醫(yī)療機構信息安全等級保護的需求背景
衛(wèi)生醫(yī)療行業(yè)信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作,對于促進衛(wèi)生醫(yī)療信息化健康發(fā)展,保障醫(yī)藥衛(wèi)生體制改革,維護公共利益、社會秩序和國家安全具有重要意義。
某某醫(yī)院三級等保建設拓撲 為貫徹落實國家信息安全等級保護制度,規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作,按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕 1429號)要求,衛(wèi)生部結合衛(wèi)生行業(yè)實際,特研究制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(衛(wèi)辦發(fā)〔2011〕85號)和《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》(衛(wèi)辦綜函〔2011〕1126號)來指導衛(wèi)生醫(yī)療行業(yè)的信息安全建設工作。
醫(yī)療機構信息安全等級保護的安全需求
任何的安全事件所導致的醫(yī)院業(yè)務系統(tǒng)宕機,都會降低患者的就醫(yī)滿意度同時醫(yī)院的信息數(shù)據(jù)泄漏問題影響很大損害了醫(yī)院的信譽,處理不當則可能會引起醫(yī)患糾紛、法律問題甚至社會問題。綜上所述,當前三甲醫(yī)院面臨的主要問題有以下幾個方面:
· 醫(yī)院信息系統(tǒng)互聯(lián)互通的實現(xiàn),使得醫(yī)院信息系統(tǒng)面臨更多來自外部的威脅 (邊界防護及邊界訪問控制) · 安全意識的淡薄以及管理制度的不完善,面臨著來自內部的人為失誤或蓄意破壞、信息竊?。☉蔑L險) · 三甲醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價值,漸漸得到灰色產業(yè)鏈的覬覦(應用風險) · 安全事件造成的損失以及醫(yī)院信息系統(tǒng)恢復的成本 (備份恢復) · 缺乏安全技術人員以及安全管理制度 (三級等保制度) · 面對外部網絡威脅的恐慌,導致了醫(yī)院信息化發(fā)展的裹足不前 · 醫(yī)改對醫(yī)院信息共享、遠程醫(yī)療協(xié)助的政策導向,延伸出的信息安全保障
中新醫(yī)療機構信息安全等級保護解決方案特點
對于三甲醫(yī)院的信息系統(tǒng)而言,安全建設應該主要考慮以下幾個方面:
· 醫(yī)院信息安全建設將從事前預防,事中減損,和事后糾正三個方面提供全面的防護策略,全面提升提高醫(yī)院 · 安全防護能力; · 重點防護對外WEB應用,降低數(shù)據(jù)泄露風險、支撐WEB可用性以及控制惡意訪問; · 采用VPN技術保證醫(yī)院與分支醫(yī)療機構、醫(yī)院與上下級機構以及醫(yī)院與移動醫(yī)護工作者的的安全數(shù)據(jù)交換; · 加強主動防御能力,通過全方位、多視角的風險分析,完善醫(yī)院信息系統(tǒng)漏洞,降低安全風險,提高信息系 · 統(tǒng)健壯性; · Bypass部署設計,一旦安全設備出現(xiàn)異常,將自動重啟系統(tǒng)或者啟用bypass,實現(xiàn)醫(yī)院業(yè)務零斷網; · 提升醫(yī)院IT設備運維審計能力,最小化避免操作失誤以及蓄意破壞帶來的損失; · 采用集中統(tǒng)一的安全管理形式,提高安全管理效率; · 選用安全服務外包模式,彌補醫(yī)院專業(yè)安全技術人員的缺失,最大程度上減少醫(yī)院運營中斷和管理成本; · 根據(jù)上級主管部門的政策指導,依據(jù)信息安全等級保護要求,對業(yè)務系統(tǒng)進行等級保護建設。 |