数治x医疗健康:一文详解医疗行业网络和数据安全规范(附下载)

为提高医疗系统信息安全的防范能力,出台的行业相关网络和数据安全标准规范,指导各级医疗机构进行信息安全建设工作,本文将对国家层面部分重要的标准规范进行介绍。

一文详解医疗行业网络和数据安全规范
出处:威努特工控安全

医疗行业是关乎人民健康和生命安全的重要领域,涵盖公共卫生、疾病预防、治疗、急救以及康复等方面。随着信息技术的不断发展和应用,医疗行业信息化已成为医疗事业发展的重要趋势之一。目前,医疗机构普遍采用了电子病历、电子处方、远程医疗等信息化应用,实现了医疗信息的数字化、网络化和智能化。

然而,医疗信息化建设和应用还面临着网络安全、数据安全等方面的挑战。为了解决这些问题和挑战,提高医疗系统信息安全的防范能力,国家卫健委及医疗相关机构出台了大量的医疗行业相关的网络安全标准规范,并且许多医疗行业相关标准均包括网络安全相关内容,指导各级医院等医疗机构进行信息安全建设工作。综合来看,医疗行业的网络安全相关规范相对比较完善,且具有一定的借鉴意义。本文将对医疗行业国家层面部分重要的标准规范进行介绍。

1. 医疗卫生机构网络安全管理办法

2022年8月,国家卫健委、国家中医药管理局、国家疾病预防控制局三部委印发《医疗卫生机构网络安全管理办法》。本办法共六章三十四条,包含了总则、网络安全管理、数据安全管理、监督管理、管理保障,覆盖了卫生系统上下级部门的各项工作要求。总体架构如下:

640-13

图:《网络安全管理办法》总体架构图

随着我国数字与主题方向化转型与数字经济的高速发展,全国卫生健康领域迎来重要机遇,医疗卫生行业的信息化发挥着关键的推动作用。在新时代,数据成为了我国重要的基础性战略资源,医疗健康数据作为重要的数据分类,对医疗卫生行业数字化、智慧化发展将起到重要作用,同时医疗网络与数据安全的重要性将日趋凸显。在这样的背景下,《医疗卫生机构网络安全管理办法》(以下简称《办法》)的发布,将进一步规范医疗卫生机构的网络和数据安全管理,推动“互联网+医疗健康”的高质量发展。

1.1 医疗卫生机构网络安全建设目的和顶层设计的重点

  • 坚持分等级保护、突出重点。重点保障关键信息基础设施、网络安全等级保护第三级(以下简称第三级)及以上网络以及重要数据和个人信息安全。
  • 坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术,强化安全监测、态势感知、通报预警和应急处置等重点工作,落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。
  • 坚持“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,落实网络安全责任制,明确各方责任。

1.2 在网络安全管理章节需要关注的重点

  • 全面梳理分析网络安全保护需求,按照“一个中心(安全管理中心),三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求,制定符合网络安全保护等级要求的整体规划和建设方案,全面落实安全保护措施。
  • 各医疗卫生机构对已定级备案网络的安全性进行检测评估,第三级或第四级的网络应委托等级保护测评机构,每年至少一次开展网络安全等级测评。第二级的网络应委托等级保护测评机构定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评,其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行前应进行安全性测试。
  • 各医疗卫生机构应依托国家网络安全信息通报机制,加强本单位网络安全通报预警力量建设。鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息,加强威胁情报工作,组织开展网络安全威胁分析和态势研判,及时通报预警和处置,防止网络被破坏、数据外泄等事件。
  • 加强网络运维管理,加强远程运维管理,因业务确需通过互联网远程运维的,应进行评估论证,并采取相应的安全管控措施,防止远程端口暴露引发安全事件。
  • 各医疗卫生机构应加强业务连续性管理并持续监测网络运行状态。对于第三级及以上的网络应加强保障关键链路、关键设备冗余备份,有条件的医疗卫生机构应建立应用级容灾备份,防止关键业务中断。

1.3 在数据安全管理章节需要关注的重点

  • 各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,数据全生命周期活动应在境内开展,因业务确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估或审核,针对影响或者可能影响国家安全的数据处理活动需提交国家安全审查,防止数据安全事件发生。
  • 各医疗卫生机构应加强数据收集合法性管理明确业务部门和管理部门在数据收集合法性中的主体责任。采取数据脱敏、数据加密、链路加密等防控措施,防止数据收集过程中数据被泄露。
  • 数据分类分级的基础上,进一步明确不同安全级别数据的加密传输要求。加强传输过程中的接口安全控制,确保在通过接口传输时的安全性,防止数据被窃取。
  • 各医疗卫生机构应按照有关法规标准,选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全。涉及到云上存储数据时,应当评估可能带来的安全风险。数据存储周期不应超出数据使用规则确定的保存期限。加强存储过程中访问控制安全、数据副本安全、数据归档安全管控。

