摘? ?要：按照《中華人民共和國網(wǎng)絡(luò)安全法》（本文簡稱《網(wǎng)絡(luò)安全法》）及衛(wèi)生行業(yè)網(wǎng)絡(luò)安全等級保護相關(guān)指導(dǎo)文件要求，在醫(yī)院開展三級等級保護工作。文章通過實踐探討了醫(yī)院網(wǎng)絡(luò)安全管理體系建立的過程，對同類醫(yī)院的等級保護建設(shè)具有一定的參考價值。

關(guān)鍵詞：網(wǎng)絡(luò)安全;等級保護;管理

中圖分類號： TP393? ? ? ? ? 文獻標識碼：A

Abstract： According to the requirements of the Cybersecurity law and the related guidance documents of the cybersecurity level protection in medical system， the three-level protectionwork is carried out in hospitals. The process of establishing the cybersecurity management system in hospitals is discussed through practice， which is helpful to the construction of the similar hospitals.

Key words： cybersecurity ;level protection;management

1 引言

2011年，衛(wèi)生部發(fā)出了關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知，對衛(wèi)生行業(yè)信息系統(tǒng)等級保護工作提出了具體要求。2017年6月1日正式實施的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第21條規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度。自2019年12月1日起，正式實施的《網(wǎng)絡(luò)安全等級保護級別要求GB/T 22239-2019》諸多標準，標志著網(wǎng)絡(luò)安全等級保護正式進入2.0時代（以下簡稱等級保護2.0）。

本文結(jié)合天津市泰達醫(yī)院網(wǎng)絡(luò)安全等級保護2.0建設(shè)及測評工作的實踐，針對其中的管理體系建設(shè)方面進行深入探討。

2 網(wǎng)絡(luò)安全等級保護

2.1 基本概念

網(wǎng)絡(luò)安全等級保護是指對網(wǎng)絡(luò)實施分級保護、分級監(jiān)管，對網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)安全產(chǎn)品實行按等級管理，對網(wǎng)絡(luò)中發(fā)生的安全事件分等級響應(yīng)、處理。這里的“網(wǎng)絡(luò)”是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的，按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)，包括網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)、數(shù)據(jù)資源等。結(jié)合我國有關(guān)的法規(guī)和文件，“網(wǎng)絡(luò)安全”與“信息安全”具有相同的內(nèi)涵。

2.2 等級保護2.0主要變化

等級保護2.0是在過去10年開展信息安全等級保護工作的基礎(chǔ)上進行完善，核心標準包括《網(wǎng)絡(luò)安全等級保護基本要求GB/T 22239-2019》《網(wǎng)絡(luò)安全等級保護測評要求GB/T28448-2019》《網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求GB/T25070-2019》《網(wǎng)絡(luò)安全等級保護實施指南GB/T 25058-2019》等。等級保護2.0的標準是注重全方位主動防御、動態(tài)防御、整體防控和精準防護，實現(xiàn)了對云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制信息系統(tǒng)等保護對象的全覆蓋。

2.3 網(wǎng)絡(luò)安全等級保護工作流程

網(wǎng)絡(luò)安全等級保護的工作流程如圖1所示。

在網(wǎng)絡(luò)安全等級保護工作中，一般可按照該流程按順序依次進行定級、備案、建設(shè)整改、測評等工作。但在建設(shè)整改階段，僅通過自評往往不足以對自身網(wǎng)絡(luò)安全狀況有較準確的認識，不能有針對性的進行建設(shè)整改。因此，對于自身技術(shù)能力薄弱的單位建議首先進行等保測評，由專業(yè)公司對系統(tǒng)物理環(huán)境、主機、網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理制度和人員等方面，進行綜合測評，以期發(fā)現(xiàn)信息系統(tǒng)和等級保護標準的差距及存在的安全隱患，為后續(xù)的安全建設(shè)、整改工作提供參考依據(jù)。

3 醫(yī)院網(wǎng)絡(luò)安全等級保護建設(shè)常見問題

根據(jù)網(wǎng)絡(luò)安全等級保護工作行業(yè)指導(dǎo)、屬地管理要求，天津市衛(wèi)計委專門制定了信息系統(tǒng)安全等級保護工作實施指南，有效地推動了各醫(yī)療機構(gòu)等級保護工作的開展。

