8月29日,國家衛生健康委、國家中醫藥局、國家疾控局正式印發《醫療衛生機構網絡安全管理辦法》,以下簡稱為“《辦法》”。
作為一家在醫療衛生行業有著豐富產品落地案例的數據安全廠商,昂楷科技為醫療衛生行業的客戶提供了包括數據庫審計、防統方、數據脫敏、數據安全分類分級等產品與綜合性的數據安全治理解決方案。并且第一時間對醫療衛生機構網絡安全管理辦法進行解讀,以便高效地為客戶提供數據安全產品與服務。
一、《辦法》發布的背景及目標
隨著高質量發展縱深推進,全國衛生健康領域迎來重要機遇期,信息化發揮著關鍵的支撐作用,在此過程中產生的醫療健康數據不僅是重要的生產要素,更是國家基礎性戰略資源,因此網絡安全的重要性日益凸顯。在此背景下,《辦法》的發布,進一步規范了醫療衛生機構網絡和數據安全管理、促進“互聯網+醫療健康”發展,加快推動衛生健康行業高質量發展進程。
《辦法》的發布是為了指導以下相關醫療衛生機構加強網絡安全管理,具體包括:各省、自治區、直轄市及新疆生產建設兵團衛生健康委、中醫藥局,國家衛生健康委機關各司局、委直屬和聯系單位、中國老齡協會,國家中醫藥局、國家疾控局機關各司局、各直屬單位。
二、國家衛健委對《辦法》的解讀
《辦法》明確了各醫療衛生機構網絡及數據安全管理基本原則、管理分工、執行標準、監督及處罰要求,體現了統籌安全與發展的總體平衡,與此前出臺的一系列政策法規一脈相承,為醫療衛生機構指明了網絡安全管理的總方向,主要體現在以下四個方面:
1、強調一個周期
《辦法》全文貫穿了全生命周期管理的主導思想。在網絡安全方面,圍繞信息系統全生命周期,提出落實等級保護制度、監測預警、應急實戰、安全整改、人員管理、新技術應用、密碼安全、醫療設備、供應鏈管理等方面的要求;在數據安全方面,以保障數據的機密性、完整性、可用性為目標,要求采取數據加密、數據備份、數據脫敏等技術,加強數據收集、傳輸、存儲、使用、交換、銷毀等全生命周期的安全防護。在實際運用中,應基于網絡和數據的全生命周期視角,梳理安全策略架構,識別具體業務場景,有針對性的設計安全措施,實現安全防護。
2、突出兩個要點
《辦法》強調醫療衛生機構安全管理應圍繞頂層設計和制度保障兩個要點著力推進。
頂層設計方面,在整體網絡安全體系的基礎上,依據數據的特性建構網絡和數據安全頂層設計,落實安全責任分工,明確數據管理部門、業務部門、信息化部門在網絡和數據安全管理工作中的權責。
制度保障方面,《辦法》明確醫療衛生機構應建立健全安全管理制度、操作規程及技術規范。在執行過程中,應密切結合自身業務模式的變更,及時修訂完善制度要求,保持網絡和數據安全制度的有效執行力及充分協同。
3、融合三位一體
《辦法》要求建立網絡安全管理制度體系,加強網絡安全防護,通過管理和技術手段保障數據安全和數據應用的有效平衡。在實際運用中,應將總體安全策略拆解到具體安全管理要求,并通過安全技術實現管理要求,最終融入對應到安全運營體系中,形成融合管理、技術、運營三位一體的立體化網絡安全管理模式。
4、構建四個體系
《辦法》指出要建立防護、監測、處置、保障四個體系協同的綜合防控格局。在安全防護方面,要求建立“實戰化、體系化、常態化”的安全防護體系,形成“動態防御、主動防御、縱深防御、精準防御、整體防控、聯防聯控”的安全防護態勢;在安全監測層面,鼓勵三級醫院探索態勢感知平臺建設,及時收集、匯總、分析各方網絡安全信息,并與國家及行業平臺對接;在安全處置方面,要形成監督管理、安全檢查、應急預案、聯防聯控協同體系;在安全保障方面,通過統籌領導和規劃設計,在人才培養、安全培訓、經費支持等方面實現全方位保障。
三、針對《辦法》昂楷科技提出的解決方案
1、針對《辦法》貫穿全文的全生命周期管理的主導思想,昂楷科技認為數據全生命周期的不同階段,防護需求、防護重點不一樣,如下圖所示,在不同階段需要提供對應的數據安全防護手段。
2、《辦法》強調,堅持積極防御、綜合防護。充分利用人工智能、大數據分析等技術,強化安全監測、態勢感知、通報預警和應急處置等重點工作,落實網絡安全保護“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的“三化六防”措施。
這與昂楷科技在數據安全治理建設的設計思路是一致的,通過大數據與人工智能為引擎,建立數據安全態勢感知能力,動態測繪,持續管控,各產品合成作戰、聯防聯控,對數據進行全數據形態、全生命周期、全流通環節安全防護。
3、《辦法》中對于網絡安全與數據安全,都提出了每年對本單位進行安全風險評估,及時掌握安全狀態并加強安全教育培訓,組織安全意識教育和安全管理制度宣傳培訓等工作。這對這項工作需要有相關的產品或解決方案進行支撐,昂楷科技建議提供安全評估系統對整體安全工作與管理能力進行評估與考核。
總體而言,《辦法》堅持安全可控和開放創新并重的基本原則,其頒布為醫療衛生機構網絡安全管理提供了工作指南,筑牢了醫療衛生機構安全屏障,奠定了衛生健康行業網絡安全發展基礎。