640-14

图:数据全生命周期的安全管理工作

1.4 在监督管理章节需要关注的重点

  • 各医疗卫生机构应积极配合有关主管监管机构监督管理,接受网络安全管理日常检查,做好网络安全防护等工作。其中监督管理要求中各职能部门关系如下:

640-15

图:监督管理要求中各职能部门关系

1.5 在管理保障章节需要关注的重点

  • 医疗卫生机构应高度重视网络安全管理工作,将其列入重要议事日程,加强统筹领导和规划设计,依法依规落实人员、经费投入、安全保护措施建设等重大问题,保证信息系统建设时安全保护措施同步规划、同步建设和同步使用。
  • 各医疗卫生机构应保障开展网络安全等级测评、风险评估、攻防演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运维、教育培训等经费投入。新建信息化项目的网络安全预算不低于项目总预算的5%。

《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求,有助于确保医疗卫生机构在网络安全管理方面始终保持高度警惕,及时应对各种网络安全威胁,体现了统筹安全与发展的总体平衡,与此前出台的一系列政策法规一脉相承,为医疗卫生机构指明了网络安全管理的总方向。

下载《医疗卫生机构网络安全管理办法》:

原文链接:https://www.gov.cn/zhengce/zhengceku/2022-08/30/content_5707404.htm

2. 医院评级制度相关规范

医院评级制度是对医院服务质量和管理水平进行评估和分类的一系列规范。它通常由政府或相关机构制定,通过对医院的设施、设备、医疗技术、医疗质量、管理水平、服务质量等方面进行评估,按不同等级划分。评审和评级是督导医院持续改进工作的利器之一。随着医院评级工作的持续推进,医疗信息化要求不断细化、水平不断发展,医院评级驱动了医疗信息化高速发展。

国内医院部分评审/评级标准体系如下:

640-16

图:中国医院评审/评级标准体系(部分)

其中医院等级、互联互通、与电子病历评级标准均包含网络安全相关要求,医院如需达到对应等级,需要满足对应的网络安全要求,这也意味了网络安全在医院评级制度中的重要性是不容小觑的,以下是关于这三个标准的介绍。

2.1 三级医院评审标准(2022年版)概述

为持续做好医院评审工作,保障医院评审标准与现行管理政策的一致性,充分发挥医院评审标准在推动医院加强内部管理、提升医疗质量安全水平等方面的作用,国家卫生健康委组织制定了《三级医院评审标准(2022年版)》及其实施细则。医院按照评审办法要求,根据医疗机构基本标准和医院评审标准,开展自我评价,持续改进医院工作,并接受卫生行政部门对其规划级别的功能任务完成情况进行评价,以确定医院等级的过程。

《三级医院评审标准(2020年版)》适用于三级医院、其余各级各类医院可参照使用。标准共分为三个部分,包含107节,设置了364条标准和监测指标。这些标准涵盖了医院管理、医疗技术、医疗质量、服务质量、设施设备等多个方面,全面评估医院的综合实力和服务水平。其中信息化建设是医院等级评审的重要考核内容;信息安全建设是信息化建设的重要组成部分。医院需要落实《网络安全法》、落实等级保护制度,保障信息安全。

与信息安全相关的规章制度如下:

  • 实施电子病历的医院,应当建立电子病历的建立、记录、修改、使用、存储、传输、质控、安全等级保护等管理制度。
  • 建立信息安全管理制度。明确医院主要负责人是患者诊疗信息安全管理第一责任人,依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系。【细则】建立全面的信息安全管理制度、建立完整的信息安全技术体系、建立应急响应机制……
  • 医院信息系统能够系统、连续、准确地采集、存储、传输、处理相关的信息,为医院管理、临床医疗和服务提供包括决策支持类的信息技术支撑,并根据国家相关规定,实现信息互联互通、交互共享。【概述】加强信息系统标准化、规范化建设,强化数据的协同共享,实现临床与管理系统间的互联互通
  • (一百五十五)落实《中华人民共和国网络安全法》,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。

