醫(yī)院網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0管理體系建設(shè)實(shí)踐

摘? ?要：按照《中華人民共和國網(wǎng)絡(luò)安全法》（本文簡稱《網(wǎng)絡(luò)安全法》）及衛(wèi)生行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)指導(dǎo)文件要求，在醫(yī)院開展三級(jí)等級(jí)保護(hù)工作。文章通過實(shí)踐探討了醫(yī)院網(wǎng)絡(luò)安全管理體系建立的過程，對(duì)同類醫(yī)院的等級(jí)保護(hù)建設(shè)具有一定的參考價(jià)值。

關(guān)鍵詞：網(wǎng)絡(luò)安全;等級(jí)保護(hù);管理

中圖分類號(hào)： TP393? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： According to the requirements of the Cybersecurity law and the related guidance documents of the cybersecurity level protection in medical system， the three-level protectionwork is carried out in hospitals. The process of establishing the cybersecurity management system in hospitals is discussed through practice， which is helpful to the construction of the similar hospitals.

Key words： cybersecurity ;level protection;management

1 引言

2011年，衛(wèi)生部發(fā)出了關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知，對(duì)衛(wèi)生行業(yè)信息系統(tǒng)等級(jí)保護(hù)工作提出了具體要求。2017年6月1日正式實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第21條規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。自2019年12月1日起，正式實(shí)施的《網(wǎng)絡(luò)安全等級(jí)保護(hù)級(jí)別要求GB/T 22239-2019》諸多標(biāo)準(zhǔn)，標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)正式進(jìn)入2.0時(shí)代（以下簡稱等級(jí)保護(hù)2.0）。

本文結(jié)合天津市泰達(dá)醫(yī)院網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0建設(shè)及測(cè)評(píng)工作的實(shí)踐，針對(duì)其中的管理體系建設(shè)方面進(jìn)行深入探討。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)

2.1 基本概念

網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)網(wǎng)絡(luò)實(shí)施分級(jí)保護(hù)、分級(jí)監(jiān)管，對(duì)網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)網(wǎng)絡(luò)中發(fā)生的安全事件分等級(jí)響應(yīng)、處理。這里的“網(wǎng)絡(luò)”是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的，按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)，包括網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)、數(shù)據(jù)資源等。結(jié)合我國有關(guān)的法規(guī)和文件，“網(wǎng)絡(luò)安全”與“信息安全”具有相同的內(nèi)涵。

2.2 等級(jí)保護(hù)2.0主要變化

等級(jí)保護(hù)2.0是在過去10年開展信息安全等級(jí)保護(hù)工作的基礎(chǔ)上進(jìn)行完善，核心標(biāo)準(zhǔn)包括《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 22239-2019》《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T28448-2019》《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T25070-2019》《網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南GB/T 25058-2019》等。等級(jí)保護(hù)2.0的標(biāo)準(zhǔn)是注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)，實(shí)現(xiàn)了對(duì)云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象的全覆蓋。

2.3 網(wǎng)絡(luò)安全等級(jí)保護(hù)工作流程

網(wǎng)絡(luò)安全等級(jí)保護(hù)的工作流程如圖1所示。

在網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中，一般可按照該流程按順序依次進(jìn)行定級(jí)、備案、建設(shè)整改、測(cè)評(píng)等工作。但在建設(shè)整改階段，僅通過自評(píng)往往不足以對(duì)自身網(wǎng)絡(luò)安全狀況有較準(zhǔn)確的認(rèn)識(shí)，不能有針對(duì)性的進(jìn)行建設(shè)整改。因此，對(duì)于自身技術(shù)能力薄弱的單位建議首先進(jìn)行等保測(cè)評(píng)，由專業(yè)公司對(duì)系統(tǒng)物理環(huán)境、主機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理制度和人員等方面，進(jìn)行綜合測(cè)評(píng)，以期發(fā)現(xiàn)信息系統(tǒng)和等級(jí)保護(hù)標(biāo)準(zhǔn)的差距及存在的安全隱患，為后續(xù)的安全建設(shè)、整改工作提供參考依據(jù)。

3 醫(yī)院網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)常見問題

根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作行業(yè)指導(dǎo)、屬地管理要求，天津市衛(wèi)計(jì)委專門制定了信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施指南，有效地推動(dòng)了各醫(yī)療機(jī)構(gòu)等級(jí)保護(hù)工作的開展。

