|
醫(yī)院網(wǎng)絡(luò)安全出問(wèn)題不再是“家事” 近日�����,山西省原平市第一人民醫(yī)院和忻州市和美婦產(chǎn)醫(yī)院因未履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度���,受到行政處罰。 經(jīng)調(diào)查發(fā)現(xiàn)����,兩家醫(yī)院因未履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,網(wǎng)絡(luò)安全意識(shí)淡薄����,未確定網(wǎng)絡(luò)安全責(zé)任人,未制定網(wǎng)絡(luò)安全應(yīng)急事件預(yù)案����,未采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊�、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施���,嚴(yán)重影響網(wǎng)站信息安全����,同時(shí)該網(wǎng)站未辦理等級(jí)保護(hù)備案手續(xù)�����。被處以行政警告處罰�,并責(zé)令其限期整改�����。 然而����,這并非個(gè)例。 2019年5月���,重慶永川某私立醫(yī)院服務(wù)器突然陷入癱瘓���,醫(yī)院業(yè)務(wù)全面“停擺”�,重慶永川公安組織網(wǎng)安刑偵民警���、勘驗(yàn)民警�����、管理民警���、技術(shù)支持專家趕赴現(xiàn)場(chǎng)對(duì)該案件進(jìn)行調(diào)查核實(shí)。 經(jīng)過(guò)民警和技術(shù)專家調(diào)查核實(shí)���,該私立醫(yī)院因未按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行安全保護(hù)義務(wù)�。醫(yī)院未安裝邊界防護(hù)設(shè)備����、未安裝日志行為審計(jì)設(shè)備,未設(shè)置數(shù)據(jù)安全備份策略等其他網(wǎng)絡(luò)安全技術(shù)措施����,使醫(yī)院業(yè)務(wù)在互聯(lián)網(wǎng)上長(zhǎng)期處于“裸奔”狀態(tài)。 黑客通過(guò)互聯(lián)網(wǎng)攻破醫(yī)院系統(tǒng)后植入勒索病毒���,導(dǎo)致醫(yī)院業(yè)務(wù)全面“停擺”�����。 針對(duì)此案��,公安部門按照公安部“一案雙查”工作要求�����,對(duì)醫(yī)院未按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行安全保護(hù)義務(wù)的行為進(jìn)行查處����,并按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條之規(guī)定,對(duì)醫(yī)院處以罰款一萬(wàn)元���,對(duì)直接負(fù)責(zé)的主管人員處以罰款五千元的行政處罰���。 2019年1月�����,河南安陽(yáng)市某醫(yī)院因未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)��,造成業(yè)務(wù)系統(tǒng)被攻擊破壞,正常工作無(wú)法開(kāi)展���。公安機(jī)關(guān)對(duì)網(wǎng)絡(luò)攻擊行為開(kāi)展立案?jìng)刹榈耐瑫r(shí)����,依據(jù)《網(wǎng)絡(luò)安全法》第五十九條之規(guī)定�����,對(duì)醫(yī)院處以罰款五萬(wàn)元�����、直接負(fù)責(zé)人罰款五千元的行政處罰���。 數(shù)據(jù)安全成為醫(yī)院安全規(guī)劃和建設(shè)的重點(diǎn) 當(dāng)前�,醫(yī)療信息化的加速發(fā)展��,給人們就醫(yī)保健帶來(lái)極大便捷���,但同時(shí)也增加了醫(yī)療保健數(shù)據(jù)的泄漏的風(fēng)險(xiǎn)��,醫(yī)療數(shù)據(jù)安全狀態(tài)對(duì)整個(gè)社會(huì)的安全具有重大而深遠(yuǎn)的影響�����。近兩年�����,醫(yī)療數(shù)據(jù)泄露事件不斷發(fā)生��,大量的患者信息泄露����,帶來(lái)的后果非常嚴(yán)重。 為進(jìn)一步加強(qiáng)醫(yī)院信息安全���,各地加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度�。數(shù)據(jù)安全成為醫(yī)院安全規(guī)劃和建設(shè)的重點(diǎn)�����。 2019年5月���,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布。由于醫(yī)療行業(yè)的行業(yè)特殊性,在等保2.0發(fā)布之前�,醫(yī)療行業(yè)就已經(jīng)是等級(jí)保護(hù)測(cè)評(píng)的重點(diǎn)對(duì)象了。 等保制度2.0標(biāo)準(zhǔn)出臺(tái)后�����,國(guó)家和主管單位均對(duì)醫(yī)院信息網(wǎng)絡(luò)安全建設(shè)提出了進(jìn)一步的要求�����。加強(qiáng)數(shù)據(jù)安全成為醫(yī)院安全規(guī)劃和建設(shè)的重點(diǎn)�����。 加固醫(yī)院網(wǎng)絡(luò)安全刻不容緩 頂層設(shè)計(jì)和法律制度都已經(jīng)就位�,但反思和審視醫(yī)院信息化和網(wǎng)絡(luò)安全,尤其是借鑒新冠疫情防控管理中顯現(xiàn)出的短板和不足���。 