醫院網絡安全等級保護2.0管理體系建設實踐

摘? ?要：按照《中華人民共和國網絡安全法》（本文簡稱《網絡安全法》）及衛生行業網絡安全等級保護相關指導文件要求，在醫院開展三級等級保護工作。文章通過實踐探討了醫院網絡安全管理體系建立的過程，對同類醫院的等級保護建設具有一定的參考價值。

關鍵詞：網絡安全;等級保護;管理

中圖分類號： TP393? ? ? ? ? 文獻標識碼：A

Abstract： According to the requirements of the Cybersecurity law and the related guidance documents of the cybersecurity level protection in medical system， the three-level protectionwork is carried out in hospitals. The process of establishing the cybersecurity management system in hospitals is discussed through practice， which is helpful to the construction of the similar hospitals.

Key words： cybersecurity ;level protection;management

1 引言

2011年，衛生部發出了關于全面開展衛生行業信息安全等級保護工作的通知，對衛生行業信息系統等級保護工作提出了具體要求。2017年6月1日正式實施的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第21條規定，國家實行網絡安全等級保護制度。自2019年12月1日起，正式實施的《網絡安全等級保護級別要求GB/T 22239-2019》諸多標準，標志著網絡安全等級保護正式進入2.0時代（以下簡稱等級保護2.0）。

本文結合天津市泰達醫院網絡安全等級保護2.0建設及測評工作的實踐，針對其中的管理體系建設方面進行深入探討。

2 網絡安全等級保護

2.1 基本概念

網絡安全等級保護是指對網絡實施分級保護、分級監管，對網絡中使用的網絡安全產品實行按等級管理，對網絡中發生的安全事件分等級響應、處理。這里的“網絡”是指由計算機或者其他信息終端及相關設備組成的，按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統，包括網絡設施、信息系統、數據資源等。結合我國有關的法規和文件，“網絡安全”與“信息安全”具有相同的內涵。

2.2 等級保護2.0主要變化

等級保護2.0是在過去10年開展信息安全等級保護工作的基礎上進行完善，核心標準包括《網絡安全等級保護基本要求GB/T 22239-2019》《網絡安全等級保護測評要求GB/T28448-2019》《網絡安全等級保護安全設計技術要求GB/T25070-2019》《網絡安全等級保護實施指南GB/T 25058-2019》等。等級保護2.0的標準是注重全方位主動防御、動態防御、整體防控和精準防護，實現了對云計算、移動互聯網、物聯網、工業控制信息系統等保護對象的全覆蓋。

2.3 網絡安全等級保護工作流程

網絡安全等級保護的工作流程如圖1所示。

在網絡安全等級保護工作中，一般可按照該流程按順序依次進行定級、備案、建設整改、測評等工作。但在建設整改階段，僅通過自評往往不足以對自身網絡安全狀況有較準確的認識，不能有針對性的進行建設整改。因此，對于自身技術能力薄弱的單位建議首先進行等保測評，由專業公司對系統物理環境、主機、網絡、業務應用系統、安全管理制度和人員等方面，進行綜合測評，以期發現信息系統和等級保護標準的差距及存在的安全隱患，為后續的安全建設、整改工作提供參考依據。

3 醫院網絡安全等級保護建設常見問題

根據網絡安全等級保護工作行業指導、屬地管理要求，天津市衛計委專門制定了信息系統安全等級保護工作實施指南，有效地推動了各醫療機構等級保護工作的開展。

網絡安全等級保護建設的要求包括基本技術要求和基本管理要求，兩者不可分割。但在醫院具體落實網絡安全等級保護工作中，由于對網絡安全工作認識不足，許多醫院存在一種偏差：重技術輕管理。在開展網絡安全等級保護中愿意花大量資金購買網絡安全設備，認為有了安全設備就萬無一失，疏忽管理體系的建立，往往采購了大量的網絡安全產品后，仍然發生網絡安全事故，達不到網絡安全的最終目標。

