医院网络安全等级保护2.0管理体系建设实践
来源:用户上传
作者:
摘 要:按照《中华人民共和国网络安全法》(本文简称《网络安全法》)及卫生行业网络安全等级保护相关指导文件要求,在医院开展三级等级保护工作。文章通过实践探讨了医院网络安全管理体系建立的过程,对同类医院的等级保护建设具有一定的参考价值。
关键词:网络安全;等级保护;管理
中图分类号: TP393 文献标识码:A
Abstract: According to the requirements of the Cybersecurity law and the related guidance documents of the cybersecurity level protection in medical system, the three-level protectionwork is carried out in hospitals. The process of establishing the cybersecurity management system in hospitals is discussed through practice, which is helpful to the construction of the similar hospitals.
Key words: cybersecurity ;level protection;management
1 引言
2011年,卫生部发出了关于全面开展卫生行业信息安全等级保护工作的通知,对卫生行业信息系统等级保护工作提出了具体要求。2017年6月1日正式实施的《中华人民共和国网络安全法》(以下简称《网络安全法》)第21条规定,国家实行网络安全等级保护制度。自2019年12月1日起,正式实施的《网络安全等级保护级别要求GB/T 22239-2019》诸多标准,标志着网络安全等级保护正式进入2.0时代(以下简称等级保护2.0)。
本文结合天津市泰达医院网络安全等级保护2.0建设及测评工作的实践,针对其中的管理体系建设方面进行深入探讨。
2 网络安全等级保护
2.1 基本概念
网络安全等级保护是指对网络实施分级保护、分级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处理。这里的“网络”是指由计算机或者其他信息终端及相关设备组成的,按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。结合我国有关的法规和文件,“网络安全”与“信息安全”具有相同的内涵。
2.2 等级保护2.0主要变化
等级保护2.0是在过去10年开展信息安全等级保护工作的基础上进行完善,核心标准包括《网络安全等级保护基本要求GB/T 22239-2019》《网络安全等级保护测评要求GB/T28448-2019》《网络安全等级保护安全设计技术要求GB/T25070-2019》《网络安全等级保护实施指南GB/T 25058-2019》等。等级保护2.0的标准是注重全方位主动防御、动态防御、整体防控和精准防护,实现了对云计算、移动互联网、物联网、工业控制信息系统等保护对象的全覆盖。
2.3 网络安全等级保护工作流程
网络安全等级保护的工作流程如图1所示。
在网络安全等级保护工作中,一般可按照该流程按顺序依次进行定级、备案、建设整改、测评等工作。但在建设整改阶段,仅通过自评往往不足以对自身网络安全状况有较准确的认识,不能有针对性的进行建设整改。因此,对于自身技术能力薄弱的单位建议首先进行等保测评,由专业公司对系统物理环境、主机、网络、业务应用系统、安全管理制度和人员等方面,进行综合测评,以期发现信息系统和等级保护标准的差距及存在的安全隐患,为后续的安全建设、整改工作提供参考依据。
3 医院网络安全等级保护建设常见问题
根据网络安全等级保护工作行业指导、属地管理要求,天津市卫计委专门制定了信息系统安全等级保护工作实施指南,有效地推动了各医疗机构等级保护工作的开展。
网络安全等级保护建设的要求包括基本技术要求和基本管理要求,两者不可分割。但在医院具体落实网络安全等级保护工作中,由于对网络安全工作认识不足,许多医院存在一种偏差:重技术轻管理。在开展网络安全等级保护中愿意花大量资金购买网络安全设备,认为有了安全设备就万无一失,疏忽管理体系的建立,往往采购了大量的网络安全产品后,仍然发生网络安全事故,达不到网络安全的最终目标。
在等级保护2.0建设中,管理要求分类体现从要素到活动的综合管理思想。管理机构需要的“机构”“制度”和“人员”三要素缺一不可,同时还应对系统建设整改过程中和运行维护过程中的重要活动,实施控制和管理。在网络安全相关技术日新月异进步的形势面前,做好网络安全等级保护工作“三分靠技术,七分靠管理”。只有结合医院自身的实际情况,建立起比较完备的管理体系,才能有效的保障网络安全。
