在等保2.0發(fā)布之前，醫(yī)療行業(yè)就已經(jīng)是等級(jí)保護(hù)測(cè)評(píng)的重點(diǎn)對(duì)象了。因?yàn)獒t(yī)療數(shù)據(jù)量大，很早就是實(shí)現(xiàn)了系統(tǒng)化管理。因此，在等保1.0時(shí)代，如何做好信息系統(tǒng)安全防護(hù)就是醫(yī)院需要重點(diǎn)關(guān)注的。但是隨著互聯(lián)網(wǎng)+的發(fā)展，醫(yī)療行業(yè)為了提供更便捷的就診服務(wù)，也開始進(jìn)行互聯(lián)網(wǎng)的部分接入。而在開放便捷的就業(yè)渠道的同時(shí)，也為黑客，以及一些不法分子提供了攻擊醫(yī)療網(wǎng)絡(luò)的渠道。因此，在等保2.0時(shí)代，醫(yī)療行業(yè)的測(cè)評(píng)對(duì)象也同樣需要進(jìn)行拓展，由原來(lái)的信息系統(tǒng)，拓展到新標(biāo)準(zhǔn)要求的測(cè)評(píng)范圍。等保2.0將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用的場(chǎng)景列入標(biāo)準(zhǔn)范圍。但是由于醫(yī)療行業(yè)的行業(yè)特征和特殊性，因此，該如何開展等級(jí)保護(hù)測(cè)評(píng)工作，還需要結(jié)合自身實(shí)際，進(jìn)行更為細(xì)致科學(xué)的調(diào)整。

首先，我們來(lái)了解醫(yī)療行業(yè)的等保測(cè)評(píng)工作要求的變化歷程：

2011年

國(guó)家衛(wèi)健委《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》規(guī)定了三級(jí)醫(yī)院重要業(yè)務(wù)系統(tǒng)(可由各省衛(wèi)健委自己定義)必須通過(guò)等保三級(jí)測(cè)評(píng)，二級(jí)醫(yī)院重要業(yè)務(wù)系統(tǒng)必須通過(guò)等保二級(jí)測(cè)評(píng);

2016年

國(guó)家衛(wèi)健委《2016 三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)考評(píng)辦法 ( 完整版 )》規(guī)定了重要業(yè)務(wù)系統(tǒng)必須達(dá)到等保三級(jí)標(biāo)準(zhǔn)才滿足三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)中對(duì)于網(wǎng)絡(luò)安全的要求;

2018年

國(guó)家衛(wèi)健委《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》規(guī)定了承載健康醫(yī)療大數(shù)據(jù)的平臺(tái)必須通過(guò)等級(jí)保護(hù)(未規(guī)定級(jí)別)，一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級(jí)甲等醫(yī)院，基本以三級(jí)等保為主;

2019年

國(guó)家衛(wèi)健委《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺(tái)必須通過(guò)等保三級(jí)測(cè)評(píng)。

其次，目前醫(yī)療行業(yè)面臨那些網(wǎng)絡(luò)安全方面的威脅呢?

中國(guó)信息通信研究院等機(jī)構(gòu)發(fā)布的《2019年健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀測(cè)報(bào)告》，也同樣披露了目前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)集中的幾個(gè)表現(xiàn):

第一是僵木蠕等問(wèn)題嚴(yán)峻,勒索病毒嚴(yán)重威脅醫(yī)療業(yè)務(wù)正常運(yùn)行;

第二是數(shù)據(jù)泄露事件高發(fā)，應(yīng)用服務(wù)軟件存在較多安全隱患;

第三是醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機(jī)構(gòu)網(wǎng)站等都是境外機(jī)構(gòu)的重點(diǎn)攻擊對(duì)象，且網(wǎng)站篡改手法多變。

再者，醫(yī)療行業(yè)有很多醫(yī)院還沒(méi)有通過(guò)等級(jí)保護(hù)測(cè)評(píng)

中國(guó)醫(yī)院協(xié)會(huì)信息專業(yè)委員會(huì)(CHIMA)在去年發(fā)布了《2017-2018年度中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》，其中對(duì)醫(yī)院實(shí)施等級(jí)保護(hù)情況做了專門章節(jié)介紹。據(jù)了解，在484家樣本醫(yī)院中，36.16%的醫(yī)院通過(guò)了等保測(cè)評(píng)。

其中，三級(jí)醫(yī)院實(shí)施等保工作情況明顯好于三級(jí)以下醫(yī)院，經(jīng)濟(jì)發(fā)達(dá)地區(qū)實(shí)施等保工作的比例高于中等發(fā)達(dá)地區(qū)和經(jīng)濟(jì)欠發(fā)達(dá)地區(qū)。

根據(jù)CHIMA發(fā)布的信息，日前在CHIMA組織的醫(yī)院網(wǎng)絡(luò)安全技術(shù)培訓(xùn)班上，北京市衛(wèi)生計(jì)生委信息中心副主任鄭攀介紹了北京市醫(yī)療行業(yè)等級(jí)保護(hù)情況。

