安全資訊

伴隨醫療行業(yè)信息化建設的不斷發(fā)展，信息系統在其中扮演的角色也越來(lái)越重要，其所面臨的安全挑戰也不斷涌現，患者隱私泄露、掛號系統中斷以及木馬病毒攻擊直接威脅到醫療行業(yè)運行秩序和信息系統安全。

在等保2.0時(shí)代，醫療行業(yè)的等級保護工作變得更加重要，等保2.0將云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統等新技術(shù)、新應用的場(chǎng)景列入標準范圍。但是由于醫療行業(yè)的行業(yè)特征和特殊性，因此，今天的文章我們就來(lái)簡(jiǎn)單了解醫療行業(yè)等級保護工作的有關(guān)內容。

早在2011年，原衛生部就下發(fā)了《關(guān)于全面開(kāi)展衛生行業(yè)信息安全等級保護工作的通知》，要求三級甲等醫院的核心業(yè)務(wù)信息系統信息安全保護等級不低于第三級，同時(shí)要求各醫院于2015年12月30日前完成信息安全等級保護建設整改工作，并通過(guò)等級測評。

隨后從2017年開(kāi)始，我國網(wǎng)絡(luò )安全建設步伐加速前進(jìn)，尤其是2018年，醫院信息建設步伐加速，國務(wù)院辦公廳制定了《關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫療健康”發(fā)展的意見(jiàn)》（國辦發(fā)〔2018〕26號），要求建成省、市、縣三級全民健康信息平臺，二級以上醫院全部接入信息平臺，支撐全民健康管理和決策，提供便民惠民的健康醫療服務(wù)。再到2020年，“互聯(lián)網(wǎng)+醫療服務(wù)”模式基本形成。

● 高速的響應速度和聯(lián)機事務(wù)處理能力

● 醫療信息數據的復雜性

● 信息的安全、保密度要求高

● 數據量大

● 穩定性要求高

● 瞬時(shí)并發(fā)訪(fǎng)問(wèn)量大

● 系統后期數據維護工作量大

● 傳統存儲無(wú)法支持高并發(fā)訪(fǎng)問(wèn)

● 蠕蟲(chóng)、病毒的入侵導致的系統故障等信息安全事件

● 人為誤操作導致的數據丟失事件

● 業(yè)務(wù)系統架構存在單點(diǎn)故障點(diǎn)，存儲故障易導致業(yè)務(wù)中斷和數據丟失

● 傳統備份數據恢復事件長(cháng)

從上述內容我們總結一下對醫療行業(yè)信息系統等級保護的要求：

HIS、PACS等平臺屬于為國計民生提供服務(wù)的信息系統，其服務(wù)范圍為區域范圍內的普通公民、醫院等。該業(yè)務(wù)系統遭到破壞后，所侵害的客體是公民、法人和其他組織的合法權益，同時(shí)也侵害社會(huì )秩序和公共利益?？陀^(guān)方面的侵害結果表現為：1、影響正常工作的開(kāi)展，導致業(yè)務(wù)能力下降；2、造成社會(huì )不良影響，為公眾服務(wù)的醫療衛生機構的業(yè)務(wù)受到影響。

根據《定級指南》的要求，出現上述兩個(gè)侵害客體時(shí)，優(yōu)先考慮社會(huì )秩序和公共利益，另外一個(gè)不做考慮。上述結果的程度表現為：對社會(huì )秩序和公共利益造成一般損害。

其中HIS、PACS等相關(guān)政策要求：

《電子病歷基本規范（試行）》第十六條第一項規定：

1、具備保障電子病歷數據安全的制度和措施，有數據備份機制，有條件的醫療機構應當建立信息系統災備體系。應當能夠落實(shí)系統出現故障時(shí)的應急預案，確保電子病歷業(yè)務(wù)的連續性；

《電子病歷基本規范2017》第十九條規定：

2、門(mén)（急）診電子病歷由醫療機構保管的，保存時(shí)間自患者最后一次就診之日起不少于15年；住院電子病歷保存時(shí)間自患者最后一次出院之日起不少于30年。

《醫學(xué)影像診斷中心管理規范（試行）》規定：

3、影像資料保存10年以上，至少3年在線(xiàn)，可供快速調閱、瀏覽和診斷使用。按照衛生計生行政部門(mén)有關(guān)要求及時(shí)上傳影像資料數據信息。 

綜合概括起來(lái)就是要達到等級保護的要求，除了醫療行業(yè)信息系統的機房按照標準化建設外，還要再做好三方面的工作：

醫療行業(yè)信息系統的等級保護是關(guān)乎國計民生的重要工作，多方面因素導致了信息系統等級保護的工作思路也要與時(shí)俱進(jìn)的變化，做好等級保護工作，通過(guò)等級保護測評，都是為了讓醫療行業(yè)的信息系統在網(wǎng)絡(luò )安全防護上更加牢固。