4 醫院网络安全等级保护管理体系建设实践
医院建设有HIS、电子病历、PACS、LIS等众多信息系统,前期缺乏专门负责网络安全的工作人员,所以网络安全的管理属于薄弱环节。因此,在网络安全等级保护工作中,结合自身情况,按照定级、备案、等保测评、建设整改的步骤开展工作,医院HIS及电子病历系统最终被定级为三级系统。在采购了相应的网络安全设备后,大力加强网络安全管理体系建设成为最重要的工作内容,具体做法有六方面。
4.1 落实网络安全责任制
首先将原信息化领导小组改为网络安全和信息化领导小组,该小组作为院级网络安全领导机构,明确了责任领导和责任人员,建立了医院信息安全管理总纲。同时,调整了信息部岗位和人员职责,落实了网络安全责任制。 4.2 网络安全管理现状分析
通过对网络安全现状进行分析,找到网络安全管理建设整改需要解决的问题,才能明确建设整改的具体需求。为了更准确地找到不足,医院在完成定级备案后首先进行了等级保护测评工作。通过對比测评指标,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面进行了详细梳理,查找出不符合的项目,确定了本院管理方面建设整改的内容。
4.3 制定网络安全管理策略和制度
针对医院网络安全管理的需求,确定安全管理目标和安全策略,针对网络各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。
4.4 落实网络安全管理措施
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗过程,关键岗位签署保密协议,对各类人员进行安全意识教育,对外部人员运行访问区域进行严格控制。
系统运维管理主要针对环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、事件处置与应急响应、灾难恢复、安全监测等。
4.5 系统建设管理
制定系统建设相关的管理制度,包括定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理责任以及管理内容和控制方法。
4.6 安全自查与调整
制定安全检查制度,定期检查各项制度、措施的落实情况,并不断完善。针对医院的两个三级系统,每年自查一次。
通过建设整改,依据网络安全等级保护工作中三级系统的要求,建立起具有特色的网络安全管理体系,具体内容如图2所示。
5 两点“重视”
在医院顺利通过等级保护2.0测评过程中,医院网络安全管理体系的建立,除了贯彻执行《网络安全法》及相关制度规范外,还有两点经验。
5.1 领导高度重视
网络安全管理是一个系统工程,涉及到管理机构、人员、系统建设、系统运维的各个阶段管理制度的落实,这些仅靠技术人员的工作职能无法完成,单位领导的重视显得尤为重要。因此,必须确定院级网络安全责任机构,落实网络安全责任制,让一把手高度重视,这样不仅能建立起网络安全管理体系,也能使具体举措落实执行。
5.2 重视内部安全威胁
避免重视外网轻视内网的现象。对于医院来讲,外部入口少,内部系统数据集成复杂。最大的网络安全威胁不是来自外部,而是内部人员对网络安全知识匮乏。需要不断进行网络安全意识培训,提高全体人员的安全保密意识和自我防范能力。
6 结束语
依法开展网络安全等级保护是各级医疗机构信息化建设过程中必不可少的工作,本文介绍了网络安全等级保护工作的基本流程及常见问题,并结合本院具体工作,探讨了网络安全等级保护管理体系的建立及经验,为其他医院此项工作提供了参考。
参考文献
[1] 郭启全,等.网络安全法与网络安全等级保护制度培训教程(2018版)[M].北京:电子工业出版社,2018.
[2] 中华人民共和国公安部.信息安全等级保护管理办法[Z].公通字〔2007〕43号.
[3] GB/T 22239-2008 信息系统安全等级保护基本要求[S].北京:中国标准出版社,2008.
[4] GB/T 22239-2019 网络安全等级保护级别要求[S].北京:中国标准出版社,2019.
[5] 中华人民共和国公安部.关于开展信息安全等级保安全建设整改工作的指导意见[Z].公信安〔2009〕1429号.
[6] 王磊,魏晓艳,郎爽,修燕.医院信息安全等级保护三级评测的应用与实践[J].中国数字医学,2015,10(2):81-83.
[7] 马力,祝国邦,陆磊.《网络安全等级保护基本要求》(GB/T 22239-2019)标准解读[J].信息网络安全, 2019(2):77-84.
作者简介:
张朝(1973-)男,汉族,河南遂平人,苏州大学,硕士,天津市泰达医院,高级工程师;主要研究方向和关注领域:医疗信息化。
转载注明来源:https://www.xzbu.com/1/view-15251031.htm
