2022年9月,广州警方在工作中发现,广州某医院建设运营的“电子病历EMR系统”确定为三级网络,并于2020年6月按规定到公安机关进行了网络安全等级保护备案。但该系统自投入运行以来,医院一直未按规定对其安全等级状况开展等级保护测评,经公安机关督促整改后仍未进行改正,且医院的相关负责人员对该信息系统的安全情况完全不了解、不清楚,更没有对系统安全风险及时进行排查整改,未落实网络安全等级保护制度,未履行网络安全保护义务,违反了《信息安全等级保护管理办法》第十四条之规定。根据《信息安全等级保护管理办法》第四十条第一款第(四)项之规定,广州警方对该医院作出行政处罚,并责令其限期改正。
警方提示:医疗卫生、教育行业等领域信息系统众多,且承载了大量的个人敏感信息和重要数据,是网络安全保护的重要行业,也是网络安全等级保护工作的重点对象。根据《信息安全等级保护管理办法》的规定,信息系统建设完成后,运营、使用单位应当依据国家相关技术标准,定期对信息系统安全等级状况开展等级保护测评,且第三级信息系统应当每年至少进行一次等级保护测评。各网络运营者均要严格遵守相关法律法规规定,严格落实网络安全等级保护定级、备案、测评等法定要求,建立健全内部安全管理制度和操作规程,落实网络安全保护责任,采取相关技术措施,保障信息系统安全稳定运行。
后记:网络安全等级保护工作开展,不仅仅是等级测评,最重要的是对测评中发现的网络安全风险和隐患的整改工作。而等级保护工作中的五个规定动作,是我们在大轮廓上的遵循。中观的遵循则是以“等级保护”为关键字的国家标准,而微观或者详细的遵循则是《等级保护基本要求》安全要求项后面的国家标准及对应的技术,而更需要从规划设计到建设,再到使用持续性满足等级保护要求。并不是临时抱佛脚式的应付,应付性测评、应付式检查等等。
原文始发于微信公众号(河南等级保护测评):某医院第三级等保系统未落实“每年至少进行一次等级保护测评”法定义务被处罚
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论