近日,国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》(以下简称《办法》),为医疗卫生机构指明了网络安全管理的总方向。在网络安全管理方面,医院进行了哪些探索,取得了哪些经验?面对风险和挑战,如何进一步筑牢网络安全防线?
围绕上述问题,《健康报》邀请医院管理者、业内专家分享经验与思考。
【嘉宾】
福建省立医院信息中心主任
张琼瑶
随着物联网、大数据、云计算等新技术在医疗行业深入应用,医疗行业信息化、数字化、智能化水平稳步提升。与此同时,医疗行业面临的网络安全风险也越来越大。对标《办法》的具体要求,结合福建省立医院近年来在网络安全管理方面的探索,谈一谈思考和体会。
网络安全意识和技能
仍存在不足
根据福建省立医院网络安全态势感知监测,医院每周受到外部威胁攻击告警总数约9万条,特殊时期的威胁攻击数量至少翻一倍,网络安全形势严峻。
目前,不少医院尤其是基层医院网络安全意识薄弱,信息部门安全技术能力不足,厂商研发团队中网络安全专业人员较少,导致在信息系统建设、应用过程中未能综合考虑网络安全因素,存在网络安全隐患。
随着“互联网﹢医疗健康”的发展,数据成为重要生产要素,不少医院都开始建设大数据中心、科研多中心协作平台等。大数据、人工智能等新技术的不断进步,导致数据共享和开放范围不断扩大,但数据如何“走出”医院围墙,如何在开放共享与安全稳定之间找准平衡点,尚未形成广泛共识。
网络安全等级保护测评是医疗行业相关评审评价评级的重要内容之一。国家卫生健康委印发的《国家三级公立医院绩效考核操作手册(2022版)》,进一步明确了网络安全是医疗机构绩效考核指标之一。在电子病历分级评价、智慧服务分级评估等方面,等保测评不合格也是“一票否决”。因此,相关部门应不断完善绩效考核和评价评级的指标体系,更好地推动网络安全等级保护测评工作的开展。在医院层面,还应加大人员经费投入,通过各种形式加强网络安全人才培养,提升待遇,为做好网络安全工作提供人才保障。
落实网络安全
“同步规划、同步建设、同步使用”
国家网络安全等级保护测评标准规范从1.0升级到2.0后,整个标准包含完整的管理规范和技术要求,可操作性有了明显提高,使得医院开展网络安全建设有据可循。
在近几年的实践中,福建省立医院将网络安全等级保护测评作为网络安全建设的重要指标和抓手。对标技术要求,制定医院网络安全建设规划方案,开展日常安全巡检自查,查漏补缺;对标管理,完善医院网络安全管理制度,强化制度落实执行。同时,用该标准指导信息系统厂商与技术人员做好项目安全建设、安全运维,对厂商与技术人员进行约束。
医院落实网络安全“同步规划、同步建设、同步使用”,将网络安全落实到项目管理全过程。立项时,网络安全管理员介入,从建设方案、接口访问等方面给出安全要求建议;撰写标书时,体现等级保护测评相关要求;项目建设实施过程中,要求遵循医院网络安全规划和建设指南,如数据库访问权限和端口开放最小化、跨系统间互联互通必须遵循国家相关标准等;上线试运行前,信息系统必须通过专业安全团队的安全检测渗透,确保不存在安全漏洞;验收时,要提交安全检测报告等完整文档清单,网络安全管理员参与并同意方可验收。
医院建立执行、登记、检查、归档等全流程制度落实机制,主要措施包括:建立覆盖医院所有科室的安全联络员机制,加强对安全联络员的培训;安全联络员作为安全“传感器”,及时反馈网络安全问题;指定专人做好机房、重要信息系统的每日巡检自查,并登记记录,提交日志报告,发现异常及时上报处置;指定一名档案管理员,定期收集汇总相关制度,落实文档记录,跟踪分析制度落实执行情况等。
当前,安全巡检、漏洞扫描、配置核查等安全自查和加固,已成为医院网络安全管理的日常措施,虽然能够在一定程度上解决问题,但存在着被动性和滞后性。因此,开展攻防演练对医院网络安全建设具有重要意义。在演练过程中,医院能够站在攻击者的角度,主动发现医院信息系统存在的安全问题,为医院未来的安全建设明确方向,同时能够对医院已有的应急响应流程的可行性和有效性进行检验,提升医院应急响应能力,加强医护人员的网络安全意识。
此外,医院还制定了数据管理办法,明确不同数据开放共享的审批流程与要求。重要敏感数据需院领导或院党委审批同意,指定专人负责数据开放共享申请、查询统计、数据脱敏和审核评估等工作,所有数据统一出口并可追溯。
文:福建省立医院信息中心主任 张琼瑶
策划:王乐民 张灿灿
编辑:于梦非 肖薇 张漠
校对:杨真宇
审核:徐秉楠 闫龑
热门跟贴