網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)的要求包括基本技術(shù)要求和基本管理要求，兩者不可分割。但在醫(yī)院具體落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中，由于對(duì)網(wǎng)絡(luò)安全工作認(rèn)識(shí)不足，許多醫(yī)院存在一種偏差：重技術(shù)輕管理。在開展網(wǎng)絡(luò)安全等級(jí)保護(hù)中愿意花大量資金購買網(wǎng)絡(luò)安全設(shè)備，認(rèn)為有了安全設(shè)備就萬無一失，疏忽管理體系的建立，往往采購了大量的網(wǎng)絡(luò)安全產(chǎn)品后，仍然發(fā)生網(wǎng)絡(luò)安全事故，達(dá)不到網(wǎng)絡(luò)安全的最終目標(biāo)。

在等級(jí)保護(hù)2.0建設(shè)中，管理要求分類體現(xiàn)從要素到活動(dòng)的綜合管理思想。管理機(jī)構(gòu)需要的“機(jī)構(gòu)”“制度”和“人員”三要素缺一不可，同時(shí)還應(yīng)對(duì)系統(tǒng)建設(shè)整改過程中和運(yùn)行維護(hù)過程中的重要活動(dòng)，實(shí)施控制和管理。在網(wǎng)絡(luò)安全相關(guān)技術(shù)日新月異進(jìn)步的形勢(shì)面前，做好網(wǎng)絡(luò)安全等級(jí)保護(hù)工作“三分靠技術(shù)，七分靠管理”。只有結(jié)合醫(yī)院自身的實(shí)際情況，建立起比較完備的管理體系，才能有效的保障網(wǎng)絡(luò)安全。

4 醫(yī)院網(wǎng)絡(luò)安全等級(jí)保護(hù)管理體系建設(shè)實(shí)踐

醫(yī)院建設(shè)有HIS、電子病歷、PACS、LIS等眾多信息系統(tǒng)，前期缺乏專門負(fù)責(zé)網(wǎng)絡(luò)安全的工作人員，所以網(wǎng)絡(luò)安全的管理屬于薄弱環(huán)節(jié)。因此，在網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中，結(jié)合自身情況，按照定級(jí)、備案、等保測(cè)評(píng)、建設(shè)整改的步驟開展工作，醫(yī)院HIS及電子病歷系統(tǒng)最終被定級(jí)為三級(jí)系統(tǒng)。在采購了相應(yīng)的網(wǎng)絡(luò)安全設(shè)備后，大力加強(qiáng)網(wǎng)絡(luò)安全管理體系建設(shè)成為最重要的工作內(nèi)容，具體做法有六方面。

4.1 落實(shí)網(wǎng)絡(luò)安全責(zé)任制

首先將原信息化領(lǐng)導(dǎo)小組改為網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，該小組作為院級(jí)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確了責(zé)任領(lǐng)導(dǎo)和責(zé)任人員，建立了醫(yī)院信息安全管理總綱。同時(shí)，調(diào)整了信息部崗位和人員職責(zé)，落實(shí)了網(wǎng)絡(luò)安全責(zé)任制。

4.2 網(wǎng)絡(luò)安全管理現(xiàn)狀分析

通過對(duì)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，找到網(wǎng)絡(luò)安全管理建設(shè)整改需要解決的問題，才能明確建設(shè)整改的具體需求。為了更準(zhǔn)確地找到不足，醫(yī)院在完成定級(jí)備案后首先進(jìn)行了等級(jí)保護(hù)測(cè)評(píng)工作。通過對(duì)比測(cè)評(píng)指標(biāo)，從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面進(jìn)行了詳細(xì)梳理，查找出不符合的項(xiàng)目，確定了本院管理方面建設(shè)整改的內(nèi)容。

4.3 制定網(wǎng)絡(luò)安全管理策略和制度

針對(duì)醫(yī)院網(wǎng)絡(luò)安全管理的需求，確定安全管理目標(biāo)和安全策略，針對(duì)網(wǎng)絡(luò)各類管理活動(dòng)，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系。

4.4 落實(shí)網(wǎng)絡(luò)安全管理措施

人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗過程，關(guān)鍵崗位簽署保密協(xié)議，對(duì)各類人員進(jìn)行安全意識(shí)教育，對(duì)外部人員運(yùn)行訪問區(qū)域進(jìn)行嚴(yán)格控制。

