随着网络应用的深入发展,信息安全日益成为一个重要而紧迫的问题,对关乎公众健康和生命的医疗机构来说更是如此。2011年底,原卫生部发布《卫生行业信息安全等级保护工作的指导意见》和《关于全面开展卫生行业信息安全等级保护工作的通知》,要求三级甲等医院在2015年12月30日前完成信息安全等级保护建设整改工作,并通过三级等级测评。此次政策的出台,对于医疗机构改进信息化建设、加强信息安全有着重要意义。
安全风险
2008年6月,深圳市忽然出现了12万一张的光盘,而且是一口价销售,拒绝还价。光盘之所以卖得如此之贵,是因为光盘里存有当年深圳市预产期在3月~8月、共4万多条孕产妇的信息。其时,已有多名孕产妇受到商家“阶段性”推销的骚扰:怀孕3个月后孕妇学校会来联系,接着是家政服务商,而宝宝快到百日时,儿童摄影的推销电话又……让孕产妇不胜其烦。事后的调查发现,是深圳市一家保健医院的内部人员利用职务之便,将该院信息系统中所有孕妇和婴儿的信息盗取一空,整个过程只用了5分钟。然后,便有了市场上天价光盘的出现。
信息化在给医疗机构带来便利的同时,也存在着数据安全隐患,上述严重的信息泄露事件给医院的信息安全敲响了警钟。
除了信息泄露,威胁医院信息安全的问题还有网络病毒。随着网络的迅速发展,蠕虫病毒引发的安全事件此起彼伏,且有愈演愈烈之势。某医院由于内网病毒泛滥,带宽被病毒数据包占用,不仅上网速度慢,更影响到了服务器的正常工作。
医院内部人员统方是另一个威胁。2010年5月23日,一张神秘的清单在网上曝光,其中列出了宁波市某医院45名医生的工号、名字和所属科室,后面还注明了他们使用药品氨曲南的数量和总价。6月3日,宁波市卫生局向媒体公布了处罚决定:19名收受药品回扣的医生中,两名医生停止执业活动6个月,6名医生受到警告处分。虽然腐败得到惩戒,大快人心,但所暴露的潜在统方威胁值得警惕。
加强信息安全、消除安全隐患,已经成为医院必须要面对的课题。
政策安排
在信息化建设过程中,与业务性系统相比,信息安全并没有得到足够的重视。在2012年8月举办的中国医院论坛“数字化建设”分论坛上,著名医疗IT专家李包罗说:“这段时间,我参加了7个信息系统的技术规范的制订会,我发现,有的系统跟安全性毫不搭界,技术规范里面没有跟技术、安全有关系的话语,哪怕有,也只是一两句话带过。制订技术规范的人,应该说已经是业界比较有经验、比较有水平的专家,如果他们都不对安全问题给予足够的重视,那将是非常可怕的。”
在同一个会议上,国家卫计委统计信息中心主任孟群直言:“我国卫生信息化建设还存在信息安全保障建设的滞后。”
在政府层面,2007年公安部印发《信息安全等级保护管理办法》,决定“在全社会范围推行‘信息安全等级保护’政策”,2009年公安部印发《关于开展信息安全等级保护安全建设整改工作的指导意见》,对信息安全等级保护工作提出了要求。
在医疗领域,2010年原卫生部制定的《卫生信息化建设指导意见与发展规划(2011-2015)》(“十二五”规划)明确提出了我国医疗信息化发展的蓝图和发展方向“35212工程”,建设信息安全体系即是最后一个“2”中的一项。
医疗卫生系统的相关政策相继出台。2011年12月,“为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作”,原卫生部相继发布了《卫生行业信息安全等级保护工作的指导意见》和《关于全面开展卫生行业信息安全等级保护工作的通知》,明确指出,“三级甲等医院的核心业务信息系统”等五类卫生信息系统等保原则上不低于三级,要求“卫生行业各单位……要于2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。”
原卫生部、国家中医药管理局在2012年6月15日发布的《关于加强卫生信息化建设的指导意见》指出,要加强卫生信息安全保障体系建设,落实国家信息安全等级保护制度。加强卫生信息系统安全风险评估工作,确保信息安全和系统运行安全。继续完善居民电子健康档案、电子病历等涉及居民隐私的信息安全体系建设,建设以密码技术为基础的信息安全保障和网络信任体系,推广数字证书和电子签名应用,实现信息共享与隐私保护同步发展。
据悉,国际卫计委一直在推进这方面的工作,包括制度设计、级别保护等相关的概念和边界已经逐步建立起来。
