《医疗卫生机构网络安全管理办法》发布, 首部垂直行业领域管理办法
发布日期:2022-09-06自2016年《网络安全法》颁布后,各行业纷纷出台适用于垂直行业领域的网络安全管理办法。据不完全统计,目前已有电力、水利、金融、医疗等十余个行业发布网络安全专项管理办法,如:《电力行业网络安全管理办法(修订征求意见稿)》《水利网络安全管理办法 (试行)》《证券期货业网络安全管理办法(征求意见稿)》
近日,国家卫生健康委、国家中医药局、国家疾控局三部门联合发布了《医疗卫生机构网络安全管理办法》(以下简称《管理办法》),是我国目前垂直行业领域内首部正式发布的网络安全管理办法。
《管理办法》是依据《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等法规标准制定,旨在加强医疗卫生机构网络安全管理,防范网络安全事件发生,推动整个行业的安全健康有序发展。
随着电子病历、互联网医疗、AI医疗影像等应用的普及,医疗数字化浪潮袭来。然而,数字化技术的使用同样也带来新的安全风险。近年来,医疗系统遭遇网络攻击的事件时有发生,数据泄露也屡见不鲜。《2021年度高级威胁态势研究报告》显示,2021年全球高级威胁攻击事件中,医疗部门是攻击的重点目标。
《管理办法》指出,各类医疗机构应坚持分等级保护、突出重点。重点保障关键信息基础设施、网络安全等级保护第三级(以下简称第三级)及以上网络以及重要数据和个人信息安全。并要求落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。
随着高质量发展纵深推进,全国卫生健康领域迎来重要机遇期,信息化发挥着关键的支撑作用,在此过程中产生的医疗健康数据不仅是重要的生产要素,更是国家基础性战略资源,因此网络安全的重要性日益凸显。在此背景下,《管理办法》的发布,进一步规范了医疗卫生机构网络和数据安全管理、促进“互联网+医疗健康”发展,加快推动卫生健康行业高质量发展进程。
对于医疗卫生机构而言,该《管理办法》落实也将面临一些挑战。开展网络安全等级测评和安全自查将作为医疗卫生机构的法定义务,由于本办法自实施之日即生效,对于部分医疗卫生机构而言,需要一定的时间并组织人力物力立即开展自查工作。对于正在进行的网络设施和信息系统建设提出了更高的要求,需要在新建时即满足本办法的要求(包括新建信息化项目的网络安全预算不低于项目总预算的5%的要求),可能需要对相关在进项目的工作内容进行补强调整。
根据等保2.0“安全计算环境”部分,要求通信过程必须保护数据传输的机密性、完整性,并实现身份鉴别。GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》也规定了信息系统在网络和通信安全层面,涉及到通信的主体(通信双方)、信息系统与网络边界外建立的网络通信信道,应采用密码技术(HTTPS协议)保护通信信道传输安全。建议医疗卫生机构及相关集成商在信息系统建设中,可以应用沃通SSL证书、沃通国密SSL证书为网络通信实现数据传输加密,保护传输数据安全、鉴别通信主体身份,满足法规标准要求。
专题推荐
网络通信安全,需要https守护——SSL证书助力保障网站安全可信