12月1日等保2.0已来,卫生健康行业应具备的合规能力

作者:陈昌杰 发布时间:2019-12-03
浏览次数:

迎接2.0新时代

国家标准GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(代替GB/T 22239-2008),于2019年12月1日正式实施,意味着网络安全工作已正式迈入等保2.0的新时代。

巩固1.0时代的网络安全建设成果,构建符合2.0时代新框架、多领域、高标准的安全体系,如何加快卫生健康行业网络安全合规建设的步伐,跟上新时代的要求刻不容缓。

自上而下的驱动

等保2.0建设工作开展依据,是基于《中华人民共和国网络安全法》,从等保1.0时代条例法规的执行已上升为法律层面应尽的责任和义务。

网络安全体系的建立,从国家到主管单位到医院,是自上而下的治理。医院网络安全工作的开展,已不是单一职能科室的责任,而是以医院主要党政领导为首要负责的医疗机构对社会的承诺和责任。根据法律法规,网络安全事件发生时将会追究医院领导的第一责任。明确党政领导作为第一责任人,将有助于网络安全建设的推进。

基于目标的框架

建立符合医院特性的网络安全等级保护体系,是落实医院网络安全工作框架最基础、最有效的方法。在框架的范畴内进行深入和细化,做好网络安全工作的点点滴滴,其目标只有一个:杜绝网络安全事件的发生。

为杜绝网络安全事件的发生,在医院信息化建设中树立医院网络整体安全的正确意识,根据网络安全法“三同步”原则及时进行风险识别和隐患治理。千里之堤毁于蚁穴,“木桶原理”是指网络安全整体水平由安全级别最低的部分所决定。1.0时代,普遍存在“主管单位不提的问题不管,非核心系统问题不管,其他医院也存在的问题不管”,安全事件发生时抱团救火。2.0时代已来,这些陈旧思想应一去不复返。

由于网络安全等级保护标准的科学性和普适性,是最易于医院网络安全体系化建设的参照标准,也是最适合医院网络安全风险合规的基础性指导框架。1.0时代,条例法规的对标执行、被动防护的安全要求,医院网络安全防护的主观能动性较差。面对2.0时代,只有全面落实网络安全防护工作,提升医院网络安全的整体能力和主动防护能力,才能积极避免网络安全事件的发生。

全面的安全管理

在1.0的基础上,2.0对定级级别、定级对象、达标要求等都进行大幅提高,要求形成全面的、规范的安全管理。例如,公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级(GA/T1389);等保1.0的定级对象仅限于信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多系统平台。

例如基于5G的云平台的患者随访系统,可能涉及到随访系统安全、与医院核心信息系统的交互安全、云平台安全、移动终端安全、生命体征等物联系统、5G网络使用安全等方方面面的安全管理。虽然扩展了这么多安全防护对象,但达标要求丝毫不减,2.0中测评的基本分相比1.0时代有了调高:90分及以上为优、80分及以上为良、70分及以上为中,该系统需要综合测评超过70分以上才算基本符合要求,可见网络安全等级保护的要求之高。

回顾上海市卫生健康委员会2019年1月发布的沪卫计信息[2019]2号文《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》,前瞻性地将医疗物联、承载公民个人信息、与核心业务系统发生双向数据交互等系统纳入不低于三级的安全等级保护范畴,符合2.0时代实现全面的网络安全管理标准的趋势。但真正实现全面的网络安全管理,以卫生健康行业目前的合规能力来说还比较难,如何实现网络安全与医院信息化并行、医院安全管理战略和目标、生命周期贯彻安全管理、人员安全素养培养和队伍建设等,还有很长一段路要走。 


作者简介:



陈昌杰
中国信息安全技能竞赛专家
全国高校信息安全竞赛专家
上海卫生健康委信息安全专家
国家信息技术服务标准工作组专家


 

医疗信息化相关书籍上架,请点击此处查看