8月29日,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》。
医疗卫生行业一直以来都是优炫软件关注的重点行业之一,树立了一批标杆案例,提供医疗行业核心数据保护方案、智慧医院IT运维平台、防统方数据库审计系统、医院防勒索软件方案等涵盖医疗卫生信息系统全生命周期内的产品和解决方案。《办法》出台,优炫软件愿与各级医疗机构通力合作,持续为医疗行业的信息与网络安全保驾护航。
全国卫生健康领域迎来重要机遇期,信息化发挥着关键的支撑作用,在此过程中产生的医疗健康数据不仅是重要的生产要素,更是国家基础性战略资源,因此网络安全的重要性日益凸显。《办法》为医疗卫生机构指明了网络安全管理的总方向,主要体现在以下四个方面:
强调一个周期
《办法》在网络安全方面,围绕信息系统全生命周期,提出落实等级保护制度、监测预警、应急实战、安全整改、人员管理、新技术应用、密码安全、医疗设备、供应链管理等方面的要求。
在数据安全方面,以保障数据的机密性、完整性、可用性为目标,要求采取数据加密、数据备份、数据脱敏等技术,加强数据收集、传输、存储、使用、交换、销毁等全生命周期的安全防护。
在实际运用中,应基于网络和数据的全生命周期视角,梳理安全策略架构,识别具体业务场景,有针对性的设计安全措施,实现安全防护。
突出两个要点
《办法》强调医疗卫生机构安全管理应围绕顶层设计和制度保障两个要点着力推进。
顶层设计方面,在整体网络安全体系的基础上,依据数据的特性建构网络和数据安全顶层设计,落实安全责任分工,明确数据管理部门、业务部门、信息化部门在网络和数据安全管理工作中的权责。
制度保障方面,明确医疗卫生机构应建立健全安全管理制度、操作规程及技术规范。在执行过程中,应密切结合自身业务模式的变更,及时修订完善制度要求,保持网络和数据安全制度的有效执行力及充分协同。
《办法》要求建立网络安全管理制度体系,加强网络安全防护,通过管理和技术手段保障数据安全和数据应用的有效平衡。在实际运用中,应将总体安全策略拆解到具体安全管理要求,并通过安全技术实现管理要求,最终融入对应到安全运营体系中,形成融合管理、技术、运营三位一体的立体化网络安全管理模式。
《办法》指出要建立防护、监测、处置、保障四个体系协同的综合防控格局。
在安全防护方面,要求建立“实战化、体系化、常态化”的安全防护体系,形成“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护态势;
在安全监测层面,鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息,并与国家及行业平台对接;
在安全处置方面,要形成监督管理、安全检查、应急预案、联防联控协同体系;
在安全保障方面,通过统筹领导和规划设计,在人才培养、安全培训、经费支持等方面实现全方位保障。
总体而言,《办法》坚持安全可控和开放创新并重的基本原则,其颁布为医疗卫生机构网络安全管理提供了工作指南,筑牢了医疗卫生机构安全屏障,奠定了卫生健康行业网络安全发展基础。
该医院信息安全建设薄弱,数据库服务器操作系统抵挡非法攻击的能力不足,外接设备存在交叉使用情况,选择优炫软件为其部署实施了核心数据保护解决方案。优炫软件从保障数据的完整及业务连续性角度出发,在核心应用服务器部署优炫操作系统安全增强系统(RS-CDPS),可实现对服务器底层操作系统的账号、文件、进程、驱动、应用程序进行安全访问控制,并联动操作系统防火墙,实现服务器底层操作系统安全,从核心层面增加系统安全性,解决了勒索病毒的威胁。
该医院运维决策依赖人工分析,效率低、时效性差,处于事后与救火式运维管理,流程规范不清晰,缺少一套全面的管理指标体系,无法对信息系统是否正常运行进行评估。针对客户需求,优炫部署一体化智能运维管理平台对医院HIS、PACS等业务核心设备统一监管,并进行分析和实时监控,提升临床满意度。通过快照、审计日志等帮助定位问题,出现故障能够及时派单提交工单,帮助定期巡检,巡检报告,丰富、科学、美观的展示IT资源运行情况、性能状况、告警信息等,使领导、管理者、运维技术人员等能够通过直观的运行展现,进行快速指挥调度。
该平台作为区域内疾病分布、医疗资源分布、卫生监管等覆盖千万人口的实时分析平台,平台用户数突破千万,累计访问量近百亿人次,优炫软件提供符合国内数据库安全等级EAL4+的国产、安全数据库,部署系统安全解决方案,为各类机构数据存储与计算提供产品与技术保障,为医院、医生提供全业务场景下的临床辅助,精准诊疗、影像等科研与全业务流程运营全面支持各种虚拟化技术。
-FIN-
