安全資訊

近日合肥某私立醫院服務(wù)器因在建設過(guò)程中未進(jìn)行等保測評備案突然陷入癱瘓,醫院業(yè)務(wù)全面“停擺”，合肥網(wǎng)警接警后立即啟動(dòng)網(wǎng)絡(luò )安全應急響應預案,組織網(wǎng)安刑偵民警、勘驗民警、 管理民警、 技術(shù)支持專(zhuān)家趕赴現場(chǎng)對該案件進(jìn)行調查核實(shí)。經(jīng)過(guò)技術(shù)專(zhuān)家調查核實(shí),該私立醫院因未按照網(wǎng)絡(luò )安全等級保護制度要求履行安全保護義務(wù),黑客通過(guò)互聯(lián)網(wǎng)攻破醫院系統后植入勒索病毒，導致醫院業(yè)務(wù)全面“停擺”。

據了解該醫院HIS、LIS、 PACS、 EMR等后臺系統業(yè)務(wù)以及微信公眾號后臺、醫院網(wǎng)站等主要系統業(yè)務(wù)全部放置在同一套服務(wù)器中，醫院未安裝邊界防護設備、未安裝日志行為審計設備，未設置數據安全備份策略等其他網(wǎng)絡(luò )安全技術(shù)措施，使醫院業(yè)務(wù)在互聯(lián)網(wǎng)上長(cháng)期處于“裸奔"狀態(tài)。公安部門(mén)按照公安部“一案雙查”工作要求,對醫院未按照網(wǎng)絡(luò )安全等級保護制度的要求履行安全保護義務(wù)的行為進(jìn)行查處，并按照《中華人民共和國網(wǎng)絡(luò )安全法》第五十九條之規定，對醫院處以罰款一萬(wàn)元，對直接負責的主管人員處以罰款五千元的行政處罰。

隨著(zhù)互聯(lián)網(wǎng)技術(shù)和相關(guān)行業(yè)發(fā)展的日新月異,新的網(wǎng)絡(luò )攻擊手段層出不窮，令網(wǎng)絡(luò )安全的內涵和外延變得愈加豐富,信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開(kāi)展信息安全等級保護工作是保護信息化發(fā)展、維護信息安全的根本保障,是信息安全保障工作中國家意志的體現。信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個(gè)階段。信息系統建設完成后，運營(yíng)、使用單位或者其主管部門(mén)應當選擇符合國家要求的等級保護測評機構，依據《信息系統安全等級保護測評要求》等技術(shù)標準,定期對信息系統安全等級狀況開(kāi)展等級測評。

根據國家衛健委《全國醫院信息化建設標準與規范(試行)》，明確了全國二級以上醫院信息化建設的建設內容和建設要求。未來(lái)全國醫院信息化應用發(fā)展要求，針對二級醫院、三級乙等醫院和三級甲等醫院的臨床業(yè)務(wù)、醫院管理等工作，覆蓋醫院信息化建設的主要業(yè)務(wù)和建設要求，從軟硬件建設、安全保障、新興技術(shù)應用等方面規范了醫院信息化建設的主要內容和要求。建設標準按照二級、三級乙等和三級甲等醫院提出了具體要求。二級及以上醫院在醫院信息化建設過(guò)程中，要依據《建設標準》，符合電子病歷基本數據集、電子病歷共享文檔規范、以及基于電子病歷的醫院信息平臺技術(shù)規范等衛生健康行業(yè)信息標準，滿(mǎn)足《醫院信息平臺應用功能指引》、《醫院信息 化建設應用技術(shù)指引》和相關(guān)醫院數據上報管理規范的要求。婦幼保健院、專(zhuān)科醫院可參照執行。

各省公安局網(wǎng)安總隊將依據《網(wǎng)絡(luò )安全法》等法律法規的相關(guān)規定,進(jìn)一步加大網(wǎng)絡(luò )安全監管力度，對未落實(shí)網(wǎng)絡(luò )安全等級保護制度、網(wǎng)絡(luò )實(shí)名認證、侵害公民個(gè)人信啟等違法行為,以及從事危害網(wǎng)絡(luò )安全的活動(dòng)，或者為他人從事危害網(wǎng)絡(luò )安全的活動(dòng)提供技術(shù)支持等幫助的違法行為嚴格依法查處,構成犯罪的將依據《刑法修正案(九)》追究刑事責任。切實(shí)維護網(wǎng)絡(luò )信息安全和互聯(lián)網(wǎng)清朗空間。