三大短板: 醫(yī)院網(wǎng)絡(luò)信息安全意識(shí)不足�����。信息網(wǎng)絡(luò)安全仍然停留在信息技術(shù)部門�,甚至信息技術(shù)部門自身對(duì)網(wǎng)絡(luò)安全的系統(tǒng)認(rèn)識(shí)仍然不足����。醫(yī)院的信息系統(tǒng)用戶覺(jué)得信息安全離自己很遠(yuǎn)�,信息安全是信息技術(shù)部門的事情��。實(shí)際上�����,每個(gè)人�����、每個(gè)用戶都牽動(dòng)著網(wǎng)絡(luò)安全��。 對(duì)于信息技術(shù)部門���,也簡(jiǎn)單地認(rèn)為網(wǎng)絡(luò)安全僅是一項(xiàng)技術(shù)問(wèn)題��,是防和堵的安全設(shè)備堆壘��,平衡應(yīng)用和安全時(shí)只能防守�����,沒(méi)有將網(wǎng)絡(luò)安全當(dāng)成系統(tǒng)工程����。 醫(yī)院網(wǎng)絡(luò)安全管理能力嚴(yán)重不足��。醫(yī)院信息化建設(shè)模式導(dǎo)致網(wǎng)絡(luò)安全缺少整體規(guī)劃���。醫(yī)院信息化建設(shè)項(xiàng)目和產(chǎn)品實(shí)施方更加側(cè)重于應(yīng)用效果����,而忽視和弱化了信息安全和信息標(biāo)準(zhǔn)的落地和執(zhí)行�����,前置的產(chǎn)品測(cè)評(píng)和安全評(píng)估�,加上信息化建設(shè)項(xiàng)目缺少完整的工程管理規(guī)范流程,醫(yī)院信息化產(chǎn)品暫時(shí)未形成第三方行業(yè)準(zhǔn)入和監(jiān)管機(jī)制�����,信息化項(xiàng)目建設(shè)的隨意性較大����,建設(shè)過(guò)程中變動(dòng)較大,長(zhǎng)此下來(lái)����,信息化建設(shè)留下了非常多的安全漏洞與風(fēng)險(xiǎn)隱患����。 醫(yī)院網(wǎng)絡(luò)安全管理人才嚴(yán)重缺乏��,更缺少系統(tǒng)的安全管理實(shí)踐����,沒(méi)有實(shí)踐的歷練,再加上意識(shí)不足�,造成適合安全崗位人才很難配置。缺少規(guī)劃�,缺少人才, 網(wǎng)絡(luò)安全應(yīng)急處置體系不健全��。網(wǎng)絡(luò)信息安全應(yīng)急處置體系在信息工程技術(shù)層面尚不完善��,延伸到系統(tǒng)用戶層面的意識(shí)和手段更加不完善�,很多用戶遇到網(wǎng)絡(luò)應(yīng)急事件無(wú)所適從,信息工程部門應(yīng)急處置技術(shù)和能力儲(chǔ)備難以滿足快速響應(yīng)��。疫情防控出現(xiàn)了各種短板���,相對(duì)成熟的應(yīng)急管理體系尚存在巨大挑戰(zhàn)�,還在成長(zhǎng)中的網(wǎng)絡(luò)信息安全應(yīng)急處置體系建設(shè)任重而道遠(yuǎn)。 三招應(yīng)對(duì): 從國(guó)家總體安全觀的戰(zhàn)略高度加強(qiáng)醫(yī)院網(wǎng)絡(luò)信息安全的認(rèn)識(shí)�����。醫(yī)院是重要社會(huì)民生領(lǐng)域��,信息和網(wǎng)絡(luò)安全既關(guān)系到這個(gè)行業(yè)的穩(wěn)定運(yùn)轉(zhuǎn)�,同時(shí)醫(yī)院中還生產(chǎn)記錄著大量的生物信息��,這些信息甚至可能關(guān)乎到一個(gè)人種的安全�。安全是底線思維,縱使短期能力做不到��,也要在管理上時(shí)刻關(guān)照到��,不可輕視����,不能放松。 從程序上把安全意識(shí)���、安全能力����、安全管理方法不斷固化下來(lái)。要從完善信息化建設(shè)項(xiàng)目的流程上入手�����,把網(wǎng)絡(luò)信息安全從設(shè)計(jì)階段就啟動(dòng)�,納入全流程和全過(guò)程管理,從產(chǎn)品的審查��、安全方案設(shè)計(jì)評(píng)審�����、建設(shè)過(guò)程中安全方案的落地�����,驗(yàn)收 階段的安全測(cè)評(píng)�,應(yīng)用階段的安全管理,就像站崗和疫情防控測(cè)體溫一樣����,把安全崗哨通過(guò)流程化的方式建立起來(lái),縱然能力不足���,但布局已定�,一定會(huì)促進(jìn)醫(yī)院網(wǎng)絡(luò)安全管理。 在實(shí)踐中鍛煉能力和積累方法����。從安全教育培訓(xùn)入手、從安全建設(shè)規(guī)劃實(shí)施��,從網(wǎng)絡(luò)安全的日常監(jiān)測(cè)��、評(píng)估��、管理和持續(xù)改進(jìn)一步步做起�����,對(duì)照網(wǎng)絡(luò)安全法和等級(jí)保護(hù)制度���,依法依規(guī)逐步推進(jìn),建設(shè)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)�,建立網(wǎng)絡(luò)安全定期評(píng)估制度,研判和分析日常網(wǎng)絡(luò)安全事件�����,及時(shí)堵塞安全漏洞����,平衡應(yīng)用需求與網(wǎng)絡(luò)安全�����,開(kāi)展應(yīng)急演練�,完善應(yīng)急處置流程�,這些能力和方法的體現(xiàn)形式既有網(wǎng)絡(luò)安全的信息化產(chǎn)品,也有網(wǎng)絡(luò)安全測(cè)評(píng)管理咨詢�,還要形成安全評(píng)估的系列方法,同時(shí)完善和豐富安全制度�����,完善應(yīng)急處置操作流程等等�。
|