網(wǎng)絡(luò)安全等級保護建設(shè)的要求包括基本技術(shù)要求和基本管理要求，兩者不可分割。但在醫(yī)院具體落實網(wǎng)絡(luò)安全等級保護工作中，由于對網(wǎng)絡(luò)安全工作認識不足，許多醫(yī)院存在一種偏差：重技術(shù)輕管理。在開展網(wǎng)絡(luò)安全等級保護中愿意花大量資金購買網(wǎng)絡(luò)安全設(shè)備，認為有了安全設(shè)備就萬無一失，疏忽管理體系的建立，往往采購了大量的網(wǎng)絡(luò)安全產(chǎn)品后，仍然發(fā)生網(wǎng)絡(luò)安全事故，達不到網(wǎng)絡(luò)安全的最終目標。

在等級保護2.0建設(shè)中，管理要求分類體現(xiàn)從要素到活動的綜合管理思想。管理機構(gòu)需要的“機構(gòu)”“制度”和“人員”三要素缺一不可，同時還應(yīng)對系統(tǒng)建設(shè)整改過程中和運行維護過程中的重要活動，實施控制和管理。在網(wǎng)絡(luò)安全相關(guān)技術(shù)日新月異進步的形勢面前，做好網(wǎng)絡(luò)安全等級保護工作“三分靠技術(shù)，七分靠管理”。只有結(jié)合醫(yī)院自身的實際情況，建立起比較完備的管理體系，才能有效的保障網(wǎng)絡(luò)安全。

4 醫(yī)院網(wǎng)絡(luò)安全等級保護管理體系建設(shè)實踐

醫(yī)院建設(shè)有HIS、電子病歷、PACS、LIS等眾多信息系統(tǒng)，前期缺乏專門負責網(wǎng)絡(luò)安全的工作人員，所以網(wǎng)絡(luò)安全的管理屬于薄弱環(huán)節(jié)。因此，在網(wǎng)絡(luò)安全等級保護工作中，結(jié)合自身情況，按照定級、備案、等保測評、建設(shè)整改的步驟開展工作，醫(yī)院HIS及電子病歷系統(tǒng)最終被定級為三級系統(tǒng)。在采購了相應(yīng)的網(wǎng)絡(luò)安全設(shè)備后，大力加強網(wǎng)絡(luò)安全管理體系建設(shè)成為最重要的工作內(nèi)容，具體做法有六方面。

4.1 落實網(wǎng)絡(luò)安全責任制

首先將原信息化領(lǐng)導(dǎo)小組改為網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，該小組作為院級網(wǎng)絡(luò)安全領(lǐng)導(dǎo)機構(gòu)，明確了責任領(lǐng)導(dǎo)和責任人員，建立了醫(yī)院信息安全管理總綱。同時，調(diào)整了信息部崗位和人員職責，落實了網(wǎng)絡(luò)安全責任制。

4.2 網(wǎng)絡(luò)安全管理現(xiàn)狀分析

通過對網(wǎng)絡(luò)安全現(xiàn)狀進行分析，找到網(wǎng)絡(luò)安全管理建設(shè)整改需要解決的問題，才能明確建設(shè)整改的具體需求。為了更準確地找到不足，醫(yī)院在完成定級備案后首先進行了等級保護測評工作。通過對比測評指標，從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五個方面進行了詳細梳理，查找出不符合的項目，確定了本院管理方面建設(shè)整改的內(nèi)容。

4.3 制定網(wǎng)絡(luò)安全管理策略和制度

針對醫(yī)院網(wǎng)絡(luò)安全管理的需求，確定安全管理目標和安全策略，針對網(wǎng)絡(luò)各類管理活動，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系。

4.4 落實網(wǎng)絡(luò)安全管理措施

人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗過程，關(guān)鍵崗位簽署保密協(xié)議，對各類人員進行安全意識教育，對外部人員運行訪問區(qū)域進行嚴格控制。

