医疗行业一直都是等级保护测评的重点对象,一方面,医疗行业的数据量很大;另一方面,为了给民众提供更为便捷的就诊服务,医疗行业的很多机构都接入了互联网。一旦医疗网络被不法分子攻击,会造成很严重的后果。
目前,医疗行业面临着多个方面的网络安全威胁。根据中国信息通信研究院等机构发布的《2019年健康医疗行业网络安全观测报告》,目前医疗行业的网络安全风险集中表现为:
1、僵木蠕等问题严峻,勒索病毒严重威胁医疗业务正常运行;
2、数据泄露事件高发,应用服务软件存在较多安全隐患;
3、医疗行业的网站同政府网站、教育机构网站等都是境外机构的重点攻击对象,且网站篡改手法多变。
虽然医疗行业的等级保护测评工作是如此重要,但根据中国医院协会信息专业委员会(CHIMA)2019年发布的《2017-2018年度中国医院信息化状况调查报告》,在484家样本医院中,只有36.16%的医院通过了等保测评。北京市卫生计生委信息中心副主任郑攀认为,我国医院现有的安全保障体系尚处于初步建设阶段,尚不足以应对当前网络安全威胁,行业整体网络安全保障水平亟需提升。
总而言之,医疗行业的等保测评工作必须落实。2019年,最高人民法院、最高人民检察院联合发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》正式实施,其中规定,不履行等保将获最高判刑!
那医疗行业的的等级保护测评工作如何开展呢?
医疗行业的等级保护测评工作要结合自身实际,以切实保护医疗网络的信息安全。从2011年到2018年,医疗行业的等保测评工作要求一直在发生变化:
医疗行业管理者的意见
新疆自治区人民医院信息中心的副主任彭建明表示,安全就是“三分技术、七分管理”,不是投入一堆硬件就安全了。很多高分通过等保三级的医院后来还是出现了安全问题,所以管理一定要跟得上。同时,医院在开展网络安全建设时可以遵循两个原则:一是医院的信息系统不会因为硬件故障而停运;二是一定要对核心数据进行安全有效的备份。
深圳南山医院网络技术科主任朱岁松则表示,在国家出台网络安全等级保护2.0标准的背景下,医院上云更加需要一种谨慎的态度。尤其在选择云端安全产品时,一定要提前考虑等保2.0标准的要求,这也是上云必须要解决的问题。顺便再提一下,企业如果在做等保的过程中再中途上云,会浪费更多的时间和人力。
最后,结合行业现状和新标准要求,钟一鸣对医疗机构开展网络安全等级保护工作提出了五点建议:
1、合理开展新业务系统及平台的定级备案工作,如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐;
2、在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击;
3、加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效;
4、加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性;
5、适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。
陆陆信息科技已经为医疗、政府、教育等行业客户完成等级保护建设,帮助行业用户持续有效地保持合规状态,为用户带来更大的安全价值。通过一站式、全流程的等保测评服务,帮助用户提供通过“过保”服务,帮助企业快速、省心地通过等保合规建设。