《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 三部門聯(lián)合發(fā)布《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》:筑造安全長城 保衛(wèi)醫(yī)療圣地

三部門聯(lián)合發(fā)布《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》:筑造安全長城 保衛(wèi)醫(yī)療圣地

2022-11-09
來源:安全419

  據(jù)官方消息,為指導醫(yī)療衛(wèi)生機構加強網(wǎng)絡安全管理,國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局發(fā)布《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》(以下簡稱《辦法》)。

  《辦法》共5章三十四條,明確了醫(yī)療衛(wèi)生機構的網(wǎng)絡安全和數(shù)據(jù)安全管理責任義務。

  ● 《辦法》推進網(wǎng)絡安全等級保護

  《辦法》第二章第五條要求有二級及以上網(wǎng)絡的醫(yī)療衛(wèi)生機構應建立網(wǎng)絡安全管理制度體系,加強網(wǎng)絡安全防護;第七條鼓勵三級醫(yī)院探索態(tài)勢感知平臺建設;第八條要求各醫(yī)療衛(wèi)生機構應建立應急處置機制有效處理網(wǎng)絡中斷、網(wǎng)絡攻擊、數(shù)據(jù)泄露等安全事件。

  ● 《辦法》加強網(wǎng)絡安全管控

  《辦法》第二章第十三條要求相關機構應用大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術開展服務時,上線前應評估新技術的安全風險并進行安全管控。

  ● 《辦法》加強個人信息保護

  《辦法》第二章第十四條要求各醫(yī)療衛(wèi)生機構應規(guī)范和加強醫(yī)療設備數(shù)據(jù)、個人信息保護和網(wǎng)絡安全管理?!掇k法》第三章第十八條要求關鍵信息基礎設施運營者應擬定關鍵信息基礎設施安全保護計劃,建立健全數(shù)據(jù)安全和個人信息保護制度。第二十二條要求各醫(yī)療衛(wèi)生機構應加強數(shù)據(jù)收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作,數(shù)據(jù)全生命周期活動應在境內(nèi)開展。

  知之愈明 行之愈篤

  隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算技術的快速發(fā)展,醫(yī)療機構的信息化、數(shù)字化程度越來越高,系統(tǒng)從院內(nèi)服務逐步向個人終端、互聯(lián)網(wǎng)延伸,容易受到勒索、挖礦病毒與漏洞利用攻擊、APT攻擊隱蔽滲透、釣魚行為等,與此同時,醫(yī)療大數(shù)據(jù)價值凸顯,數(shù)據(jù)泄露等事件層出不窮。

  ● 2021年3月,西安市某醫(yī)院的網(wǎng)絡系統(tǒng)突然出現(xiàn)故障,導醫(yī)臺、診室系統(tǒng)等網(wǎng)絡設備無法正常聯(lián)網(wǎng),醫(yī)院診療秩序受到破壞。經(jīng)院方網(wǎng)絡工程師初步排查,醫(yī)院網(wǎng)絡系統(tǒng)重要文件疑似被人為更改,診療系統(tǒng)全面癱瘓。

  ● 據(jù)2022年8月29日外媒報道,Critical Insight 發(fā)布H1 2022醫(yī)療數(shù)據(jù)泄露報告,其表示攻擊者逐漸將目標從大型醫(yī)院轉(zhuǎn)移到小型或?qū)?漆t(yī)院。更多攻擊者會傾向于缺乏相同水平安全措施的小型醫(yī)院系統(tǒng)和??圃\所。

  醫(yī)療行業(yè)面對愈發(fā)嚴峻的網(wǎng)絡威脅態(tài)勢,面對愈發(fā)嚴苛的監(jiān)管要求,需要全面提升網(wǎng)絡安全建設和管理水平,遏制外部攻擊與內(nèi)部威脅,保護患者個人信息無虞,保護醫(yī)療基礎設施安全。

  微信圖片_20221109110506.png

  安全419關注到,結合網(wǎng)絡安全等級保護基本要求,中國評測網(wǎng)安中心提出了醫(yī)療行業(yè)網(wǎng)絡安全實現(xiàn)架構,從安全物理環(huán)境、安全網(wǎng)絡架構、安全計算環(huán)境、安全制度管理和醫(yī)療數(shù)據(jù)安全方面搭建醫(yī)療行業(yè)網(wǎng)絡安全重點實現(xiàn)內(nèi)容,其中安全物理環(huán)境和安全網(wǎng)絡架構是網(wǎng)絡安全防護基礎,安全計算環(huán)境是網(wǎng)絡安全防護的重要組成部分,安全制度管理和醫(yī)療數(shù)據(jù)安全工作需覆蓋到物理環(huán)境、網(wǎng)絡架構和計算環(huán)境三個層面。

  除此之外,中國軟件評測中心發(fā)布的《移動互聯(lián)網(wǎng)醫(yī)療安全風控技術白皮書》針對移動互聯(lián)網(wǎng)醫(yī)療中日益凸顯的新技術應用安全風險提出了相關建議:

  01 加強安全風控頂層設計,促進“互聯(lián)網(wǎng)+醫(yī)療健康”持續(xù)發(fā)展。

  02 構建安全風險防控體系,為行業(yè)安全提供基礎保障。

  03 持續(xù)優(yōu)化安全技術標準,滿足國家和行業(yè)監(jiān)管要求。

  04 構建新技術防范濫用機制,確保安全可控。

  相應的,醫(yī)療機構的安全建設實踐也值得關注參考。安全419曾報道三甲公立醫(yī)院浙大二院信息安全運營服務體系的建設情況,其安全策略包含四大方向:保障IT基礎架構安全、管控資產(chǎn)和訪問權限、及時感知并預警風險、規(guī)范技術人員運維。推行“角色分工”制度,垮崗位、垮院區(qū)形成聯(lián)動機制,通過工具技術流現(xiàn)實全安全體系的日常建設與運維,第三方安全企業(yè)技術團隊則負責更加具體的網(wǎng)絡安全監(jiān)測、預警、運維、處置、響應等專業(yè)支撐。(延伸閱讀:《浙大二院:信息技術是未來醫(yī)院發(fā)展的核心競爭力》)

  知之愈明,行之愈篤,《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》現(xiàn)已施行,相關醫(yī)療機構應高度重視,一同構建網(wǎng)絡安全長城。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。