网站。
(4)影像存档和传输系统(PACS)
医学影像存档与传输系统是由PACS质控工作站、PACS服务器、多功能数据备份工作站、PACS影像诊断工作站、PACSweb服务器、放射信息系统、特检科信息系统、miniPACS工作站、远程会诊系统、影像中心等软件功能组成。主要用于医疗机构对医学影像信息的存储、传输、浏览、处理、报告、输出和治理。
(5)放射信息系统(RIS)
放射科信息系统(Radiology Information System, RIS),英文缩写RIS,是医院重要的医学影像学信息系统之一,它与PACS系统共同构成医学影像学的信息化环境。放射科信息系统是基于医院影像科室工作流程的任务执行过程管理的计算机信息系统,主要实现医学影像学检验工作流程的计算机网络化控制、管理和医学图文信息的共享,并在此基础上实现远程医疗。
(6)检验信息系统(LIS)
检验信息系统是将医院实验室检验仪器通过计算机网络连接起来,将检验仪器传出的检验数据进行采集、传输、处理输出、发布,让患者、实验室、医护单元、临检中心等分散的业务连成一个整体,同时将检验工作的整个流程置于计算机系统的监控之下,形成了符合实验室管理规范的质量监控体系。
(7)重症监护系统(ICU)
ICU重症监护系统是面向医护人员提供的“一体化”应用,系统通过移动化、物联化和图形可视化等技术手段,与医院综合业务系统、相关医疗仪器设备整合,实现重症监护患者信息的自动采集、存储与共享。
(8)区域医疗信息化系统(GMIS)
区域医疗信息化是指区域内医疗机构自身建立了完善的信息化系统后,通过区域医疗信息化系统构建区域内大型医疗机构为龙头,基层医疗机构与其他医疗组织参与的区域医疗联合体。区域医疗信息化以医院信息集成平台为依托、业务信息的共享与交换为基础,通过远程医疗、双向转诊、分级医疗、呼叫中心等子系统,帮助区域内的各级医疗机构进行有效的信息整合和共享,从而解决当前医疗机构各自开发、各自建设而导致的信息孤岛状态,实现医疗资源的合理分配。
(9)内部办公系统(OA)
办公自动化(Office Automation,简称OA),是将计算机、通信等现代化技术运用到传统办公方式,进而形成的一种新型办公方式。办公自动化利用现代化设备和信息化技术,代替办公人员传统的部分手动或重复性业务活动,优质而高效地处理办公事务和业务信息,实现对信息资源的高效利用,进而达到提高生产率、辅助决策的目的,最大限度地提高工作效率和质量、改善工作环境。
(10)财务管理系统
财务管理系统分传统财务管理系统和现代财务管理系统。传统财务管理系统主要是以会计业务为基础,在此基础上扩充其他的一些财务操作。如总账管理、生产财务报表等。现代财务管理系统在传统的财务管理系统基础之上,再扩充了其他一些财务操作。大部分是关于理财方面的,比如个人所得税计算器、财政预算。
原文始发于微信公众号(苏说安全):医疗 | 互联网医疗企业一定要过等保吗?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论