政策解读 |《医疗卫生机构网络安全管理办法》

百家 作者:绿盟科技 2022-09-02 17:26:46

全文共3039字,阅读大约需6分钟。

近日,国家卫生健康委、国家中医药局、国家疾控局三部门联合发布了《医疗卫生机构网络安全管理办法》(以下简称《管理办法》),旨在加强医疗卫生机构网络安全管理,防范网络安全事件发生。本文主要梳理各行业网络安全管理规范、《管理办法》的主要制度机制,并思考其对网络安全行业的影响与启示。


行业网络安全管理专项规范情况

自2016年《网络安全法》颁布后,各行业纷纷出台适用于行业领域的网络安全规章制度。据不完全统计,目前已有电力、水利、金融、医疗等十余个行业发布网络安全专项管理办法,如:《电力行业网络安全管理办法(修订征求意见稿)》《水利网络安全管理办法 (试行)》《证券期货业网络安全管理办法(征求意见稿)》和《医疗卫生机构网络安全管理办法》等。


就医疗卫生行业而言,国家层面发布了数十个针对医疗网络安全和信息化建设的管理规章,涉及“互联网+医疗健康”、互联网诊疗管理、远程医疗网络能力建设、医疗卫生机构网络安全管理等方面。

表 1 医疗卫生行业网络安全政策法规汇总

从梳理情况来看,此前医疗行业出台的大多是针对某一细分领域的网络安全政策,本次《管理办法》则为医疗行业网络安全管理的专项规范,可视为医疗卫生机构网络安全管理的纲领性规范文件,具有很强的顶层设计性质,将有力推进医疗卫生机构网络安全制度的体系化、规范化、科学化发展。


《管理办法》确立了“五合一”医疗机构网络安全制度框架

《基本医疗卫生与健康促进法》《网络安全法》《个人信息保护法》等作为《管理办法》的重要依据,已有“推进医疗卫生机构建立健全医疗卫生信息交流和信息安全制度”“保护公民个人健康信息,确保公民个人健康信息安全”等原则性规定。《管理办法》的出台,将这些原则性规定进行了细化发展,并初步构建起“五合一”的医疗机构网络安全制度框架。该框架由医疗卫生机构网络安全管理机制、网络安全管理制度、数据安全管理制度、监督管理制度以及管理保障制度等五个要素构成。具体分析如下:


(一)管理机制

《管理办法》首先明确了医疗机构的网络安全管理机制,包括两个要点。一是明确监管机制和主要职责。明确了“一委二局”牵头的网络安全管理机制并明确主要职责:国家卫生健康委、国家中医药局、国家疾控局负责统筹规划、指导、评估、监督医疗卫生机构网络安全工作;县级以上地方卫生健康行政部门负责本行政区域内医疗卫生机构网络安全指导监督工作。二是明确医疗卫生网络安全的主体责任。即医疗卫生机构对其单位网络安全管理负主体责任,同时各医疗卫生机构还应当与信息化建设参与单位及相关医疗设备生产经营企业书面约定各方的网络安全义务和违约责任。


(二)网络安全制度

在网络安全方面,《管理办法》主要规定了6项制度。一是建立健全医疗机构网络安全等级保护制度,包括网络定级、等保备案、等保规划、检测评估、安全建设整改等工作;二是建立健全医疗机构网络安全信息通报制度和机制,包括建设态势感知平台、开展威胁分析和态势研判、及时通报预警和处置等;三是建立健全医疗机构网络安全应急处置机制和制度,如建立完善应急预案、参加网络安全攻防演练等;四是建立健全医疗机构网络安全自查制度,包括利用文档核验、漏洞扫描、渗透测试等手段,开展信息资产梳理和问题整改及报备等工作;五是建立健全医疗机构网络安全人员背景审查制度,包括明确内部人员全流程安全管理、第三方人员实名登记和保密协议签署等;六是建立健全医疗机构网络管理安全制度,包括运维管理、业务连续性管理、设备管理、系统风险评估管理、供应链管理、废止网络管理等。


