等保2.0 | 醫療安全如何構建 請收下這份錦囊！

山石視點

醫院要以等級保護標準爲基礎創建安全技術體系和安全管理體系，構建具有相應等級安全保護能力的網絡安全綜合防護體系，開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工做。

隨着智慧醫院建設步伐的大力推動，雲計算、大數據、物聯網、移動互聯網、人工智能等新興信息技術在醫院蓬勃發展，新技術已經成爲醫院從信息化向智慧化過渡的堅實基礎，保證其安全性不言而喻。

等保1.0保護對象爲信息系統，已經不能涵蓋所有對象，原定義內涵侷限性日益顯現。等保2.0對定級指南、基本要求、測評要求、實施指南、測評過程指南、設計技術要求等標準進行修訂和完善，以知足新形勢下等級保護工做的須要，其中基本要求、測評要求、設計技術要求統一以「一箇中心，三重防禦」構建體系框架，並已於2019年12月1日正式實施，等級保護進入了2.0時代。

等級保護對象從「信息系統」到「兩個全覆蓋」

1)覆蓋各地區、各單位、各部門、各企業、各機構，便是覆蓋全社會；

2)覆蓋全部保護對象，包括網絡、信息系統，以及雲平臺、物聯網、工控系統、大數據、移動互聯等各種新技術應用。

等保2.0將原有的1.0等級保護要求提高爲安全通用要求和安全擴展要求，安全通用要求和安全擴展要求共同構成了對等級保護對象的安全要求，將雲計算、移動互聯、物聯網、工業控制系統、大數據等列入標準規範；

除新增了安全擴展要求外，等保2.0還對通用要求進一步優化，新增新型網絡***檢測、郵件安全防禦、安全審計時間要求、無線網絡控制、我的信息保護、可信驗證等新要求；

等保測評結論由等保 1.0 的符合、基本符合、不符合改成等保 2.0 的優、良、中、差四個等級。其中測評結論「差」的判別依據是被測對象中存在安全問題，並且會致使被測對象面臨高等級安全風險，或被測對象綜合得分低於 70 分。

根據 2017 年 6 月 1 日實行的《中華人民共和國網絡安全法》，第二十一條明確要求：國家實行網絡安全等級保護制度。而針對醫療衛生行業，衛生部於 2011 年 11 月分別發佈《衛生部辦公廳關於全面開展衛生行業信息安全等級保護工做的通知》（衛辦綜函〔 2011〕 1126 號），衛生部關於印發《衛生行業信息安全等級保護工做的指導意見》的通知（衛辦發〔2011〕85 號），明確要求全國全部三甲醫院核心業務信息系統的安全保護等級原則上不低於第三級，等級保護成爲醫院安全建設的重要標準。

不論從合規性角度上仍是從自身信息系統安全角度考慮，醫療衛生行業都須要增強本身的安全管理體系和技術體系的建設，切實提高總體信息系統及數據的安全性。知足國家政策合規性需求同時，也可以符合自身的安全防禦需求，爲醫院內的核心業務系統如HIS、LIS、PACS等系統建設一個穩定、安全的運行環境。

醫院要以等級保護標準爲基礎創建安全技術體系和安全管理體系，構建具有相應等級安全保護能力的網絡安全綜合防護體系，開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工做。

創建「主要負責人負總責，分管負責人牽頭抓」的領導責任制，按照「誰主管誰負責、誰運維誰負責、誰使用誰負責」的原則，落實網絡信息與數據安全責任制，明確各方責任；

以風險治理爲核心，根據業務目標，開展差距分析評估當前安全狀態，肯定識別風險及處理優先級，肯定建設路徑和實施計劃，規劃爲下降網絡安全風險而投入的資源等；

空間維度：從物理環境、通訊網絡、區域邊界、計算環境等方面構建縱深防護體系，由於等保2.0測評要求的變化，須要重點關注通用要求優化的測評項以及安全擴展要求的測評項；

時間維度：從預測、識別、檢測、響應、恢復等方面構建事前預防、事中控制、過後響應的動態安全體系；

按照差別性的業務類型和功能區域，肯定各安全域的物理邊界和邏輯邊界，明確不一樣安全域之間的信任關係，並在安全域邊界配置不一樣的安全策略，體現不一樣的防禦強度和粒度，實現安全域之間的隔離與防禦，減小***面和惡意行爲的傳播通道；

虛擬化做爲醫院廣泛使用的新技術，業務系統也正逐步向虛擬化平臺遷移，根據雲計算安全擴展要求，須要重點關注創建虛擬化網絡邊界的訪問控制機制，檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量，虛擬機遷移時訪問控制策略隨其遷移、檢測到惡意代碼感染及在虛擬機間蔓延，須要構建可適配虛擬化的安全新技術，將風險控制在虛擬化最小範圍以內；

嚴格執行信息安全和健康醫療數據保密規定，規劃數據安全治理體系，明確數據分級分類，經過數據庫防禦、數據泄露防禦、數據脫敏、數據加密等技術手段，增強運營管理，保障我的信息等重要數據在存儲、傳輸、使用過程當中的保密性、完整性，妥善保管患者信息、用戶資料、基因數據等；

經過多種類型的數據探針採集數據，基於海量網絡流量、威脅事件和終端操做等行爲進行智能數據挖掘及分析，展示全局網絡安全風險和態勢，提高應急、響應、處置、通報能力。發生安全事件時第一時間聯動部署的各類安全裝置，將損失下降到最低；

制定網絡安全運營規範、業務連續性計劃、災難恢復計劃、應急預案、安全事件處置和通告制度，按期開展應急演練，提高安全運維管理能力；

按期舉辦網絡安全意識培訓，切實落實網絡安全責任制，嚴格執行網絡安全管理各項措施，提高全員安全防範能力。

總而言之，醫院須要統一思想充分認識到作好信息網絡和數據安全保障工做的重要性和緊迫性，加快推動網絡安全等級保護測評工做，在等保標準的基礎上構建覆蓋技術和管理的綜合防護體系，提高網絡安全風險治理意識，作好安全防禦基礎工做，增強網絡安全防護和檢測能力，健全預案開展演練提升應急處置能力，變被動防禦爲主動防禦，變靜態防禦爲動態防禦，變單點防禦爲總體防控，變粗放防禦爲精準防禦，爲持續推動智慧醫院保駕護航。