近日,国家卫生健康委、国家中医药局、国家疾控局发布了《医疗卫生机构网络安全管理办法》(以下简称《办法》),提出了医疗卫生机构网络安全整体建设的目标和路径,为医疗行业网络安全保护指明了方向。
《办法》是为加强医疗卫生机构网络安全管理,促进“互联网+医疗健康”发展,落实《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等有关法律法规标准。全文共六章三十四条,分为总则、网络安全管理、数据安全管理、监督管理、管理保障、附则六个大章节。以等级保护为基础,参照关键信息基础设施保护,在网络安全、数据安全、监督管理、管理保障提出了相应要求。重点保障关键信息基础设施、网络安全等级保护第三级及以上网络以及重要数据和个人信息安全。
网络安全建设分工
构建安全防控体系
《办法》指出要建立防护、监测、处置、保障四个体系协同的综合安全防控体系。
安全防护
落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。
安全监测
加强业务连续性管理并持续监测网络运行状态。鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息,与国家及行业平台对接。
安全处置
应将态势感知、监督管理、安全检查、应急处置、联防联控组成协同安全处置体系。
安全保障
通过统筹领导和规划设计,将各级监管机构、医疗卫生机构、参与信息化建设单位与设备供应商作为全链条纳入安全保障体系,在人才培养、安全培训、经费支持等方面实现全方位保障。
医疗卫生机构网络安全保护的关键点
网络安全部分关键点
1) 落实等级保护制度、威胁情报、监测预警、应急处置、安全整改、关基岗位人员管理、容灾备份、新技术应用、密码安全、医疗设备安全、供应链安全管理、设备全周期风险评估等。
2) 细化了网络安全管理制度:
成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长,每年至少召开一次网络安全办公会。
第二级以上网络应在网络安全保护等级确定后10个工作日内,公安机关备案,上报上级卫生健康行政部门。网络撤销或变更安全保护等级的,应在10个工作日内向原备案公安机关撤销或变更,同步上报上级卫生健康行政部门。
检测评估,第三级或第四级,每年至少一次开展网络安全等级测评。第二级涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评,其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行前应进行安全性测试。鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息。
5通过建立完善应急预案、组织应急演练等方式,有效处理网络中断、网络攻击、数据泄露等安全事件。
数据安全部分关键点
1)平衡数据安全和数据应用,建立健全数据安全和个人信息保护制度。
2)应首先对数据分类分级,在数据分类分级的基础上采取数据加密、数据备份、数据脱敏等技术。
3)加强数据收集、传输、存储、使用、交换、销毁等全生命周期的安全防护。
监督管理部分关键点
1)应积极配合有关主管监管机构监督管理。
2)建立网络安全事件通报工作机制,及时通报网络安全事件。
管理保障部分关键点
1)落实人员、经费投入、安全保护措施,信息系统安全建设确保“三同步”。
2)新建信息化项目的网络安全预算不低于项目总预算的5%。
绿盟科技智慧安全3.0体系保障医疗卫生机构网络安全
绿盟科技基于多年的网络安全实践经验,发布了智慧安全3.0体系,提出构建“全场景、可信任、实战化”的安全运营能力,为医疗卫生机构信息系统网络安全保驾护航。
全场景覆盖
医疗卫生机构产生的医疗健康数据不仅是重要的生产要素,更是国家基础性战略资源。需要在贯彻落实《办法》的基础上进行重点保护。在绿盟科技智慧安全3.0体系中,“全场景”的概念不仅意味着可以覆盖大数据、云平台、物联网、5G等新型基础设施场景,还可以有效应对针对医疗卫生机构信息系统的人员链、业务链、供应链等因素引起的关联式深度威胁。不管是来自信息系统外部攻击,还是面向核心业务链的威胁,甚至是内部无意识地滥用,绿盟科技“全场景”安全防护,都可以保障客户网络安全的无死角覆盖,保障医疗卫生机构信息系统的业务链安全。
可信任机制
《办法》强调对重要数据和个人信息的保护,在传统边界安全保护的基础上,需要通过采取身份鉴别、访问控制、密码保护、安全审计、可信验证等关键技术来切实保护重要数据全生命周期安全。无论是针对数据的安全访问机制问题,还是针对产品和服务的供应链保障问题,本质上反映的是对医疗卫生机构信息系统安全的一种信任需求。绿盟科技智慧安全3.0体系提出“可信任”的要求,就是从根本上回应运营者在信任层面的忧虑,推出了一系列面向医疗卫生机构信息系统的可信高质量的产品;通过对数据安全、零信任等技术的研究,证明了绿盟科技具备在数据安全可信方面的前沿技术能力。
实战化保障
网络空间安全的本质是攻防对抗,而对抗的核心是攻防两端的能力较量,医疗卫生机构信息系统作为关基单位更是如此。《办法》指出要建立防护、监测、处置、保障四个体系协同的综合防控格局。在医疗卫生机构信息系统安全防御的阵地上,如何收敛资产暴露面,如何布设蜜罐诱捕,如何进行专项APT监测分析,如何系统全面地分析攻击者的攻击意图、技术与过程,实现对网络攻击的诱捕、溯源、干扰和阻断等多方面防御呢?绿盟科技智慧安全3.0体系提出“实战化”的要求,作为检验安全技术与产品能力转化的基本要求,面向医疗卫生机构开展围绕态势感知、威胁情报、监测预警、安全演练、安全运营等服务,以实战为导向,帮助医疗卫生机构信息系统达到网络安全“全面防护、智能分析和自动响应”的一体化防护效果。建立健全有力的网络安全应急响应机制和攻防一体化的协同保障体系,将攻防对抗知识通过培训赋能、演练验证,全力提高医疗卫生机构信息系统应对重大安全事件的“韧性”,在发生重大事件时能够实现由常态化安全运营向战时应急的迅速转换,达到平战结合一体化。
RacentYY
Andrew
RacentYY
Anna艳娜
安全侠
安全牛
FreeBuf
Anna艳娜
ManageEngine卓豪
Coremail邮件安全
