三部门联合发布《医疗卫生机构网络安全管理办法》:筑造安全长城 保卫医疗圣地
据官方消息,为指导医疗卫生机构加强网络安全管理,国家卫生健康委、国家中医药局、国家疾控局发布《医疗卫生机构网络安全管理办法》(以下简称《办法》)。
《办法》共5章三十四条,明确了医疗卫生机构的网络安全和数据安全管理责任义务。
● 《办法》推进网络安全等级保护
《办法》第二章第五条要求有二级及以上网络的医疗卫生机构应建立网络安全管理制度体系,加强网络安全防护;第七条鼓励三级医院探索态势感知平台建设;第八条要求各医疗卫生机构应建立应急处置机制有效处理网络中断、网络攻击、数据泄露等安全事件。
● 《办法》加强网络安全管控
《办法》第二章第十三条要求相关机构应用大数据、人工智能、区块链等新技术开展服务时,上线前应评估新技术的安全风险并进行安全管控。
● 《办法》加强个人信息保护
《办法》第二章第十四条要求各医疗卫生机构应规范和加强医疗设备数据、个人信息保护和网络安全管理。《办法》第三章第十八条要求关键信息基础设施运营者应拟定关键信息基础设施安全保护计划,建立健全数据安全和个人信息保护制度。第二十二条要求各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,数据全生命周期活动应在境内开展。
知之愈明 行之愈笃
随着互联网、大数据、云计算技术的快速发展,医疗机构的信息化、数字化程度越来越高,系统从院内服务逐步向个人终端、互联网延伸,容易受到勒索、挖矿病毒与漏洞利用攻击、APT攻击隐蔽渗透、钓鱼行为等,与此同时,医疗大数据价值凸显,数据泄露等事件层出不穷。
● 2021年3月,西安市某医院的网络系统突然出现故障,导医台、诊室系统等网络设备无法正常联网,医院诊疗秩序受到破坏。经院方网络工程师初步排查,医院网络系统重要文件疑似被人为更改,诊疗系统全面瘫痪。
● 据2022年8月29日外媒报道,Critical Insight 发布H1 2022医疗数据泄露报告,其表示攻击者逐渐将目标从大型医院转移到小型或专科医院。更多攻击者会倾向于缺乏相同水平安全措施的小型医院系统和专科诊所。
医疗行业面对愈发严峻的网络威胁态势,面对愈发严苛的监管要求,需要全面提升网络安全建设和管理水平,遏制外部攻击与内部威胁,保护患者个人信息无虞,保护医疗基础设施安全。
安全419关注到,结合网络安全等级保护基本要求,中国评测网安中心提出了医疗行业网络安全实现架构,从安全物理环境、安全网络架构、安全计算环境、安全制度管理和医疗数据安全方面搭建医疗行业网络安全重点实现内容,其中安全物理环境和安全网络架构是网络安全防护基础,安全计算环境是网络安全防护的重要组成部分,安全制度管理和医疗数据安全工作需覆盖到物理环境、网络架构和计算环境三个层面。
除此之外,中国软件评测中心发布的《移动互联网医疗安全风控技术白皮书》针对移动互联网医疗中日益凸显的新技术应用安全风险提出了相关建议:
01 加强安全风控顶层设计,促进“互联网+医疗健康”持续发展。
02 构建安全风险防控体系,为行业安全提供基础保障。
03 持续优化安全技术标准,满足国家和行业监管要求。
04 构建新技术防范滥用机制,确保安全可控。
相应的,医疗机构的安全建设实践也值得关注参考。安全419曾报道三甲公立医院浙大二院信息安全运营服务体系的建设情况,其安全策略包含四大方向:保障IT基础架构安全、管控资产和访问权限、及时感知并预警风险、规范技术人员运维。推行“角色分工”制度,垮岗位、垮院区形成联动机制,通过工具技术流现实全安全体系的日常建设与运维,第三方安全企业技术团队则负责更加具体的网络安全监测、预警、运维、处置、响应等专业支撑。(延伸阅读:《浙大二院:信息技术是未来医院发展的核心竞争力》)
知之愈明,行之愈笃,《医疗卫生机构网络安全管理办法》现已施行,相关医疗机构应高度重视,一同构建网络安全长城。
更多信息可以来这里获取==>>电子技术应用-AET<<