医院信息安全等级保护2.0的方案探讨


医疗行业是软件威胁的主要目标。患者个人数据价值高,病历和药品成为数据泄露的主要内容。因此,建立安全的网络架构尤为重要。二零零七年,公安部等四部门颁布了《信息安全等级保护管理办法》(下称“等同安全1.0”),对信息安全建设框架标准提出了具体要求。原卫生部在相关政策文件的根基上,于2011年颁布了《关于卫生领域信息安全等级保护的实施意见》,强调指出三级甲等医院的关键业务系统必须通过同等保险的三级安全评估。近年来,随着云计算、移动互联网和物联网的发展,以往的安全架构面临越来越多的挑战,各种信息安全事件在医疗机构频繁发生。面临不容乐观的网络安全局势,二零一九年10月,《信息安全技术网络安全等级保护基本要求》(下称“EqualSecuDPIy2.0”)正式颁布,给医疗行业带来了全新的安全规范和要求。

一级保险2.0提出的新要求

与Isobao1.0相比,Isobao2.0的新规定增加了新的重大改变和建设要求,主要体现在以下四个方面:(1)覆盖对象的改变。新规范中的对象不仅包括传统对象,还增加了新的主体,如大数据平台、物联网、移动互联网等。(2)安全要求的改变。安全延伸的边界更注重大数据技术、互联网技术等便捷技术同步带来的安全隐患。(3)分类结构的改变。Isobao2.0定义了两个部分:技术部分和管理部分。技术部分重点介绍物理环境、通信网络、网络边界、计算和总体框架;管理部分包括管理制度、管理机构、管理人员、施工跟踪和持续运行维护。(4)强调云连接的安全性。不仅要求以前的基础设施和公有云的安全性,还增加了虚拟化等私有云的安全内容,甚至涉及云服务提供商资质、云计算环境等机构强制审计要求。

医院建设的原则

广州肺科医院是以治疗和治疗心肺疾病为主的三级甲等专科医院,始终十分重视信息安全。按照之前的要求,医院关键业务系统和门户系统于2018年6月通过了同等保险1.0的安全评估。按照等保2.0要求的新改变,融合医院现有根基,医院开展了充分的顶层设计,制定了全新的整改方案。升级改造主要体现在三个关键方面。

扩大覆盖面,拓展新场景

医院信息系统在原有的根基上开展了分类和扩展,增加了具体的技术领域,并被重新划分为传统应用和新应用两个领域。传统应用是指支持医院所需的基本业务系统,包括医疗业务系统(HIS)、实验室系统(LIS)、放射检查系统(RIS)、行政办公系统和后勤运维系统。新应用是指围绕特定新技术的应用,包括人机交互系统、数据分析平台和云数据存储平台。

分类结构细化,确保标准

医院按照等保2.0的基本要求、设计要求和评估要求,产生了相应的分类结构。在相应的分类结构下,综合考虑安全、流程、系统、人员等相关要求,通过合规检查强化管理规范,配置安全设备阻挡内外攻击,设置防御策略保护数据,定期开展灾难演练,提高应急响应能力,形成安全通信网络、安全区域边界、安全计算环境、安全管理中心的防护体系架构。

分享: