5月13日,网络安全等级保护制度2.0标准正式发布,实施时间为2019年12月1日。在整个标准草案、征求意见、报批阶段,美创科技均高度关注,并组织专人学习研究。5月11日,美创科技资深技术专家舒适在广西预防医学会卫生健康信息技术专业委员会2019年度学术交流会上,基于美创科技13年医疗行业积累,分享了《等级保护制度2.0标准下医院数据安全建设的落地经验》。
当前,医疗信息化的加速发展,在给人们就医保健带来极大便捷的同时,海量医疗保健数据的安全性问题也随之涌现。近两年,医疗数据泄露事件不断发生,大量的患者信息泄露带来的后果非常严重,不仅涉及个人隐私、医院秘密,还可能涉及国家机密。
01 合规是医疗行业信息安全的基础
在此背景下,国家和主管单位不断出台相关政策法规,从2017年的中华人民共和国网络安全法实施,到等级保护制度2.0标准出台,均对医院信息网络安全建设提出了要求。根据医院等级保护建设的调查统计显示:大部分的医院已通过等级保护测评或者有计划进行相应的建设,医院信息化建设重点主要集中在挂号服务、HIS系统、LIS系统、PACS系统等。
02 数据安全成为医院安全规划和建设的出发点
可以看到传统安全建设思路以边界、安全域为主,采取被动、防御型的技术手段。在互联网、大数据、社交平台的发展下,网络环境和安全威胁发生了巨大的变化,促使着防护重点转向数据安全,同时强调主动防御的合规管理和安全监控的综合分析。
03 等级保护制度2.0标准下应用数据安全建设分析和实践
以医院三级系统为例,对于设备和计算安全、应用和数据安全两个类别,舒适分别从安全控制点、技术要求、测评要求给出分析。等级保护制度2.0标准对系统终端、应用和数据安全,提出了入侵防范、身份鉴别、访问控制、数据完整性、数据保密性、数据备份恢复、安全审计等方面的明确要求。根据医疗行业各类业务系统安全需求及特点,结合美创科技自身对于数据安全体系的理解,分享了医院核心业务系统人员权限管理、医院数据脱敏、医院数据库防勒索、云上安全建设案例;HIS、PACS、LIS系统容灾备份建设案例。
案例:某医院核心业务系统访问权限管理
背景:
某医院业务系统数据库涉及到:HIS、EMR、LIS等核心数据库系统;
每个数据库的数据量巨大;
数据库的访问人员,没有严格区分内部人员和外部人员,数据库内部权责界限不够明晰。
方案:
据悉,本次大会聚集了广西壮族自治区各地市卫健委信息中心、各级医院、疫控中心及医学院分管卫生信息化建设的相关领导等近300名专家学者,一同交流探讨医院数据安全建设的困境与对策。
美创科技成立于2005年,深耕医疗行业十余年,已服务各级医院客户超过1000家。未来我们将不断优化完善行业解决方案,致力于为医疗行业信息化建设提供更优更全面的产品与服务。