郑攀:贯彻落实网络安全法 做好医疗机构等级保护
当前,医疗卫生健康网络安全建设已成为国家卫生健康行业信息化建设的重要保障和重要组成部分。没有网络安全,就没有卫生健康信息化的健康发展。4月25日,山东省信息网络安全协会医疗分会在济南举办了第三届雪野湖论坛,会议邀请了北京市卫生计生委信息中心副主任郑攀做演讲。他详细解读了《网络安全法》与等级保护2.0,并介绍了卫生行业等级保护现状,给医院等级安全保护工作的开展提出了建议。
网络安全法推动等保2.0落地
郑攀指出,2016年,我国出台了《中华人民共和国网络安全法》,推动网络安全在国家战略层面提升至新高度。《网络安全法》首次宣誓了国家保卫网络空间主权的原则,进一步确立了等级保护制度的法律地位,明确了在等级保护的基础上,重点加强关键信息基础设施安全保护。
对此,郑攀强调,《网络安全法》要求全面实行信息安全等级保护制度,即等保2.0,并在此基础上重点保护关键信息基础设施,全面自查门户网站和核心业务系统安全。
他对等级保护2.0定级要求进行了解析,指出该要求新增了“定级流程”,包括确定定级对象、初步确认定级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。同时,等级保护2.0重新对定级对象进行了调整,分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。
医疗行业网络安全等级保护工作任重道远
郑攀介绍,北京市卫生计生委信息中心日前对北京市直属22家医疗机构及重点公共卫生机构的门户网站、APP、公众号信息系统进行了调研。
通过汇总调研结果,郑攀认为医院网络安全等级保护工作推进差异较大:三甲医院信息系统定级备案工作完成情况良好,对重要业务信息开展测评与整改工作方面力度较大;普通三级及以下医院(尤其是二级医院)的信息系统定级备案率远高于测评率、整改率;普通三级医院存在核心业务系统定级偏低(根据网络安全等级保护相关标准,结合系统调研数据中的个人信息存储量以及系统用户数)的情况;二级医院存在等级保护管理工作各环节衔接不到位的情况,网络安全等级保护工作推进的广度和深度不足。
对此,郑攀总结道:“我国医院现有的安全保障体系尚处于初步建设阶段,其安全状况和防护能力尚不足以应对当前网络安全威胁,不足以保证信息系统的安全稳定运行,难以抵御一般性有组织的网络攻击行为,行业整体网络安全保障水平亟需提升。”
新标准下医疗机构关注网络安全重点
针对当前医疗机构信息安全建设现状,郑攀给出如下几点建议:
1.加强网络安全等级保护工作重视程度。医疗机构各单位应积极落实网络安全制度,领导层也应提高网络安全等级保护工作的认知水平和重视程度,应理解网络安全等级保护工作开展意义与重要性,确保网络安全等级保护工作推进工作顺利开展。
2.明确各自单位负责网络信息与数据安全工作的职能部门。负责建立本单位的网络信息与数据安全管理制度和操作规程。
3.坚持网络安全与信息化建设项目“同步规划、同步建设、同步运行”的原则,开展信息系统定级备案,定期开展等级测评和风险评估,选取符合资质要求的技术支撑机构和健康医疗服务企业,保障日常工作的安全开展。
4.加大对自主可控产品的使用与投入,有计划、有步骤地实现行业网络安全产品国产化替代,使用符合国家要求的密码产品。
5.扩充网络安全队伍,提升网络安全队伍专业技能,强化单位人员安全意识。
6.履行业务和信息系统的安全保障义务,开展信息系统安全运维。
7.建立本单位网络信息与数据安全应急体系,制定应急预案、组建应急队伍、开展应急演练。
8. 组织本单位工作人员开展网络信息与数据技术安全教育与培训。
9. 从个人信息的采集、传输、存储、加工和应用过程等多方面加强个人信息数据保护,防止个人信息的泄露和滥用。
上一篇: 医院信息中的甲方和乙方
下一篇: 医院信息部门负责人必须亲自做的大事