查看原文
其他

深入解读《医疗卫生机构网络安全管理办法》

苏苏 FreeBuf安全咨询 2022-09-24
作者 | 苏苏
编 | Yanni


随着高质量发展纵深推进,全国卫生健康领域迎来重要机遇期,信息化发挥着关键的支撑作用,在此过程中产生的医疗健康数据不仅是重要的生产要素,更是国家基础性战略资源,因此网络安全的重要性日益凸显。


在此背景下,2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局发布了《医疗卫生机构网络安全管理办法》(以下简称《办法》),自印发之日起开始实施。《办法》共计三十四条,分为总则、网络安全管理、数据安全管理、监督管理、管理保障五个大章节。


总的来说,《办法》是在《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等有关法律法规标准的基础上制定,因此不少内容会让大家有种熟悉的感觉,例如分类分级、重点数据保护、三化六防等等。


《办法》在实施细则、责任界定、规范要求、惩罚措施等方面更加详细,也更符合医疗行业的实际需求,明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求,体现了统筹安全与发展的总体平衡,为医疗卫生机构指明了网络安全管理的总方向。


制定目的

加强医疗卫生机构网络安全管理,进一步促进“互联网+医疗健康”发展,加强医疗卫生机构网络安全管理,防范网络安全事件发生。


名词释义

网络:由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。


网络数据:是指医疗卫生机构通过网络收集、存储、传输、处理和产生的各种电子数据。


适用范围

适用于医疗卫生机构运营网络的安全管理,未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。


部门职责

国家卫生健康委、国家中医药局、国家疾控局:统筹规划、指导、评估、监督医疗卫生机构网络安全工作。


地方卫生健康行政部门:承担本行政区域内医疗卫生机构网络安全指导监督工作。

医疗卫生机构:对本单位网络安全管理负主体责任。


 | 一、健全管理制度,完善责任划分 |


《办法》在第一章“总则”中即旗帜鲜明地提出,“管业务就要管安全”、“谁主管谁负责、谁运营谁负责、谁使用谁负责”两大核心原则,从顶层设计上明确了医疗行业网络安全相关权责范围,杜绝推诿、甩锅等潜在行为发生的可能性,真正将网络安全职责落入实处。这也是《办法》中叙述详细、笔墨众多的内容,其重要性不言而喻。


具体来说,《办法》第二章第五条提出,“各医疗卫生机构应成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长”,为网络安全工作的重要性定下了基调,一旦出现网络安全事件,单位主要负责人需承担相应的职责,切不可敷衍大意,自上而下的组织结构也让网络安全工作推进变的更加容易。


第五条还提出,医疗卫生机构应“明确负责网络安全管理工作的职能部门,明确承担安全主管、安全管理员等职责的岗位”,进一步健全网络安全管理制度体系,完善各部门、人员的细分责任,并针对相关内容提出更加具体的要求:

(一)对新建网络,应在规划和申报阶段确定网络安全保护等级。

(二)新建网络投入使用应依法依规开展等级保护备案工作。

(三)全面梳理分析网络安全保护需求,按照“一个中心,三重防护”的要求,制定符合网络安全保护等级要求的整体规划和建设方案。

(四)各医疗卫生机构对已定级备案网络的安全性进行检测评估,每年至少一次开展网络安全等级测评。

(五)针对等级测评中发现的问题隐患,各医疗卫生机构要制定网络安全整改方案,有针对性地开展整改。

《办法》第六条也再次明确,各医疗卫生机构按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责,对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。


对于企事业单位来说,这是一个十分清晰的信号,以往安全、运维、IT多部门职责不清的情况将一去不复返,这也意味着“责任落到个人”的新一代网络安全管理制度越来越清晰。而规则清楚之后,工作内容也将随之变的更明确,那么评价指标和奖惩措施也将更具指向性,做得好则奖,做的不好则罚。


值得注意的是,《办法》第十条提出,“关键信息基础设施运营者应对安全管理机构负责人和关键岗位人员进行安全背景审查。”这点和《关键信息基础设施安全保护条例》保持一致,保障医疗卫生机构关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。


同时还需要对“第三方应明确人员接触网络时的申请及批准流程,做好实名登记、人员背景审查、保密协议签署等”,以制度的形式消除第三方人员可能引发的系统性安全风险,降低安全事件出现的几率。


《办法》第十一条提出,要“加强网络运维管理,制定运维操作规范和工作流程”,同样是在利用制度和细则来规范运维人员的操作,进一步减少系统性安全风险,并着重提出要“加强远程运维管理”。此举的好处还可以迅速找到事件发生的原因,也可有效保护安全人员,当安全事件发生时,是否违规可能会成为责任判定的因素之一。有意思的是,类似的条款在其他网络安全法规中较为少见,由此可见上级领导部门对于加强医疗行业网络安全建设的决心和目标。


对于医疗设备也有相应的制度建设要求。《办法》第十四条提出,各医疗卫生机构需“建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度”。这意味着在设备购买、使用和报废的全过程中,网络安全都是组织必须要考虑的指标,网络安全属性将会成为医疗卫生机构采购医疗设备的影响因素之一。近年来,医疗设备频频遭受攻击,严重者甚至会影响病人的救治,该条文的出现表明后续将压制此类攻击的出现。


此外,对于数据安全也有相应的制度建设规范。《办法》第十九条提出,应建立数据安全管理组织架构,明确业务部门与管理部门在数据安全活动中的主体责任,通过安全责任书等方式,规范本单位数据管理部门、业务部门、信息化部门在数据安全管理全生命周期当中的权责,建立数据安全工作责任制,落实追责追究制度。


