医疗行业如何开展网络安全等级保护工作

　　当前，我国疫情防控已经取得阶段性的胜利，但由于境外疫情加速扩散，国内形势依然严峻。这场突如其来的攻坚战打乱了医疗资源的正常使用秩序，暴露了我国公共卫生事件的应急短板。在这特殊时期，医疗信息化成为助力抗击疫情的得力助手，如互联网+医疗平台、大数据平台的使用加速扩大，这些平台通过开展线上义诊、名医直播等方式，为公众提供线上问诊服务，解决了医疗资源合理利用问题。而互联网+医疗平台、大数据平台的使用，使得越来越多的医疗数据存储在互联网中，为医疗行业带来新的网络安全问题，加剧了医疗行业网络安全的复杂形势。

　　政策背景

　　面对医疗行业网络安全复杂严峻的形势，国家相关部门高度重视医疗行业的网络安全工作，相继推出一系列政策法规要求落实网络安全等级保护制度。

　　2018年7月国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，规定承载医疗大数据的平台必须落实等级保护制度，健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。

　　2018年9月国家卫健委发布《关于印发互联网诊疗管理办法（试行）等3个文件的通知》，要求开展互联网诊疗服务的医疗机构必须实施第三级信息安全等级保护。

　　2019年11月国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》，在信息化建设方面，医院核心业务系统达到“国家信息安全等级保护制度三级要求”。

　　从近两年国家颁布的政策法规中可以看出，国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。

　　中国软件评测中心网安中心对医疗行业开展等级保护工作的建议

　　一、合理开展系统定级备案工作

　　医疗行业目前急需落实网络安全等级保护的系统有两类，一是传统核心业务系统，二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。 中国软件评测中心网安中心整理了目前有关部门发布的意见。

　　早在2011年，还是等级保护1.0时代，原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》明确以下重要卫生信息系统安全保护等级原则上不低于三级：

　　1.卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；

　　2.国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；

　　3.三级甲等医院的核心业务信息系统；

　　4.卫生部网站系统；

　　5.其他经过信息安全技术专家委员会评定为第三级以上（含第三级的信息系统）。

　　但随着新兴技术的发展，等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列，显然2011年的指导意见已经不那么充分了，好在上海市卫生健康委员会2019年1月发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》，进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级，包括以下：

　　1.核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等；

　　2.区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。

　　3.满足如下条件之一的信息系统：

　　a、承载公民个人信息的信息系统；

　　b、承载核心业务信息（包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等）的信息系统；

　　c、与核心业务系统发生双向数据交换或业务协同的信息系统（包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等）；

　　d、承载国家法律法规需要落实敏感信息保护的信息系统；

　　e、承载医院对外形象宣传的信息系统或医院重要信息（包含但不限于医院门户网站、统一登录平台、移动OA、移动App等）；

　　f、与其他按照等级保护要求运行维护的信息系统发生双向数据交换或业务协同的信息系统。