1. 首頁 > 生活雜燴 > 健康養生 > >

信息安全|關注醫療數據安全 | 怎樣為醫院信息系統構筑“保護盾”

風險醫院醫療管理防護信息發展數據網絡威脅邊界基本建設保障體系信息安全

開欄的話
2021年6月 , 國務院辦公廳印發《關于推動公立醫院高質量發展的意見》 , 明確指出要強化信息化支撐作用 , 引領公立醫院高質量發展新趨勢 。
2021年10月 , 國家衛生健康委和國家中醫藥管理局聯合印發《公立醫院高質量發展促進行動(2021-2025年)》 , 也明確提出將信息化作為醫院基本建設的優先領域 , 建設電子病歷、智慧服務、智慧管理“三位一體”的智慧醫院信息系統 。
在醫院信息化建設中 , 如何加強數據安全保護 , 有效實施數據全生命周期安全管理 , 夯實信息化發展的安全底線 , 是值得醫院管理者們思考的問題 。 健康報開設“關注醫療數據安全”專欄 , 邀請業內專家對上述問題進行探討 。
本期嘉賓
北京大學第三醫院信息管理與大數據中心
賈末 計虹
近年來 , 《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等一系列信息安全相關法律法規的頒布實施 , 對網絡安全建設、數據共享應用、個人信息保護提出了更高的要求 。
同時 , 隨著互聯網醫療的快速發展、互聯互通建設的不斷深入、臨床科研等需求的不斷增加 , 信息系統互聯網暴露面日益增大 , 數據共享的范圍和數據量持續擴大 , 內外網數據交互日益頻繁 , 網絡安全、數據安全、個人信息安全風險持續增加 , 新型網絡攻擊、程序漏洞、數據庫脫庫、科研數據流失、個人隱私泄漏風險始終存在 。 伴隨著無線網絡的全面覆蓋 , 無線網近源攻擊等風險持續增加 。 各類風險的跨界性、穿透性、關聯性、擴散性特征明顯增加 , 系統性風險持續增大 。 這些因素給醫院網絡及信息安全建設帶來了更大的挑戰 。
構建完善的信息安全保障體系 , 對于提升整體信息安全保障能力、推動公立醫院高質量發展 , 具有重要的研究價值和現實意義 。
強化制度建設 規范信息安全行為
制度是規范也是指導 , 是信息安全工作開展的重要保障 。 醫院層面成立了網絡安全領導小組與技術領導小組 , 科室成立了網絡安全技術支持小組 , 明確崗位職責 。 以《網絡安全法》《數據安全法》《個人信息保護法》等法律法規為基礎 , 不斷制定完善各項規章制度 。 制定標準操作流程 , 嚴格落實系統與安全“同步規劃、同步建設、同步使用”三同步要求 , 實現“需求調研、規劃設計、項目實施、系統上線、運行維護”全流程的安全監測體系 。 制定數據使用安全責任書 , 明確“最小、夠用、知情”的數據采集原則 , 嚴格落實網絡安全每日監測制度 , 制定《網絡安全設備日常巡檢表》 , 通過每日巡檢監測 , 發現問題 , 解決問題 。
加強面向不同人群的網絡安全意識培訓 , 規范安全行為 , 完善各類人員安全責任制度 , 構筑全員安全堡壘 , 防范網絡釣魚、近源攻擊等事件發生 。 開展數據安全培訓 , 探索科室安全員管理模式 。
醫院不斷加強數據安全管理建設 , 逐步實現數據安全管理的“規范化、制度化、程序化” , 最終達到崗位有分工、執行有依據、日常有檢查、全員有認知 。
夯實安全基礎 強化網絡邊界防護
實施終端準入控制 , 實現終端可信接入管控 。 醫院構建網絡版殺毒軟件及虛擬補丁相結合的防護體系 , 實現主機病毒及漏洞安全防護 。 利用去隱私、脫敏、水印等技術 , 并結合多因子驗證、密碼復雜度校驗等身份鑒別、訪問控制、安全配置手段 , 確保數據應用安全 。 打造實時雙活的容災虛擬化數據中心 , 保障數據存儲安全 。 明確網絡邊界劃分 , 在不同邊界區域通過防火墻策略、IPS(入侵防御系統)、WAF(網站應用級入侵防御系統)、防毒墻網關、NAT(網絡地址轉換)、端口控制及VLAN(虛擬局域網)劃分等 , 實現邊界訪問防護隔離 , 提升互聯網訪問的邊界安全防護 。