医疗行业的网络安全也是重中之重。早在2011年,原卫生部就下发了《关于全面开展卫生行业信息安全等级保护工作的通知》,其要求卫生行业各单位限时完成单位系统的定级备案工作,同时要根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案,最终通过等级测评。
由此可见,国家对于医疗行业的网络安全问题也是十分重视。在《关于全面开展卫生行业信息安全等级保护工作的通知》下发后,国家又陆续出台了不少关于医疗行业网络安全等级保护的政策法规,以全面提高卫生行业信息安全保障能力和水平,保障和促进卫生信息化健康发展。政策法规内容及其解读如下:
1、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号)
重点解读:文件要求在定级、整改测评过程中贯彻执行国家相关标准,卫生行业各单位要按照“遵循标准、重点保护、行业指导、属地管理,同步建设、动态完善”的原则,建立信息安全等级保护工作长效机制,这一年是卫生行业的开始,很多医院不是特别重视。
2、卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号)
重点解读:明确三甲医院核心业务系统(his系统、LIS系统、pacs系统、EMR系统)按照信息安全等级保护三级要求进行建设和保护。
3、2012年5月21日 《关于印发基层医疗卫生机构管理信息系统建设项目指导意见的通知》
重点解读:在制度建设中,加强系统日常运行维护、系统监控、安全护、应急处理等方面的标准规范和规章制度。
4、国务院办公厅关于印发《政府网站发展指引的通知》(国办发[2017] 47号文)
重点解读:被列为关键信息基础设施的政府网站要在严格执行等级保护的基础上,实行重点保护,不得使用未通过安全审查的网络产品和服务。医院作为关键信息基础设施,应按照此要求定期开展安全评估。
5、2018年4月2日《全国医院信息化建设标准与规范(试行)》对各医院的网络安全有了明确要求。
重点解读:安全建设要求为:保障数据中心安全、终端安全、网络安全、容灾备份等4个方面,19个项目。
6、2018年4月18日《关于印发医疗质量安全核心制度要点的通知》(国卫医发[2018]8号)
重点解读:文件第18条第二点明确指出:医疗机构应当依法依规建立覆盖患者诊疗信管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。
7、2019年5月31日国家卫生健康委办公厅关于印发《社区医院基本标准和医疗质量安全核心制度要点(试行)的通知》
重点解读:文件中对电子病历提出要求:应当建立电子病历的记录、修改、使用、存储、传输、质控、安全等级保护等管理制度。社区医院也要落实等保制度要求。
8、2019年8月12日上海市卫健委发布《上海市互联网医院管理办法》
重点解读:第二十三条(信息系统建设)规定,互联网医院应按照《网络安全法》 《网络安全等级保护条例》 《国家健康医疗大数据标准、安全和服务管理办法(试行)》 《卫生行业信息安全等级保护工作的指导意见》 《互联网医院基本标准》等法律法规规定建立信息系统,配备信息专业技术人员,遵守互联网信息安全相关法律法规。
互联网医院信息系统按照《信息安全技术 网络安全等级保护基本要求》第三级标准完成定级备案和测评,每年应依法开展测评,测评通过后应提交系统年度测评报告。
9、2019年11月25日国家卫生健康委办公厅关于印发《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》(国卫办医函〔2019〕851号)
重点解读:在信息化建设方面,要符合《全国医院信息化建设标准与规范》的要求,信息化功能要具备《医院信息平台应用功能指引》的要求,信息技术要符合《医院信息化建设应用技术指引(2017版)》的要求,数据上报要符合国家和行业数据管理相关要求。
同时,医院电子病历建设达到国家卫生健康委员会“电子病历应用等级测评”四级要求;信息平台建设达到“医院信息互联互通标准化成熟度测评”四级要求;医院核心业务系统达到“国家信息安全等级保护制度”三级要求,使用国产密码对核心数据进行加密保护。
