新技术的发展促进了医疗的互联网化,远程会诊、线上看诊、开药等都是互联网医疗下的新方式,互联互通的世界下信息安全形势越来越严重,医疗行业也是如此。
随着疫情的持续性,互联网医疗行业应该加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑。
01
什么是互联网医疗健康信息安全?
2021年6月3日,卫健委发布《互联网医疗健康信息安全管理规范(征求意见稿)》,目的为推进互联网医疗健康应用网络安全。文件规定了互联网医疗健康信息安全管理总体框架、信息安全相关方管理、信息安全过程管理、信息安全数据管理、信息安全技术管理和信息安全组织管理的规范和安全要求。
一、互联网医疗健康服务
应用互联网及相关信息技术提供的互联网医疗服务、互联网公共卫生服务、互联网家庭医生签约服务、互联网药品供应保障服务等。
二、互联网医疗健康信息系统
为互联网医疗健康服务过程以及管理和决策提供支持的信息系统。包括计算机硬件、软件、网络等总称。
三、互联网医疗健康信息安全管理
在互联网医疗健康服务开展过程,在应用建设、运营管理和信息管理等阶段,应用合理的技术与管理手段,保障信息安全的管理过程,包括以下4部分:
A、互联网医疗健康信息安全过程管理要求
●建设过程管理
(1)信息系统应通过网络安全等级保护三级测评和定期复评;
(2)服务过程与运营过程中收集和产生的个人信息和重要数据应当在境内存储;
各项操作行为进行审计,审计范围应覆盖到每个用户,并对审计记录进行保护;
●服务过程管理
(1)对服务对象与服务人员的个人隐私信息进行保护;
(2)建立并处理有关信息安全的投诉和举报;
(3)医务人员开展服务过程中,应根据相关管理要求使用数字证书和电子签名技术。
●监管过程管理
监督管理建设方、服务方与运营方的互联网医疗健康信息安全执行效果;
监督方式包含信息及网络安全审计、安全漏洞扫描等;
可根据情节严重程度,采取警告、通告批评、停服整顿、停止服务资格等处罚。
●运营过程管理
个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
B、互联网医疗健康信息安全数据管理要求
数据采集流程为:采集数据——存储数据——传输数据——应用数据——销毁数据,应该符合GB/T 35273 《信息安全技术 个人信息安全规范》、GB/T 22239 《信息安全技术 网络安全等级保护基本要求》的相关内容。
C、互联网医疗健康信息安全技术管理要求
●信息系统安全管理
(1)符合GB/T 35273的相关要求,以及GB/T 22239第三级安全要求;
(2)面向患者提供实名认证功能,保护个人身份信息、生物识别信息等,防止泄露;
(3)支持“最小授权”、“职责分离”、“角色分离”、“默认拒绝”等原则构建系统敏感数据的访问控制、权限控制以及授权控制策略;
(4)移动端应用,应在可靠的应用渠道发布,不得开启与服务无关的功能,不得捆绑安装无关应用程序。
●第三方接入安全管理
(1)第三方信息系统对接时,应遵循国家法律法规及行业相关管理;
(2)遵循最小原则,控制信息使用范围;
●个人信息安全管理
(1)遵循网络安全保护法、民法典等法律法规,以及GB/T 35273的相关要求;
(2)在系统建设时对个人信息保护措施同步规划、同步建设和同步使用;
(3)数据权限控制、个人信息去标识化、数据加密、安全审计等;
D、信息安全组织管理要求
●制度管理
(1)建立适宜的安全管理制度、安全影响评估制度等;
(2)建立信息安全管理的组织和岗位;
(3)定期对信息安全管理工作进行全面自查,并作出整改建议
●人员管理
(1)主管领导是第一负责人,分管领导是直接责任人;
(2)划分不同的管理员角色进行互联网医疗健康信息安全管理;
(3)定期开展互联网医疗健康信息安全教育与培训
●应急管理
制定互联网医疗健康信息安全事件应急预案
定期(至少每年一次)组织相关人员进行应急响应培训和应急演练
02
联软科技互联网医疗信息安全解决方案
等保、网络安全法、数据安全法等法律法规的出台对各行业的网络安全提出了更精细的标准。针对互联网医疗行业的现状,联软从以下4个方面为互联网医院安全建设保驾护航。
一、互联网安全监控
联软科技为医疗行业进行互联网侧资产梳理+漏洞扫描,提供互联网高危漏洞预警,业务系统上线前安全检查。提供7*24小时的全方位监控,主要监控网站运行状况、响应时间、服务器运行状况等,一旦发现网站无法访问,第一时间通知用户。
二、云主机安全管理
UniCWPP云主机安全管理系统是以资产驱动安全的新一代自适应主机安全管理系统,它彻底改变传统主机安全产品仅专注于安全防御的被动处境,提供主机安全管理、基线核查、防病毒、防入侵等能力,助力业务系统通过等保2.0等合规检查。
三、终端安全接入
PC终端内外网接入平台的非授权访问保护,将非授权访问保护能力通过SDK集成到APP中。以个人信息安全保护为核心,敏感数据访问控制,防止内部非授权人员及其他人员未经授权获取个人信息。
四、远程接诊/远程运维非授权访问保护方案
解决互联网远程接入企业内网服务过程中存在着身份、数据、权限、审计等多方面的安全风险;内网服务通过HTTPS端口映射方式发布到互联网,增加暴露面,易被攻击;企业重要业务数据存储在终端设备内,存在数据外泄风险;传统解决方案通过静态策略控制,无法应对复杂环境的改变;接入的终端类型多样,操作系统多样、浏览器多样,兼容性无法保障等多种问题。
医疗行业作为抗击疫情和保护国民健康的主力军,在互联网时代下需全面提升网络安全防护能力。联软已为北京友谊医院、北大人民医院、上海交通大学附属瑞金医院、复旦大学附属中山医院、四川大学华西第二医院等提供网络安全技术支持与服务。未来将继续为医疗行业的网络安全提供自己的力量,保障互联网医疗健康发展。