医疗等保2.0|新版测评标准对医疗行业网络安全等级保护提出了更高要求

admin 2022年5月11日17:18:32评论102 views字数 4325阅读14分25秒阅读模式
请点击上面 医疗等保2.0|新版测评标准对医疗行业网络安全等级保护提出了更高要求 一键关注!

来自公众号:国源天顺

「 编者按 」:

等保不是安全建设的唯一目标但是必须达到的目标,等保2.0对医疗行业提出了更高的要求。获得可持续的安全保障是安全建设的重要目标,网络安全与医疗业务应用系统共生存,跟业务系统一样需要专业的团队来运营;网络安全绝不是简单的设备堆砌,使用和管理更重要,只要网络还存在,安全就是一个永恒的主题。



医疗行业网络安全形式严峻
医疗行业网络安全面临四大风险

根据《2020数字医疗网络安全报告》数据,医疗行业总体 处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。报告显示,医疗行业网络安全面临四大风险:资产脆弱性风险、僵木蠕毒风险、漏洞风险、网站篡改风险。0

9画

遭受勒索病毒攻击严重
根据 2018 年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲 医院中,有 247 家医院检出了勒索病毒,以广东、湖北、江苏等 地区检出勒索病毒最多。2019 年初,某省几十家互联互通医院 同时感染 GlobeImposter3.0 变种勒索病毒而被加密, GlobeImposter 勒索病毒十分偏爱医疗行业,在众多感染 GlobeImposter 勒索病毒的行业中,医疗行业占比约 50%。医疗行业受勒索病毒感染情况严重。

缺乏必要的网络安全防护设备
根据 CHIMA《2018-2019 年度中国医院信息化状况调查报告》 显示,现阶段绝大多数医院仅采用防火墙保障网络安全,对网络 进行 VPN/VLAN 划分和上网行为管理的医院仅过半数。医院对网 闸、防入侵、防毒墙等设备的采用率均小于 50%。可见大部分医 院都缺乏必要的网络防护设备。
医疗等保2.0|新版测评标准对医疗行业网络安全等级保护提出了更高要求

医疗行业等级保护相关政策法规
等级保护相关法规要求
《中华人民共和国网络安全法》
第二十一条:“国家实施网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”
第三十一条“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄漏,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护“。

关键信息基础设施安全保护条例》2021年9月1日实施
第二条:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

《网络安全等级保护条例》(征求意见稿)2018年6月27日公安部官网发布
等级保护相关政策要求
2011年11月29日,卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知;
2018年,国家卫健委发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》中第19条:单位应当按照国家网络安全等级保护制度要求,构建可信的网络安全环境,加强健康医疗大数据相关系统安全保障体系建设,提升关键信息基础设施和重要信息系统的安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作;
2018年,国家卫健委发布的《互联网医院管理办法(试行)》第三章第十五条:互联网医院信息系统,按照国家有关法律法规和规定,实施第三级信息安全等级保护;
2018年12月,国家卫健委发布的《电子病历系统应用水平分级评价标准(试行)》第35项:完成信息安全等级保护定级备案与测评、医院重要信息安全等级保护不低于三级;
2020年,国家卫健委发布的《医院信息互联互通标准化成熟度》新版测评方案4.3章节:审四级以上的医院的信息平台需要完成等级保护三级定级备案与测评,要求提供备案证明及本年度或上一年度相关的安全测评报告。
从近两年国家颁布的政策法规中可以看出,国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。

医疗行业开展等保工作的建议
合理开展系统定级备案工作
医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。
2011年原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》就明确重要卫生信息系统安全保护等级原则上不低于三级。
随着新兴技术的发展,等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列。2019年1月,上海市卫生健康委员会发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》,进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级
A、核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等;
B、区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。
C、满足如下条件之一的信息系统:
a、承载公民个人信息的;
b、承载核心业务信息(包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等)的;
c、与核心业务系统发生双向数据交换或业务协同的系统(包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等);
d、承载医院对外形象宣传的或医院重要信息(包含但不限于医院门户网站、统一登录平台、移动OA、移动App等);
e、承载国家法律法规需要落实敏感信息保护的;
f、与其他按照等级保护要求运行维护的发生双向数据交换或业务协同的系统。

常规化风险评估、等级测评工作
医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可委托第三方单位开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况,安排当年的等级测评工作,按照要求定级为三级及以上的系统每年开展一次测评,选择公安部推荐目录中的等级保护测评机构开展安全测评。
医疗机构应按照要求常规化风险评估、等级测评工作,做到定期排查系统安全隐患,对于不符合要求项,信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间,测评完成后对未达到安全保护等级要求的问题进行整改,整改时间及程度依据系统安全现状及经费决定,不涉及购买设备、网络架构大变动小规模系统需要2周左右时间,总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。

强化纵深防御能力
对系统进行了全方位的风险分析,完成了等级保护测评后,就需要对测评中发现的问题进行整改。最快速简单的整改办法就是从网络整体架构出发,完善医疗机构网络安全建设,配备并配置必要的网络安全设备,形成纵深防御能力,确保系统中无高风险问题,其次再逐渐修正一些中低风险问题。鉴于医疗行业数据的重要性,做好数据备份、数据加密存储和传输工作,保障医疗数据的安全。

医疗行业等级保护流程
一、定级:信息系统运营使用单位按照等保管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但主要还是根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的需要根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。
二、备案:第二级以上信息系统定级市级单位到所在地社区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。
三、系统建设整改:信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
四、测评:等级测评信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结果分为:优、良、中、差。
五、监督检查:公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等保工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。

医疗行业等级保护费用组成
医疗行业等保的费用主要由三部分组成:
第一部分专家定级评审费用,是因为定级环节需要邀请三位专家就信息系统定级情况组织开展定级评审会议所产生的专家费;
第二部分费用为等保的咨询和测评费用,根据系统情况不同,所以费用也不同;
第三部分为建设整改的费用,需要根据企业的实际情况来确定最终费用;
测评的费用因系统规模、不同等级、不同地域而不同,具体价格需要和测评机构进一步讨论才能确定。

医疗等保2.0|新版测评标准对医疗行业网络安全等级保护提出了更高要求

「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!

知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。

如何加入:扫描下方二维码,扫码付费即可加入。

加入知识星球的同学,请加我微信,拉您进VIP交流群!

医疗等保2.0|新版测评标准对医疗行业网络安全等级保护提出了更高要求

朋友都在看

▶️3保1评 | 分保、等保、关保、密评联系与区别

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次?

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院:不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准(下载)

▶️2022版 | 全国网络安全常用标准(下载)

欢迎扫描关注【天億网络安全】公众号,及时了解更多网络安全知识

原文始发于微信公众号(天億网络安全):医疗等保2.0|新版测评标准对医疗行业网络安全等级保护提出了更高要求

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月11日17:18:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   医疗等保2.0|新版测评标准对医疗行业网络安全等级保护提出了更高要求http://cn-sec.com/archives/997788.html

发表评论

匿名网友 填写信息