欢迎访问等保测评网!

等保服务热线:18664786404

当前位置:主页 > 等保资讯 > 等保快讯 >

医院等级保护工作如何合规?

2020-12-09 16:16
未命名_自定义px_2020-10-29-0 (3)
 
近年来,网络安全越发被重视,尤其是进入等保2.0时代以来,公安机关对不履行网络安全保护义务的单位的打击和处罚力度也越来越大。单就医疗行业而言,2020上半年因为未按要求落实等保工作而被通报处罚的医院就不在少数。这里给大家展示一个例子:
 
忻州市和美妇产医院不履行网络安全等级保护案
 
2019年12月,工作中发现,忻州市和美妇产医院门户网站存在安全漏洞,忻州市公安局直属分局网安大队立即前往该医院调查取证。经调查发现,该医院未履行网络安全等级保护制度,网络安全意识淡薄,未确定网络安全责任人,未制定网络安全应急事件预案,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,严重影响网站信息安全,同时该网站未办理等级保护备案手续。
 
2020年3月,忻州市公安局直属分局网安大队根据《网络安全法》第二十一条、五十九条之规定,决定对忻州市和美妇产医院处以行政警告处罚,并责令其限期整改。
 
《网络安全法》第五十九条规定:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
 
落实等级保护,是为了满足主管单位和公安机关的要求,也是为了提升自己的信息系统安全防护水平。医院等级保护工作可以这样开展:
 
一、合理开展系统定级备案工作
 
医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。
 
医院信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级(自主保护级),信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级(指导保护级),信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级(监督保护级),信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级(强制保护级),信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级(专控保护级),信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
 
定级流程是:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
 
医院可参考“定级要素与安全保护级别的关系”来确定信息系统的所属级别:
360截图20200617152714259
 
定级之后,医院就可以准备相关材料到公安机关进行备案。若审核通过,公安机关会出具《信息安全等级保护备案证明》;若审核未通过,公安机关也会给予反馈。
 
二、按规定进行整改测评工作
 
备案成功之后,医院需要联系专业的等保测评机构来给医院信息系统进行测评,看看医院信息系统是否符合等保要求,如果不符合,要把不符合的点列出来,然后进行整改,使之符合。等保2.0时代,只有测评得分高于50,且医院信息系统没有高风险项,医院的信息系统等级保护测评才算通过。
 
虽然说起来简单,但根据多家医院的过等保经验,很多医院往往会卡在整改这一关,因为对等保标准不够了解,或者整改机构没照好,导致整改工作迟迟无法完成,一年下来都无法通过等级测评。
 
三、其他等保建设建议
1.在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击;
2.加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效;
3.加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性;
4.适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。