医院要达到相应的等级需满足对应的网络安全相关要求保证医院的信息化系统安全稳定运行。

文末下载数治x行业工具包医疗法规部分:《三级医院评审标准》(2022年版)。

原文链接:https://www.gov.cn/zhengce/zhengceku/2022-12/18/content_5732583.htm

2.2 医院信息互联互通标准化成熟度测评方案概述

医院信息互联互通标准化成熟度测评(以下简称“测评”)是以卫生信息标准为核心,以信息技术为基础,以测评技术为手段,以实现信息共享为目的。医院信息互联互通标准化成熟度测评主要通过对电子病历与医院信息平台标准符合性测试以及互联互通实际应用效果的评价,构建医院信息互联互通成熟度分级评价体系。

具体来说,测评通过以下几个方面对医院信息化建设进行评估:

  1. 数据资源标准化建设情况:评估医院在电子病历、医疗数据等方面的标准化建设情况,包括数据集的完整性、规范性、一致性等。
  2. 互联互通标准化建设情况:评估医院在信息系统互联互通方面的标准化建设情况,包括信息系统之间的数据交换、信息共享、协同应用等。
  3. 基础设施建设情况:评估医院在信息化基础设施建设方面的投入和建设情况,包括硬件设备、网络设施、安全设施等。
  4. 互联互通应用效果:评估医院在信息化应用方面的实际效果和效益,包括医疗服务质量、管理效率、患者满意度等。

测评采用定量测试和定性评价相结合的方法,评估结果分为七个等级,从低到高依次为一级至五级甲等,不同等级对应不同的信息化建设水平和成熟度。国家卫健委的要求三级医院要求满足互联互通4级以上。互联互通测评评分要求如下图:

640-17

图:互联互通评分要求

640-18

图:互联互通等级划分

其中,网络安全的要求内容再“基础设施建设情况”章节下,涉及分数为9.6分。具体要求如下:

  • 网络及网络安全情况(5.5分)

640-19

640-20

640-21

  • 信息安全情况(4.1分)

640-22

640-1

640-23

以上是互联互通测评中网络安全相关要求,针对关键点总结如下:

  • 三级等保是互联互通测评的关键。四级乙等评审指标要求核心业务系统(HIS、LIS、PACS、EMR、CDR等)需完成等保三级定级备案与测评。按照三级等保要求投入安全建设,可覆盖较多测评指标。
  • 网络安全部分多为三级/四级乙等的评审指标,说明网络安全是医院信息化建设的基础,应全面考量、今早建设、尽早完善。
  • 应用安全和数据安全是医院信息化建设的提升方向。在建设过程中应注重应用厂商对接及新技术应用。
  • 安全管理制度建设是网络安全建设必不可少的环节。应注重:(1)设立明确的网络安全领导小组;(2)做好人员管理和人员培训;(3)管理过程留痕,形成报告和方案。

文末下载数治x行业工具包医疗法规部分:《医院信息互联互通标准化成熟度测评方案》

原文链接:http://www.nhc.gov.cn/mohwsbwstjxxzx/s8553/202008/e80dafa1334c44c38f644602406a4973.shtml

2.3 电子病历系统应用水平分级评价标准概述

以电子病历为核心的医院信息化建设是医改重要内容之一,为保证我国以电子病历为核心的医院信息化建设工作顺利开展,逐步建立适合我国国情的电子病历系统应用水平评估和持续改进体系,制定本评价标准。

在评价体系里,确定了医疗工作流程中的10个角色及各个角色的共计39个评价项目,项目分为基本项和选择项。基本项拥有一票否决权。选择项允许医疗机构根据自身情况有选择地开展建设,只需要满足申报等级要求的部分项目即可。地方各级卫生健康行政部门要组织辖区内二级以上医院按时参加电子病历系统功能应用水平分级评价。到2019年,所有三级医院要达到分级评价3级以上;到2020年,所有三级医院要达到分级评价4级以上,二级医院要达到分级评价3级以上。

640-24

图:《电子病历系统应用水平分级评价标准》

其中网络安全相关要求如下:

640-25

640-26

针对关键点总结如下:

  1. 随着电子病历评级的不断提高,网络安全要求不断细化。高等级覆盖低等级要求;
  2. 安全管理制度体系是建设要点,需技术与管理并重;
  3. 医疗机构要加强信息系统安全防护,做好医疗数据安全存储和容灾备份,防控患者医疗信息泄露风险;
  4. 重点业务系统的等级保护工作对于通过电子病历评级具有较大价值,安全体系的建设可参考等保要求投入建设;
  5. 除八级外,“基础设施与安全可控”均属于可选项。但此项内容不涉及软件建设,改造难度低,建设性价比较高。推荐作为选择项投入建设。