《办法》第二十一条也提出,“各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范,涉及的管理制度每年至少修订一次,建议相关人员每年度签署保密协议。”


总的来说,健全管理制度,完善责任划分是推进医疗行业强化网络安全能力,完善网络安全体系的核心着力点,在组织上从医疗卫生机构主要负责人自上而下进行压实,在操作规范上结合各单位实际情况,不断进行修订和变革,与当下实际业务和环境更加契合,保障网络和数据安全制度的有效执行。


 | 二、实战演练,自纠自查 |


在日常运营方面,《办法》所提出的条款更多的是参考文章开头部分提及的多部法律法规,并根据医疗行业现有的业务和环境进行细化。


《办法》在第二条确定了网络安全运营的基调,即:坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术,强化安全监测、态势感知、通报预警和应急处置等重点工作,落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。


在应急处置机制的建立方面和其他法规的条款较为相近,皆需要“完善应急预案、组织应急演练”,以此提升医疗卫生机构处理安全事件的能力,并强调需要“积极参加网络安全攻防演练,提升保护和对抗能力”,亦和国家目前对于企事业单位参加攻防演练的要求相同。


值得一提的是,《办法》第九条提出,“医疗卫生机构在网络运营过程中,应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查,及时发现可能存在的问题和隐患”。这在其他法规中也不常见,而能否梳理资产清单是做好网络安全的前提,毕竟只有清楚网络资产,才能真正有效发现可能存在的攻击面。


同时《办法》还给出了安全自查整改工作的具体要求:

(一)依据上级主管监管机构要求,各医疗卫生机构完成信息资产梳理,摸清本单位网络定级、备案等情况,形成资产清单,组织安全自查。

(二)依据上级主管监管机构要求,各医疗卫生机构依据安全自查结果,对发现的问题和隐患进行整改,形成整改报告向有关主管监管机构报备。


 | 三、数据安全贯穿生命周期 |


在数据安全方面,《办法》的主导思想贯穿了整个数据生命全周期,并着重强调更易忽略的对废止网络的安全管理。例如《办法》第十七条提出,各医疗卫生机构应“加强废止网络的安全管理,对废止网络的相关设备进行风险评估,及时对其采取封存或销毁措施,确保废止网络中的数据处置安全,防止网络数据泄露”。


事实上,医疗行业的数据价值和其他行业不太一样,很多留存在废止网络和设备中的数据同样十分关键,其中包括用户医保账号、病例数据、常用药等等,皆属于高价值个人隐私数据,一旦发生大规模数据泄露,其后果之严重难以想象。


《办法》第二十二条也明确提出,各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,数据全生命周期活动应在境内开展,因业务确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估或审核,针对影响或者可能影响国家安全的数据处理活动需提交国家安全审查,防止数据安全事件发生。


具体包括以下七条:

(一)各医疗卫生机构应加强数据收集合法性管理,明确业务部门和管理部门在数据收集合法性中的主体责任。

(二)在数据分类分级的基础上,进一步明确不同安全级别数据的加密传输要求。

(三)各医疗卫生机构应按照有关法规标准,选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全。

(四)各医疗卫生机构应严格规定不同人员的权限,加强数据使用过程中的申请及批准流程管理,确保数据在可控范围内使用,防止数据越权使用。

(五)各医疗卫生机构发布、共享数据时应当评估可能带来的安全风险,并采取必要的安全防控措施。

(六)各医疗卫生机构开展人脸识别或人脸辨识时,应同时提供非人脸识别的身份识别方式,不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能,人脸识别数据不得用于除身份识别之外的其他目的。

(七)数据销毁时应采用确保数据无法还原的销毁方式,重点关注数据残留风险及数据备份风险。


 | 四、及时汇报、持续投入 |


在网络安全信息通报机制方面,《办法》的各项条款也和多部上位法保持一致,强化网络安全信息收集能力和网络安全信息通报机制。


其中,《办法》第七条提出“鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息,加强威胁情报工作,组织开展网络安全威胁分析和态势研判,及时通报预警和处置,防止网络被破坏、数据外泄等事件。”


对于网络安全信息通报机制建设,《办法》同样十分重视。其中第二十六条提出,“各级卫生健康行政部门应建立网络安全事件通报工作机制,及时通报网络安全事件”。而第二十五条和第二十七条皆提出,当出现安全事件或数据泄露时,医疗卫生机构应当立即启动应急预案,及时以电话、短信、邮件或信函等多种方式告知相关主体,并按照要求向有关主管监管部门报告。


此外,在网络安全保护等级确定后10个工作日内,由其运营者向公安机关备案,并将备案情况报上级卫生健康行政部门,反之撤销也是如此。


 | 五、规则越清晰,工作越完善 |


在处罚方面,《办法》完全参照文章开头部分所提及的上位法的条款执行。不可否认,《办法》在很多方面都和之前出台的一系列政策法规一脉相承,因此不少规定、要求都和上述法律、法规保持一致。


但是,《办法》在很多地方亦有独到之处,其中一个明显的特征就是“明确”。在三十四条细则中,《办法》使用了大量确定性非常高的词语,以便更加清晰指导医疗行业又快又好建设网络安全体系,强化网络安全能力。


毕竟,网络安全是医疗数字化的底座,网络安全基础未能夯实,医疗数字化就无法实现真正的腾飞。

因此,对于医疗行业来说,《办法》的颁布有着十分重要的意义,在坚持安全可控和开放创新并重的基本原则基础上,为医疗卫生机构网络安全管理提供了工作指南,筑牢了医疗卫生机构安全屏障,奠定了卫生健康行业数字化发展基础。


精彩推荐


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存