一、?項(xiàng)目建設(shè)背景

近年來(lái)針對(duì)醫(yī)院等醫(yī)療系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)攻擊一直處于活躍狀態(tài)且呈現(xiàn)持續(xù)上升態(tài)勢(shì)，整個(gè)醫(yī)療行業(yè)信息安全形勢(shì)不容樂(lè)觀。其中，在我國(guó)多地醫(yī)院持續(xù)檢測(cè)出勒索病毒，有些醫(yī)院出現(xiàn)患者信息被盜等情況。相關(guān)檢測(cè)報(bào)告顯示，僅在全國(guó)三甲醫(yī)院中，今年就有數(shù)百家醫(yī)院檢出了勒索病毒，全國(guó)各地均有三甲醫(yī)院“中招”。

2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布施行，該法第二十一條明確規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)。

2019年5月13日，等級(jí)保護(hù)2.0系列標(biāo)準(zhǔn)正式發(fā)布，標(biāo)志著等級(jí)保護(hù)2.0的真正到來(lái)。

XXXX醫(yī)院信息化工作經(jīng)過(guò)多年的發(fā)展，信息技術(shù)已得到了廣泛的應(yīng)用，主要業(yè)務(wù)系統(tǒng)如HIS，PACS，LIS，RIS，EMR等都己實(shí)施并應(yīng)用，為醫(yī)院發(fā)展和業(yè)務(wù)應(yīng)用提供了較為良好的支撐。

同時(shí)，隨著數(shù)字化醫(yī)院評(píng)審標(biāo)準(zhǔn)的完善以及醫(yī)院等級(jí)保護(hù)測(cè)評(píng)政策要求的落實(shí)，醫(yī)療衛(wèi)生系統(tǒng)圍繞HIS、EMR、LIS、PACS等核心業(yè)務(wù)系統(tǒng)深入開(kāi)展信息安全等級(jí)保護(hù)工作，并在此基礎(chǔ)上指引后續(xù)信息化安全建設(shè)方向。

通過(guò)對(duì)醫(yī)院信息化現(xiàn)狀調(diào)研、分析，結(jié)合等級(jí)保護(hù)2.0版在安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維環(huán)境十個(gè)方面的要求，協(xié)助醫(yī)院逐步完善信息安全組織、落實(shí)安全責(zé)任制，開(kāi)展管理制度建設(shè)、技術(shù)措施建設(shè)，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，使得醫(yī)院信息系統(tǒng)安全管理水平提高，安全保護(hù)能力增強(qiáng)，安全隱患和安全事故減少，有效保障信息化健康發(fā)展。

為了落地以上建設(shè)目標(biāo)，保證信息系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行，我們對(duì)照《二級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)實(shí)施細(xì)則》、《電子病歷評(píng)審》、《河南省數(shù)字化醫(yī)院建設(shè)指南》、《河南省數(shù)字化醫(yī)院評(píng)審標(biāo)準(zhǔn)》等要求，對(duì)XXXX醫(yī)院整體信息系統(tǒng)進(jìn)行了統(tǒng)一梳理和信息安全防范體系規(guī)劃，旨在保證醫(yī)院信息系統(tǒng)各組成部分能夠高效協(xié)同，對(duì)業(yè)務(wù)與應(yīng)用提供強(qiáng)有力支撐；同時(shí)還需要確保在總體方案規(guī)劃下的分步實(shí)施。

二、?醫(yī)療行業(yè)相關(guān)信息安全政策分析

2.1、《網(wǎng)絡(luò)安全法》

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化。《網(wǎng)絡(luò)安全法》是我國(guó)第一部網(wǎng)絡(luò)安全領(lǐng)域的法律，是保障網(wǎng)絡(luò)安全的基本法。對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者，提出了更高的要求，同時(shí)增加了對(duì)違法個(gè)人的追責(zé)。

醫(yī)療機(jī)構(gòu)作為信息化的受益者，同時(shí)，更肩負(fù)了捍衛(wèi)信息系統(tǒng)安全的職責(zé)。

其中第21條明確規(guī)定：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄漏或者被竊取、篡改。

醫(yī)療機(jī)構(gòu)如果未通過(guò)相對(duì)應(yīng)的等級(jí)保護(hù)級(jí)別，一旦發(fā)生網(wǎng)絡(luò)安全事故，將被處以警告和限期整改的處罰。同時(shí)對(duì)直接責(zé)任人罰款還有限期整改的處罰。

醫(yī)療機(jī)構(gòu)在利用信息技術(shù)提升整體運(yùn)營(yíng)效率的同時(shí)，也會(huì)留存大量的患者隱私數(shù)據(jù)，并且為了方便患者通過(guò)網(wǎng)絡(luò)查詢部分?jǐn)?shù)據(jù)，還會(huì)連通內(nèi)外網(wǎng)，這就會(huì)涉及到信息發(fā)布和隱私數(shù)據(jù)的泄露的問(wèn)題。

第47條，這一條是涉及到網(wǎng)絡(luò)信息安全方面的一條內(nèi)容，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)該加強(qiáng)用戶發(fā)布信息管理的內(nèi)容的監(jiān)控，禁止發(fā)布或者傳輸信息。如果發(fā)現(xiàn)的話應(yīng)該予以立即的停止傳輸，這實(shí)際上相當(dāng)于網(wǎng)絡(luò)運(yùn)營(yíng)者有阻止違法信息組織這樣的一個(gè)義務(wù)。

與之對(duì)應(yīng)的法則就是第68條，網(wǎng)絡(luò)運(yùn)營(yíng)者如果沒(méi)有停止傳輸采取消除的措施，輕則整改警告，重則罰款，最嚴(yán)重可以達(dá)到暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站，吊銷相關(guān)營(yíng)業(yè)資質(zhì)，對(duì)直接責(zé)任人會(huì)處以罰款等相應(yīng)的處罰。對(duì)于信息的發(fā)布者也適用于本法則。

綜上，醫(yī)療機(jī)構(gòu)作為信息系統(tǒng)的建設(shè)者、使用者、信息的發(fā)布者，必須對(duì)信息安全足夠重視，一旦違法相關(guān)法律條文，醫(yī)療機(jī)構(gòu)和直接責(zé)任人都將被追責(zé)。

同時(shí)，網(wǎng)絡(luò)安全法也充分肯定了等級(jí)保護(hù)制度以評(píng)促建的思路，這就為等級(jí)保護(hù)2.0的順利實(shí)施奠定了法律的基礎(chǔ)。

2.2、等保2.0

??等保2.0分為技術(shù)、管理兩大部分。

1）技術(shù)部分可以通過(guò)新增安全設(shè)備，調(diào)試、整改現(xiàn)有網(wǎng)絡(luò)設(shè)備的方式實(shí)現(xiàn)。

2）管理部分則需要制定較為完備的安全管理體系、明確安全責(zé)任人等行政手段進(jìn)行約束，以安全服務(wù)的形式進(jìn)行交付。

2.2.1、技術(shù)要求

?2.2.2、管理要求

?通過(guò)提供安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)營(yíng)管理五個(gè)部分入手，提供安全服務(wù)，幫助客戶完善等級(jí)保護(hù)提出的相關(guān)管理要求。

?