国家卫计委统计信息中心副主任王才有表示,首先,政府层面制定了统一信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工作的实施进行监督和指导。
其次,在用户层面,公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护的监督、指导,保障信息系统安全。
最后,在社会层面,关于信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,应依据国家有关管理规定和技术标准开展相应工作,并接受国家信息安全职能部门的监管。
在政策逐步建立的过程中,医疗机构自身建设亦十分重要。王才有说:“信息安全是专门的技术,但医院应该培养自己的安全人才,我看到许多医院还没有这样做,存在很大的风险。”
先进经验
目前,信息安全已经引起了医疗机构的高度重视,也有医院早早成为信息安全建设方面的先行者。
2012年11月初,中国医学科学院阜外心血管病医院信息中心主任赵韡接到通知,其医院信息系统的安全保护能力“基本符合等级保护三级要求,符合项为87.8%”。按照规定,符合项超过80%即为通过了等级保护三级。也就是说,阜外医院完成了国家卫生行政部门要求2015年底完成的工作。赵韡介绍,据他了解,目前除了阜外医院外,国内还没有其他医院通过等保三级。
在接受《e医疗》采访时,赵韡表示,之所以能提前通过等保三级,跟医院自主研发信息系统密不可分。他说:“我院从2008年就按照ISO/IEC27001(信息安全管理实用规则)的标准在做,2009年公安部有关信息安全等保要求的《指导意见》出台后,我院就开始按照等保要求进行改造。”
赵韡透露,2011年阜外医院的信息系统基本达到了公安部要求的二级水平,在卫生部发布三甲医院信息系统安全要达到三级等保的规定后,阜外医院就现有系统进行了改造升级,因为之前一直在做相关的工作,所以通过三级等保基本上是“一件水到渠成的事”。
推荐访问: 信息安全 等级 保护上一篇:黑客攻击人脑的秘技
下一篇:工业控制系统信息安全问题不容忽视
XX委高度重视党校的建设和发展,出台《创建全省一流州市党校(行政学院)实施方案》及系列人才培养政策,为党校人才队伍建设提供了有力的政策支撑。州委党校在省委党校的悉心指导下、州委的正确领导下,深入贯彻落
为推动“不忘初心、牢记使命”主题教育常态化,树牢“清新简约、务本责实、实干兴洛”作风导向,打造忠诚干净担当、敢于善于斗争的执纪执法铁军,经县纪委常委会会议研究,决定在全县纪检监察系统开展“转变作风工作
为进一步发展壮大农村集体经济,增强村级发展活力,按照中共XXX市委抓党建促乡村振兴工作领导小组《关于印发全面抓党建促乡村振兴四个工作计划的通知》要求,工作队与村“两委”结合本村实际,共同研究谋划xx村
今年来,我区围绕“产城融合美丽XX”总体目标,按照“城在林中,水在城中,山水相连,林水相依”以及“城乡一体、景城一体、园城一体”的建设思路,强力推进城市基础设施建设、棚户区改造、房地产开发和城市风貌塑
同志们:新冠疫情发生至今已有近三年时间。三年来,在广大干群的共同努力下,我们坚决打好疫情防控阻击战,集团公司范围内未发生一起确诊病例,疫情防控工作取得了阶段性胜利。当前国际疫情仍在扩散蔓延,国内疫情多
我是毕业于XX大学的定向选调生,当初怀着奉献家乡、服务人民的初心回到XX,在市委的关心关爱下,获得了这个与青年为友的宝贵历练机会。一年感悟如下。一要对党忠诚,做政治坚定的擎旗手。习近平总书记指出,优秀
同志们:今天召开这个会议,主要任务是深入学习贯彻习近平总书记重要指示批示精神,以及李克强总理批示要求,认真落实全国安全生产电视电话会议和全省、全市安全生产电视电话会议精神,研究我县安全生产和安全隐患大
2022年市委政研室机关党的建设工作的总体要求是:坚持以XXX新时代中国特色社会主义思想为指导,全面贯彻党的XX届X中X会和省、市第十二次党代会精神,自觉运用党的百年奋斗历史经验,弘扬伟大建党精神,深
同志们:今天,我们在这里召开市直机关基层党建示范点工作会议,一方面是对各示范点单位进行表彰授牌,另一方面是想通过这种会议交流的方式,给大家提供一个相互学习、取长补短的平台和机会。市直工委历来把创建基层
新冠疫情暴发以来,学校党委坚决贯彻习近平总书记关于疫情防控工作的指示要求和党中央的决策部署,严格执行×××部、×××厅关于疫情防控的系列要求,认真落实驻地防疫部门的工作举措,继承发扬优良传统,以最高标