我國(guó)醫(yī)院現(xiàn)有的安全保障體系尚處于初步建設(shè)階段，尚不足以應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)安全威脅，行業(yè)整體網(wǎng)絡(luò)安全保障水平亟需提升。

最后，該如何開展等保測(cè)評(píng)工作呢?看看醫(yī)療行業(yè)的管理者怎么說(shuō)。

安全就是‘三分技術(shù)、七分管理’，不是投入一堆硬件就安全了。很多高分通過(guò)等保三級(jí)的醫(yī)院后來(lái)還是出現(xiàn)了安全問(wèn)題，所以管理一定要跟得上。”該院后續(xù)還將參考等保2.0標(biāo)準(zhǔn)，結(jié)合醫(yī)院實(shí)際情況，有選擇性地采取更多安全措施。( 據(jù)介紹，新疆人民醫(yī)院于2017年開始啟動(dòng)等保3級(jí)，經(jīng)過(guò)一年多的建設(shè)，在2018年順利通過(guò)測(cè)評(píng)。)

指出：醫(yī)院在開展網(wǎng)絡(luò)安全建設(shè)時(shí)可以遵循兩個(gè)原則：

一是醫(yī)院的信息系統(tǒng)不會(huì)因?yàn)橛布隙＿\(yùn);

二是一定要對(duì)核心數(shù)據(jù)進(jìn)行安全有效的備份。

深圳南山醫(yī)院網(wǎng)絡(luò)技術(shù)科主任表示，在國(guó)家出臺(tái)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的背景下，醫(yī)院上云更加需要一種審慎的態(tài)度。尤其在選擇云端安全產(chǎn)品時(shí)，一定要提前考慮等保2.0標(biāo)準(zhǔn)的要求，這也是上云必須要解決的問(wèn)題。

其外， 結(jié)合行業(yè)現(xiàn)狀和新標(biāo)準(zhǔn)要求，對(duì)醫(yī)療機(jī)構(gòu)開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作提出了五點(diǎn)建議。

第一，合理開展新業(yè)務(wù)系統(tǒng)及平臺(tái)的定級(jí)備案工作，如醫(yī)療大數(shù)據(jù)平臺(tái)、互聯(lián)網(wǎng)醫(yī)療平臺(tái)等。院內(nèi)如HIS、EMR等還未開展定級(jí)備案工作的傳統(tǒng)核心業(yè)務(wù)系統(tǒng)，也需要加快等保建設(shè)步伐。

第二，在等保建設(shè)中嘗試采用新技術(shù)新手段加強(qiáng)醫(yī)院的安全技術(shù)防護(hù)和態(tài)勢(shì)感知建設(shè)，以防范特種木馬或新型網(wǎng)絡(luò)攻擊。

第三，加強(qiáng)日常安全運(yùn)維，引入可視化、統(tǒng)一運(yùn)維等創(chuàng)新技術(shù)，讓安全管理和運(yùn)維更簡(jiǎn)單并且更加有效。

第四，加強(qiáng)主動(dòng)防御能力，并通過(guò)全方位、多視角的風(fēng)險(xiǎn)分析，完善醫(yī)院網(wǎng)絡(luò)安全建設(shè)短板。從而降低安全風(fēng)險(xiǎn)，提高信息系統(tǒng)健壯性。

第五，適當(dāng)選擇安全廠商提供的安全服務(wù)，彌補(bǔ)醫(yī)院專業(yè)安全技術(shù)人員不足。最大程度減少因網(wǎng)絡(luò)安全事件所帶來(lái)的醫(yī)院運(yùn)營(yíng)中斷以及管理成本增加的風(fēng)險(xiǎn)。

總而言之，開展醫(yī)療行業(yè)的等保測(cè)評(píng)以及加固網(wǎng)絡(luò)安全等工作，需要參照等保2.0的標(biāo)準(zhǔn)開展。需要加強(qiáng)技術(shù)和管理的結(jié)合，從內(nèi)部網(wǎng)絡(luò)安全防護(hù)做起，提高醫(yī)護(hù)人員和醫(yī)療信息系統(tǒng)操作人員的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全技術(shù)。同時(shí)通過(guò)提升網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全設(shè)備檢測(cè)能力，增強(qiáng)防御外界攻擊的能力。其外，引進(jìn)網(wǎng)絡(luò)安全人才或者尋找安全服務(wù)商合作，是加強(qiáng)醫(yī)院自身的網(wǎng)絡(luò)安全防護(hù)能力的非常關(guān)鍵。做好安全防護(hù)基礎(chǔ)工作，是順利通過(guò)等級(jí)保護(hù)測(cè)評(píng)的基礎(chǔ)，專業(yè)的測(cè)評(píng)機(jī)構(gòu)/安全服務(wù)商的專業(yè)指導(dǎo)能夠加快等級(jí)保護(hù)測(cè)評(píng)的進(jìn)程。