文末下载数治x行业工具包医疗法规部分:《电子病历系统应用水平分级评价标准》

原文链接:https://www.gov.cn/xinwen/2018-12/09/content_5347261.htm

3. 互联网医院管理办法(试行)

近年来,随着网络与信息技术的高速发展,国家积极推动“互联网+”政务的发展,将互联网的创新成果与经济社会各领域深度融合。在医疗领域,国家高度重视“互联网+医疗健康”,在2015年7月与9月,国务院接连发布两项与医疗改革密切相关的文件,即《关于积极推进“互联网+”行动的指导意见》和《关于推进分级诊疗制度建设的指导意见》。鼓励医疗机构积极探索互联网延伸医嘱、电子处方等网络医疗健康服务应用,医疗行业开展远程诊疗的新形态。2018年9月,国家卫生健康委员会、国家中医药管理局发布《互联网医院管理办法》(试行),文件规定了互联网医院的管理规范,成为互联网医院建设的重要指引。

其中《互联网医院管理办法》(试行)中的附录互联网医院基本标准(试行)中关于网络及安全的相关要求如下:

  • 具备高速率高可靠的网络接入,业务使用的网络带宽不低于10Mbps,且至少由两家宽带网络供应商提供服务。鼓励有条件的互联网医院接入互联网专线、虚拟专用网(VPN),保障医疗相关数据传输服务质量。
  • 建立数据访问控制信息系统,确保系统稳定和服务全程留痕,并与实体医疗机构的HIS、PACS/RIS、LIS系统实现数据交换与共享。
  • 信息系统实施第三级信息安全等级保护。
  • 建立互联网医疗服务管理体系和相关管理制度、人员岗位职责、服务流程。规章制度应当包括互联网医疗服务管理制度、互联网医院信息系统使用管理制度、互联网医疗质量控制和评价制度、在线处方管理制度、患者知情同意与登记制度、在线医疗文书管理制度、在线复诊患者风险评估与突发状况预防处置制度、人员培训考核制度,停电、断网、设备故障、网络信息安全等突发事件的应急预案。

互联网医院管理办法(试行)在网络安全方面的内容具有重要的意义。首先,随着互联网的普及和医疗服务的数字化转型,网络安全问题已经成为影响互联网医院发展的重要因素之一。因此,加强网络安全管理,保障患者信息安全和医疗服务稳定性,是互联网医院必须承担的社会责任。其次,强化网络安全管理也有助于提高互联网医院的服务质量和信誉度,增强患者对互联网医院的信任和支持。最后,加强网络安全管理还有助于促进互联网医院行业的规范化发展,推动行业的技术创新和服务升级。

文末下载数治x行业工具包医疗法规部分:《互联网医院管理办法》(试行)

原文链接:https://www.gov.cn/gongbao/content/2019/content_5358684.htm

4. 总结

医疗行业是一个强合规行业,其中涉及网络安全的规范标准在持续更新与完善,针对本篇文章提到的网络安全相关标准和规范,威努特遵循医疗行业的标准规范要求,除了传统安全全面的等保合规网络安全防护方案之外,威努特特有的“主机防勒索系统+数据备份恢复系统”构成了“主动防御”+“数据备份恢复”,为代表的典型防勒索攻击方案,全面对抗医疗行业勒索攻击。通过主机防勒索技术、数据备份与恢复技术,为医疗行业客户建立坚固的勒索攻击安全防线。

本文作者:李泽 威努特工控安全

获取数治x行业工具包医疗法规部分,关注我们的公众号“idtzed”回复“MLR”。加入“数治x”行业社群, 300+ 高质量前沿资料免费下载,不只做个资料党,更开启你的自主个性化学习旅程,在公众号“idtzed”上回复“入”直通:

资料、学习、成长问答助手;
图解、模板、问卷行业工具包;
个人、团队数据素养水准评估;
数治连线产研导师专场直播等。

与我们有更多合作,定制你的数字推广直击目标潜在客户,扫码添加老邪企业微信:

数据平台和工具入库;
论坛、讲座等活动推广;
新产品、场景、应用等在线发布;
技术、案例解读等线上公开课召募等。

在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。

2 评论