浅析《医疗卫生机构网络安全管理办法》

随着信息技术的飞速发展，医疗数据应用逐步加深，医疗信息系统在方便医疗机构和患者使用的同时，背后面临着愈发严峻的风险和挑战。究其原因，主要是由于医疗信息系统本身有别于其他关键行业信息系统的特殊性以及外部环境因素造成的。

基于上述背景，2022年8月29日，国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》（以下简称“办法”），《办法》共计三十四条，分为总则、网络安全管理、数据安全管理、监督管理、管理保障五大章节。旨在为加强医疗卫生机构网络安全管理，进一步促进“互联网+医疗健康”发展，充分发挥健康医疗大数据作为国家重要基础性战略资源的作用，防范网络安全事件发生。

制定依据

根据《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等有关法律法规标准制定本办法。

办法要求

坚持分等级保护、突出重点

重点保障关键信息基础设施、网络安全等级保护第三级及以上网络以及重要数据和个人信息安全。

应每年对数据资产进行全面梳理，在落实网络安全等级保护制度的基础上，依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。

坚持积极防御、综合防护

1.强化安全监测、态势感知、通报预警和应急处置等重点工作。落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。

2.各医疗卫生机构在网络运营过程中，应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查，针对安全自查、监测预警、安全通报等过程中发现的安全隐患应认真开展整改加固，防止网络带病运行，并按要求将安全自查整改情况报上级卫生健康行政部门。

坚持落实网络安全责任制

“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。

1. 在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责，对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。

2. 应建立数据安全管理组织架构，明确业务部门与管理部门在数据安全活动中的主体责任，通过安全责任书等方式，规范本单位数据管理部门、业务部门、信息化部门在数据安全管理全生命周期当中的权责，建立数据安全工作责任制，落实追责追究制度。

3. 各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范，涉及的管理制度每年至少修订一次，建议相关人员每年度签署保密协议。

名词释义

网络：是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

网络数据：是指医疗卫生机构通过网络收集、存储、传输、处理和产生的各种电子数据，包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。

适用范围

本办法适用于医疗卫生机构运营网络的安全管理。未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。

部门责任

国家卫生健康委、国家中医药局、国家疾控局：统筹规划、指导、评估、监督医疗卫生机构网络安全工作。

地方卫生健康行政部门：承担本行政区域内医疗卫生机构网络安全指导监督工作。

医疗卫生机构：对本单位网络安全管理负主体责任。

各医疗卫生机构应积极配合有关主管监管机构监督管理，接受网络安全管理日常检查，做好网络安全防护等工作。发生各类安全事件时，各医疗卫生机构应当立即启动应急预案，采取必要的补救和处置措施，及时告知相关主体，并按照要求向有关主管监管部门报告。

“互联网+医疗健康”和智慧医疗迎来蓬勃发展，新的业务形态不断出现。与此同时，医疗行业由于自身数据高度敏感性以及高价值性等特性，网络安全攻击、数据窃取、医疗机构勒索事件逐年增多。此类事件将会对公共卫生管理和医院管理造成严重影响，损害医疗机构和患者个人的合法权益。

针对各医疗卫生机构如何有效落实《医疗卫生机构网络安全管理办法》，梆梆安全建议应根据实际业务情况，构建系统化的网络安全防护体系，网络安全管理工作需要分阶段、分重点建设。

梆梆安全助力医疗行业

构建网络安全防护体系

医患个人信息安全检测

针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题，结合本办法与相关法律法规等监管要求，可对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测，在应用发布前帮助评估医疗APP个人信息的安全性和合规性。

医疗应用安全加固

梆梆安全应用加固技术，可以在不改变应用客户端代码的情况下，将针对应用各种安全缺陷的保护技术集成到应用客户端内，提供涵盖应用开发、打包、发布、运行全生命周期一体化安全保障服务，有效防止针对移动应用的反编译、二次打包、内存注入、动态调试、数据窃取、交易劫持、应用钓鱼等恶意攻击行为，全面保护移动医疗应用的软件安全。

应用数据安全加密

梆梆密盾密钥安全保护软件，采用自主研发的白盒密码技术，可通过系统生成的白盒库与白盒密钥，在客户端App中进行正常的加解密，全过程不出现原始密钥的密钥明文，保障原始密钥在白盒环境下的存储、使用安全。

盗版仿冒监测

在全网范围内针对移动医疗应用进行盗版仿冒监测，及时发现盗版仿冒风险，协助医疗机构对盗版仿冒应用进行下架，避免对用户和医疗机构的损害。

应用安全监测，建立态势感知体系

移动应用安全监测平台针对移动应用上线运行后的动态运行安全问题及运行稳定性问题，不依赖于用户的业务数据，不依赖现有的黑产数据，部署简单方便有效，能够从动态攻击的技术源头进行感知分析，为医疗卫生机构快速建立事前、事中、事后的移动应用安全态势感知体系。

在医疗领域业务和服务模式不断转变过程中，医疗信息系统的应用愈发广泛，医疗数据已成为医疗机构实现持续、稳定、健康发展至关重要的资产。因此，《办法》的颁布有着十分重要的意义，在坚持安全可控和开放创新并重的基本原则基础上，为医疗卫生机构网络安全管理提供了工作指南。

未来，梆梆安全将持续充分发挥自身技术优势，关注医疗卫生机构的安全运行及医患的合法权益，助力促进医疗数据数字化发展，为建设“健康中国”贡献梆梆力量。

推荐阅读

Recommended

> 梆梆安全顺利通过软件能力成熟度模型集成CMMI L3认证

> 再爆“盗脸”安全事件，梆梆安全深度解析人脸识别攻击与防护

> 工信部通报84款违规APP，为何频频有APP被通报？

原文始发于微信公众号（梆梆安全）：浅析《医疗卫生机构网络安全管理办法》