医疗行业

等保2.0时代医疗行业等保测评标准和工作建议

发布时间: 2022-05-31 点击: 来源:

在等保2.0发布之前,医疗行业就已经是等级保护测评的重点对象了。因为医疗数据量大,很早就是实现了系统化管理。随着互联网+的发展,医疗行业为了提供更便捷的就诊服务,也开始进行互联网的部分接入。而在开放便捷的就业渠道的同时,医疗行业面临的网络安全风险也逐渐增多,我国医疗行业仍存在等级保护工作落实情况不佳、整体安全风险较高、医疗信息系统的安全防护水平相对落后的问题,也为黑客,以及一些不法分子提供了攻击医疗系统的渠道。

【医疗行业】网络安全等级保护行业标准资料下载
在等保2.0时代,医疗行业的测评对象也同样需要进行拓展,由原来的信息系统,拓展到新标准要求的测评范围,云计算、移动互联、物联网、工业控制系统等。

政策支持

面对医疗行业网络安全复杂严峻的形势,国家相关部门高度重视医疗行业的网络安全工作,相继推出一系列政策法规要求落实网络安全等级保护制度。

2011年

国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评;

2016年

国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求。

2018年

国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了承载健康医疗大数据的平台必须必须落实等级保护制度,健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。

2018年

国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评。

2019年

国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》,在信息化建设方面,医院核心业务系统达到“国家信息安全等级保护制度三级要求”。

从近年来国家颁布的政策法规中可以看出,国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。

医疗行业开展等保工作建议

结合行业现状和标准要求,开展等级保护工作提出了以下建议:

合理开展新业务系统及平台的定级备案工作,如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐。

在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。

加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效。

加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性。

适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。

通过分析等保2.0的评估标准,可帮助医院确定关键的信息系统,识别医院信息系统存在的风险。医院通过夯实网络安全保护的基础,达到了政策法规和指南的要求,化被动防护为主动防御,更好地保护了医院中各类应用产生的患者医疗数据的信息安全。

等保2.0时代,不仅帮助行业客户要做到等保2.0合规,而且也要量身定制信息安全方案,才可能为信息系统安全达到真正意义上的保驾护航。优炫软件从用户自身业务和安全角度出发,按照标准化的流程,根据行业单位对网络安全的实际需求,从网络安全规划和建设入手,为广大用户量身定制完整、优质、安全可靠的行业解决方案,能灵活解决各类网络安全问题,提供协同防御策略,主动应对不断变化的网络安全威胁,最终帮助企业节约时间和人力成本。

扫描二维码 微信咨询我们

在线咨询

电话咨询