新技術(shù)的發(fā)展促進(jìn)了醫(yī)療的互聯(lián)網(wǎng)化，遠(yuǎn)程會(huì)診、線上看診、開(kāi)藥等都是互聯(lián)網(wǎng)醫(yī)療下的新方式，互聯(lián)互通的世界下信息安全形勢(shì)越來(lái)越嚴(yán)重，醫(yī)療行業(yè)也是如此。

隨著疫情的持續(xù)性，互聯(lián)網(wǎng)醫(yī)療行業(yè)應(yīng)該加強(qiáng)網(wǎng)絡(luò)信息安全工作，以防攻擊、防病毒、防篡改、防癱瘓、防泄密為重點(diǎn)，暢通信息收集發(fā)布渠道，保障數(shù)據(jù)規(guī)范使用，切實(shí)保護(hù)個(gè)人隱私安全，防范網(wǎng)絡(luò)安全突發(fā)事件，為疫情防控工作提供可靠支撐。

01

什么是互聯(lián)網(wǎng)醫(yī)療健康信息安全？

2021年6月3日，衛(wèi)健委發(fā)布《互聯(lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范（征求意見(jiàn)稿）》，目的為推進(jìn)互聯(lián)網(wǎng)醫(yī)療健康應(yīng)用網(wǎng)絡(luò)安全。文件規(guī)定了互聯(lián)網(wǎng)醫(yī)療健康信息安全管理總體框架、信息安全相關(guān)方管理、信息安全過(guò)程管理、信息安全數(shù)據(jù)管理、信息安全技術(shù)管理和信息安全組織管理的規(guī)范和安全要求。

一、互聯(lián)網(wǎng)醫(yī)療健康服務(wù)

應(yīng)用互聯(lián)網(wǎng)及相關(guān)信息技術(shù)提供的互聯(lián)網(wǎng)醫(yī)療服務(wù)、互聯(lián)網(wǎng)公共衛(wèi)生服務(wù)、互聯(lián)網(wǎng)家庭醫(yī)生簽約服務(wù)、互聯(lián)網(wǎng)藥品供應(yīng)保障服務(wù)等。

二、互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)

為互聯(lián)網(wǎng)醫(yī)療健康服務(wù)過(guò)程以及管理和決策提供支持的信息系統(tǒng)。包括計(jì)算機(jī)硬件、軟件、網(wǎng)絡(luò)等總稱。

三、互聯(lián)網(wǎng)醫(yī)療健康信息安全管理

在互聯(lián)網(wǎng)醫(yī)療健康服務(wù)開(kāi)展過(guò)程，在應(yīng)用建設(shè)、運(yùn)營(yíng)管理和信息管理等階段，應(yīng)用合理的技術(shù)與管理手段，保障信息安全的管理過(guò)程，包括以下4部分：

A、互聯(lián)網(wǎng)醫(yī)療健康信息安全過(guò)程管理要求

●建設(shè)過(guò)程管理

（1）信息系統(tǒng)應(yīng)通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)測(cè)評(píng)和定期復(fù)評(píng)；

（2）服務(wù)過(guò)程與運(yùn)營(yíng)過(guò)程中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)；

各項(xiàng)操作行為進(jìn)行審計(jì)，審計(jì)范圍應(yīng)覆蓋到每個(gè)用戶，并對(duì)審計(jì)記錄進(jìn)行保護(hù)；

●服務(wù)過(guò)程管理

（1）對(duì)服務(wù)對(duì)象與服務(wù)人員的個(gè)人隱私信息進(jìn)行保護(hù)；

（2）建立并處理有關(guān)信息安全的投訴和舉報(bào)；

（3）醫(yī)務(wù)人員開(kāi)展服務(wù)過(guò)程中，應(yīng)根據(jù)相關(guān)管理要求使用數(shù)字證書和電子簽名技術(shù)。