系統(tǒng)運維管理主要針對環(huán)境和資產(chǎn)安全管理、設(shè)備和介質(zhì)安全管理、日常運行維護、集中安全管理、事件處置與應(yīng)急響應(yīng)、災(zāi)難恢復(fù)、安全監(jiān)測等。

4.5 系統(tǒng)建設(shè)管理

制定系統(tǒng)建設(shè)相關(guān)的管理制度，包括定級備案、方案設(shè)計、產(chǎn)品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等管理責任以及管理內(nèi)容和控制方法。

4.6 安全自查與調(diào)整

制定安全檢查制度，定期檢查各項制度、措施的落實情況，并不斷完善。針對醫(yī)院的兩個三級系統(tǒng)，每年自查一次。

通過建設(shè)整改，依據(jù)網(wǎng)絡(luò)安全等級保護工作中三級系統(tǒng)的要求，建立起具有特色的網(wǎng)絡(luò)安全管理體系，具體內(nèi)容如圖2所示。

5 兩點“重視”

在醫(yī)院順利通過等級保護2.0測評過程中，醫(yī)院網(wǎng)絡(luò)安全管理體系的建立，除了貫徹執(zhí)行《網(wǎng)絡(luò)安全法》及相關(guān)制度規(guī)范外，還有兩點經(jīng)驗。

5.1 領(lǐng)導(dǎo)高度重視

網(wǎng)絡(luò)安全管理是一個系統(tǒng)工程，涉及到管理機構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運維的各個階段管理制度的落實，這些僅靠技術(shù)人員的工作職能無法完成，單位領(lǐng)導(dǎo)的重視顯得尤為重要。因此，必須確定院級網(wǎng)絡(luò)安全責任機構(gòu)，落實網(wǎng)絡(luò)安全責任制，讓一把手高度重視，這樣不僅能建立起網(wǎng)絡(luò)安全管理體系，也能使具體舉措落實執(zhí)行。

5.2 重視內(nèi)部安全威脅

避免重視外網(wǎng)輕視內(nèi)網(wǎng)的現(xiàn)象。對于醫(yī)院來講，外部入口少，內(nèi)部系統(tǒng)數(shù)據(jù)集成復(fù)雜。最大的網(wǎng)絡(luò)安全威脅不是來自外部，而是內(nèi)部人員對網(wǎng)絡(luò)安全知識匱乏。需要不斷進行網(wǎng)絡(luò)安全意識培訓(xùn)，提高全體人員的安全保密意識和自我防范能力。

6 結(jié)束語

依法開展網(wǎng)絡(luò)安全等級保護是各級醫(yī)療機構(gòu)信息化建設(shè)過程中必不可少的工作，本文介紹了網(wǎng)絡(luò)安全等級保護工作的基本流程及常見問題，并結(jié)合本院具體工作，探討了網(wǎng)絡(luò)安全等級保護管理體系的建立及經(jīng)驗，為其他醫(yī)院此項工作提供了參考。

參考文獻

[1] 郭啟全，等.網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級保護制度培訓(xùn)教程（2018版）[M].北京：電子工業(yè)出版社，2018.

[2] 中華人民共和國公安部.信息安全等級保護管理辦法[Z].公通字〔2007〕43號.

[3] GB/T 22239-2008 信息系統(tǒng)安全等級保護基本要求[S].北京：中國標準出版社，2008.

[4] GB/T 22239-2019 網(wǎng)絡(luò)安全等級保護級別要求[S].北京：中國標準出版社，2019.

[5] 中華人民共和國公安部.關(guān)于開展信息安全等級保安全建設(shè)整改工作的指導(dǎo)意見[Z].公信安〔2009〕1429號.

[6] 王磊，魏曉艷，郎爽，修燕.醫(yī)院信息安全等級保護三級評測的應(yīng)用與實踐[J].中國數(shù)字醫(yī)學，2015，10（2）：81-83.

[7] 馬力，祝國邦，陸磊.《網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）標準解讀[J].信息網(wǎng)絡(luò)安全， 2019（2）：77-84.

作者簡介：

張朝（1973-）男，漢族，河南遂平人，蘇州大學，碩士，天津市泰達醫(yī)院，高級工程師;主要研究方向和關(guān)注領(lǐng)域：醫(yī)療信息化。