系統(tǒng)運(yùn)維管理主要針對(duì)環(huán)境和資產(chǎn)安全管理、設(shè)備和介質(zhì)安全管理、日常運(yùn)行維護(hù)、集中安全管理、事件處置與應(yīng)急響應(yīng)、災(zāi)難恢復(fù)、安全監(jiān)測(cè)等。

4.5 系統(tǒng)建設(shè)管理

制定系統(tǒng)建設(shè)相關(guān)的管理制度，包括定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等管理責(zé)任以及管理內(nèi)容和控制方法。

4.6 安全自查與調(diào)整

制定安全檢查制度，定期檢查各項(xiàng)制度、措施的落實(shí)情況，并不斷完善。針對(duì)醫(yī)院的兩個(gè)三級(jí)系統(tǒng)，每年自查一次。

通過建設(shè)整改，依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中三級(jí)系統(tǒng)的要求，建立起具有特色的網(wǎng)絡(luò)安全管理體系，具體內(nèi)容如圖2所示。

5 兩點(diǎn)“重視”

在醫(yī)院順利通過等級(jí)保護(hù)2.0測(cè)評(píng)過程中，醫(yī)院網(wǎng)絡(luò)安全管理體系的建立，除了貫徹執(zhí)行《網(wǎng)絡(luò)安全法》及相關(guān)制度規(guī)范外，還有兩點(diǎn)經(jīng)驗(yàn)。

5.1 領(lǐng)導(dǎo)高度重視

網(wǎng)絡(luò)安全管理是一個(gè)系統(tǒng)工程，涉及到管理機(jī)構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維的各個(gè)階段管理制度的落實(shí)，這些僅靠技術(shù)人員的工作職能無法完成，單位領(lǐng)導(dǎo)的重視顯得尤為重要。因此，必須確定院級(jí)網(wǎng)絡(luò)安全責(zé)任機(jī)構(gòu)，落實(shí)網(wǎng)絡(luò)安全責(zé)任制，讓一把手高度重視，這樣不僅能建立起網(wǎng)絡(luò)安全管理體系，也能使具體舉措落實(shí)執(zhí)行。

5.2 重視內(nèi)部安全威脅

避免重視外網(wǎng)輕視內(nèi)網(wǎng)的現(xiàn)象。對(duì)于醫(yī)院來講，外部入口少，內(nèi)部系統(tǒng)數(shù)據(jù)集成復(fù)雜。最大的網(wǎng)絡(luò)安全威脅不是來自外部，而是內(nèi)部人員對(duì)網(wǎng)絡(luò)安全知識(shí)匱乏。需要不斷進(jìn)行網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，提高全體人員的安全保密意識(shí)和自我防范能力。

6 結(jié)束語

依法開展網(wǎng)絡(luò)安全等級(jí)保護(hù)是各級(jí)醫(yī)療機(jī)構(gòu)信息化建設(shè)過程中必不可少的工作，本文介紹了網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的基本流程及常見問題，并結(jié)合本院具體工作，探討了網(wǎng)絡(luò)安全等級(jí)保護(hù)管理體系的建立及經(jīng)驗(yàn)，為其他醫(yī)院此項(xiàng)工作提供了參考。

參考文獻(xiàn)

[1] 郭啟全，等.網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度培訓(xùn)教程（2018版）[M].北京：電子工業(yè)出版社，2018.

[2] 中華人民共和國公安部.信息安全等級(jí)保護(hù)管理辦法[Z].公通字〔2007〕43號(hào).

[3] GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

[4] GB/T 22239-2019 網(wǎng)絡(luò)安全等級(jí)保護(hù)級(jí)別要求[S].北京：中國標(biāo)準(zhǔn)出版社，2019.

[5] 中華人民共和國公安部.關(guān)于開展信息安全等級(jí)保安全建設(shè)整改工作的指導(dǎo)意見[Z].公信安〔2009〕1429號(hào).

[6] 王磊，魏曉艷，郎爽，修燕.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)評(píng)測(cè)的應(yīng)用與實(shí)踐[J].中國數(shù)字醫(yī)學(xué)，2015，10（2）：81-83.

[7] 馬力，祝國邦，陸磊.《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全， 2019（2）：77-84.

作者簡介：

張朝（1973-）男，漢族，河南遂平人，蘇州大學(xué)，碩士，天津市泰達(dá)醫(yī)院，高級(jí)工程師;主要研究方向和關(guān)注領(lǐng)域：醫(yī)療信息化。