●監(jiān)管過(guò)程管理

監(jiān)督管理建設(shè)方、服務(wù)方與運(yùn)營(yíng)方的互聯(lián)網(wǎng)醫(yī)療健康信息安全執(zhí)行效果；

監(jiān)督方式包含信息及網(wǎng)絡(luò)安全審計(jì)、安全漏洞掃描等；

可根據(jù)情節(jié)嚴(yán)重程度，采取警告、通告批評(píng)、停服整頓、停止服務(wù)資格等處罰。

●運(yùn)營(yíng)過(guò)程管理

個(gè)人信息、隱私和商業(yè)秘密嚴(yán)格保密，不得泄露、出售或者非法向他人提供。

B、互聯(lián)網(wǎng)醫(yī)療健康信息安全數(shù)據(jù)管理要求

數(shù)據(jù)采集流程為：采集數(shù)據(jù)——存儲(chǔ)數(shù)據(jù)——傳輸數(shù)據(jù)——應(yīng)用數(shù)據(jù)——銷毀數(shù)據(jù)，應(yīng)該符合GB/T 35273 《信息安全技術(shù) 個(gè)人信息安全規(guī)范》、GB/T 22239 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的相關(guān)內(nèi)容。

C、互聯(lián)網(wǎng)醫(yī)療健康信息安全技術(shù)管理要求

●信息系統(tǒng)安全管理

（1）符合GB/T 35273的相關(guān)要求，以及GB/T 22239第三級(jí)安全要求；

（2）面向患者提供實(shí)名認(rèn)證功能，保護(hù)個(gè)人身份信息、生物識(shí)別信息等，防止泄露；

（3）支持“最小授權(quán)”、“職責(zé)分離”、“角色分離”、“默認(rèn)拒絕”等原則構(gòu)建系統(tǒng)敏感數(shù)據(jù)的訪問(wèn)控制、權(quán)限控制以及授權(quán)控制策略；

（4）移動(dòng)端應(yīng)用，應(yīng)在可靠的應(yīng)用渠道發(fā)布，不得開(kāi)啟與服務(wù)無(wú)關(guān)的功能，不得捆綁安裝無(wú)關(guān)應(yīng)用程序。

●第三方接入安全管理

（1）第三方信息系統(tǒng)對(duì)接時(shí)，應(yīng)遵循國(guó)家法律法規(guī)及行業(yè)相關(guān)管理；

（2）遵循最小原則，控制信息使用范圍；

●個(gè)人信息安全管理

（1）遵循網(wǎng)絡(luò)安全保護(hù)法、民法典等法律法規(guī)，以及GB/T 35273的相關(guān)要求；

（2）在系統(tǒng)建設(shè)時(shí)對(duì)個(gè)人信息保護(hù)措施同步規(guī)劃、同步建設(shè)和同步使用；

（3）數(shù)據(jù)權(quán)限控制、個(gè)人信息去標(biāo)識(shí)化、數(shù)據(jù)加密、安全審計(jì)等；

D、信息安全組織管理要求

●制度管理

（1）建立適宜的安全管理制度、安全影響評(píng)估制度等；

（2）建立信息安全管理的組織和崗位；

（3）定期對(duì)信息安全管理工作進(jìn)行全面自查，并作出整改建議

●人員管理

（1）主管領(lǐng)導(dǎo)是第一負(fù)責(zé)人，分管領(lǐng)導(dǎo)是直接責(zé)任人；

（2）劃分不同的管理員角色進(jìn)行互聯(lián)網(wǎng)醫(yī)療健康信息安全管理；

（3）定期開(kāi)展互聯(lián)網(wǎng)醫(yī)療健康信息安全教育與培訓(xùn)

●應(yīng)急管理

制定互聯(lián)網(wǎng)醫(yī)療健康信息安全事件應(yīng)急預(yù)案

定期（至少每年一次）組織相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練

02

聯(lián)軟科技互聯(lián)網(wǎng)醫(yī)療信息安全解決方案

等保、網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法等法律法規(guī)的出臺(tái)對(duì)各行業(yè)的網(wǎng)絡(luò)安全提出了更精細(xì)的標(biāo)準(zhǔn)。針對(duì)互聯(lián)網(wǎng)醫(yī)療行業(yè)的現(xiàn)狀，聯(lián)軟從以下4個(gè)方面為互聯(lián)網(wǎng)醫(yī)院安全建設(shè)保駕護(hù)航。