(三)数据安全制度

在数据安全方面,《管理办法》主要规定了3项制度。一是建立医疗机构数据分类分级管理制度,重点包括数据资产梳理,并遵循合法合规原则、可执行原则、时效性原则等标准;二是建立健全医疗机构数据安全管理制度,包括制度层次优化、数据安全风险评估、数据安全教育培训和数据使用审批等;三是加强医疗机构数据全生命周期安全管理,包括加强数据收集、存储、传输、处理、使用、交换、销毁等工作。


(四)监督管理制度

在监督管理方面,《管理办法》主要规定了4项制度。一是明确医疗机构网络安全监督制度和机制,如网络安全管理日常检查和整改等;二是建立网络安全风险应急响应、告知、报告制度,包括以电话、短信、邮件或信函等多种方式告知等;三是建立网络安全事件通报机制,《管理办法》要求各级卫生健康行政部门及时通报网络安全事件;四是建立网络安全事件报告和配合机制,包括各医疗卫生机构应及时向卫生健康行政部门、公安机关报告,并为有关部门依法开展执法活动提供技术支持和协助。


(五)管理保障制度

在管理保障方面,《管理办法》主要规定了4项制度。一是规划保障制度,明确医疗卫生机构应当加强网络安全管理工作的统筹领导和规划设计,保证信息系统建设和安全保护措施同步规划、同步建设和同步使用;二是人才保障制度,明确医疗卫生机构应当鼓励在职在岗人员的网络安全继续教育制度,建立人才库等;三是资金保障制度,明确要求新建信息化项目的网络安全预算不低于项目总预算的5%;四是考核保障制度,明确鼓励有条件的医疗卫生机构将考核与绩效挂钩等。


《管理办法》展望与思考

(一)内容发展展望

首先,《管理办法》的出台进一步健全了医疗卫生行业网络安全管理依据,并且在内容上具有很多创新、务实之处。例如《管理办法》以专章的形式规定了“管理保障”相关制度,将网络安全发展所急需的规划、人才、资金等基础要素以条文形式明确下来,这对于医疗卫生机构网络安全事业无疑具有切实的推进作用。


其次,《管理办法》的出台将在一定程度上推进行业网络安全法规建设进程。从横向行业层面看,目前关键信息基础设施行业基本都已出台或即将推出各自行业的网络安全管理专项法规,《管理办法》的内容将与其他行业形成良性互补,共同推进国家网络安全法治的落地实施。从纵向行业生态看,《管理办法》的出台将发挥牵引带动效应,促进医疗行业上下游产业链、供应链的网络安全保障体系和能力建设共同发展。


当然,从内容发展来看,《管理办法》所规定的有关制度和机制的建立健全必然需要一个过程,具体实施等方面也有可细化发展的空间。如对于网络安全管理机制和数据安全管理机制之间如何更好地衔接协同等问题,均有待在实践中优化完善。


(二)产业影响思考

网络安全产业是网络安全建设发展的基础保障,《管理办法》的发布实施对于网络安全产业也将发挥积极的促进。


一是在医疗机构网络安全建设方面。《管理办法》将推动医疗机构的网络安全等级保护、态势感知、安全运营等方面的建设发展,从而促进包括入侵检测与防御、高级持续性威胁防护、云安全等在内的网络安全产业发展。


二是在医疗机构数据安全建设方面。《管理办法》将推动医疗机构的数据分类分级、数据风险评估、数据安全审计等方面的建设发展,从而促进包括数据安全治理、个人隐私保护、数据审计溯源等在内的数据安全产业发展。


三是在医疗机构管理保障建设方面。《管理办法》将推动医疗机构的网络安全规划、教育培训、攻防演练等方面的建设发展,从而促进包括网络安全咨询、网络安全攻防实训、网络安全运营等在内的网络安全服务产业发展。

《管理办法》的发布对于医疗卫生机构建立健全网络安全体系和能力提供了范本,同时也给作为供给侧重要力量的网络安全产业带来机遇和创新动力。绿盟科技将持续推进实施“智慧安全3.0”战略,并深耕创新,依托T-ONE CLOUD等战略产品和方案赋能行业,为提升行业客户网络安全能力和体系持续贡献力量。


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接