一、互聯(lián)網(wǎng)安全監(jiān)控

聯(lián)軟科技為醫(yī)療行業(yè)進(jìn)行互聯(lián)網(wǎng)側(cè)資產(chǎn)梳理+漏洞掃描，提供互聯(lián)網(wǎng)高危漏洞預(yù)警，業(yè)務(wù)系統(tǒng)上線前安全檢查。提供7*24小時(shí)的全方位監(jiān)控，主要監(jiān)控網(wǎng)站運(yùn)行狀況、響應(yīng)時(shí)間、服務(wù)器運(yùn)行狀況等，一旦發(fā)現(xiàn)網(wǎng)站無(wú)法訪問(wèn)，第一時(shí)間通知用戶。

二、云主機(jī)安全管理

UniCWPP云主機(jī)安全管理系統(tǒng)是以資產(chǎn)驅(qū)動(dòng)安全的新一代自適應(yīng)主機(jī)安全管理系統(tǒng)，它徹底改變傳統(tǒng)主機(jī)安全產(chǎn)品僅專注于安全防御的被動(dòng)處境，提供主機(jī)安全管理、基線核查、防病毒、防入侵等能力，助力業(yè)務(wù)系統(tǒng)通過(guò)等保2.0等合規(guī)檢查。

三、終端安全接入

PC終端內(nèi)外網(wǎng)接入平臺(tái)的非授權(quán)訪問(wèn)保護(hù)，將非授權(quán)訪問(wèn)保護(hù)能力通過(guò)SDK集成到APP中。以個(gè)人信息安全保護(hù)為核心，敏感數(shù)據(jù)訪問(wèn)控制，防止內(nèi)部非授權(quán)人員及其他人員未經(jīng)授權(quán)獲取個(gè)人信息。

四、遠(yuǎn)程接診/遠(yuǎn)程運(yùn)維非授權(quán)訪問(wèn)保護(hù)方案

解決互聯(lián)網(wǎng)遠(yuǎn)程接入企業(yè)內(nèi)網(wǎng)服務(wù)過(guò)程中存在著身份、數(shù)據(jù)、權(quán)限、審計(jì)等多方面的安全風(fēng)險(xiǎn)；內(nèi)網(wǎng)服務(wù)通過(guò)HTTPS端口映射方式發(fā)布到互聯(lián)網(wǎng)，增加暴露面，易被攻擊；企業(yè)重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在終端設(shè)備內(nèi)，存在數(shù)據(jù)外泄風(fēng)險(xiǎn)；傳統(tǒng)解決方案通過(guò)靜態(tài)策略控制，無(wú)法應(yīng)對(duì)復(fù)雜環(huán)境的改變；接入的終端類型多樣，操作系統(tǒng)多樣、瀏覽器多樣，兼容性無(wú)法保障等多種問(wèn)題。

醫(yī)療行業(yè)作為抗擊疫情和保護(hù)國(guó)民健康的主力軍，在互聯(lián)網(wǎng)時(shí)代下需全面提升網(wǎng)絡(luò)安全防護(hù)能力。聯(lián)軟已為北京友誼醫(yī)院、北大人民醫(yī)院、上海交通大學(xué)附屬瑞金醫(yī)院、復(fù)旦大學(xué)附屬中山醫(yī)院、四川大學(xué)華西第二醫(yī)院等提供網(wǎng)絡(luò)安全技術(shù)支持與服務(wù)。未來(lái)將繼續(xù)為醫(yī)療行業(yè)的網(wǎng)絡(luò)安全提供自己的力量，保障互聯(lián)網(wǎng)醫(yī)療健康發(fā)展。