在等級保護2.0建設中，管理要求分類體現從要素到活動的綜合管理思想。管理機構需要的“機構”“制度”和“人員”三要素缺一不可，同時還應對系統建設整改過程中和運行維護過程中的重要活動，實施控制和管理。在網絡安全相關技術日新月異進步的形勢面前，做好網絡安全等級保護工作“三分靠技術，七分靠管理”。只有結合醫院自身的實際情況，建立起比較完備的管理體系，才能有效的保障網絡安全。

4 醫院網絡安全等級保護管理體系建設實踐

醫院建設有HIS、電子病歷、PACS、LIS等眾多信息系統，前期缺乏專門負責網絡安全的工作人員，所以網絡安全的管理屬于薄弱環節。因此，在網絡安全等級保護工作中，結合自身情況，按照定級、備案、等保測評、建設整改的步驟開展工作，醫院HIS及電子病歷系統最終被定級為三級系統。在采購了相應的網絡安全設備后，大力加強網絡安全管理體系建設成為最重要的工作內容，具體做法有六方面。

4.1 落實網絡安全責任制

首先將原信息化領導小組改為網絡安全和信息化領導小組，該小組作為院級網絡安全領導機構，明確了責任領導和責任人員，建立了醫院信息安全管理總綱。同時，調整了信息部崗位和人員職責，落實了網絡安全責任制。

4.2 網絡安全管理現狀分析

通過對網絡安全現狀進行分析，找到網絡安全管理建設整改需要解決的問題，才能明確建設整改的具體需求。為了更準確地找到不足，醫院在完成定級備案后首先進行了等級保護測評工作。通過對比測評指標，從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理五個方面進行了詳細梳理，查找出不符合的項目，確定了本院管理方面建設整改的內容。

4.3 制定網絡安全管理策略和制度

針對醫院網絡安全管理的需求，確定安全管理目標和安全策略，針對網絡各類管理活動，制定人員安全管理制度、系統建設管理制度、系統運維管理制度、定期檢查制度等，規范安全管理人員或操作人員的操作規程等，形成安全管理體系。

4.4 落實網絡安全管理措施

人員安全管理主要包括人員錄用、離崗、考核、教育培訓等內容。規范人員錄用、離崗過程，關鍵崗位簽署保密協議，對各類人員進行安全意識教育，對外部人員運行訪問區域進行嚴格控制。

系統運維管理主要針對環境和資產安全管理、設備和介質安全管理、日常運行維護、集中安全管理、事件處置與應急響應、災難恢復、安全監測等。

4.5 系統建設管理

制定系統建設相關的管理制度，包括定級備案、方案設計、產品采購使用、軟件開發、工程實施、驗收交付、等級測評、安全服務等管理責任以及管理內容和控制方法。

4.6 安全自查與調整

制定安全檢查制度，定期檢查各項制度、措施的落實情況，并不斷完善。針對醫院的兩個三級系統，每年自查一次。

通過建設整改，依據網絡安全等級保護工作中三級系統的要求，建立起具有特色的網絡安全管理體系，具體內容如圖2所示。

5 兩點“重視”

在醫院順利通過等級保護2.0測評過程中，醫院網絡安全管理體系的建立，除了貫徹執行《網絡安全法》及相關制度規范外，還有兩點經驗。

5.1 領導高度重視

網絡安全管理是一個系統工程，涉及到管理機構、人員、系統建設、系統運維的各個階段管理制度的落實，這些僅靠技術人員的工作職能無法完成，單位領導的重視顯得尤為重要。因此，必須確定院級網絡安全責任機構，落實網絡安全責任制，讓一把手高度重視，這樣不僅能建立起網絡安全管理體系，也能使具體舉措落實執行。

5.2 重視內部安全威脅

避免重視外網輕視內網的現象。對于醫院來講，外部入口少，內部系統數據集成復雜。最大的網絡安全威脅不是來自外部，而是內部人員對網絡安全知識匱乏。需要不斷進行網絡安全意識培訓，提高全體人員的安全保密意識和自我防范能力。

6 結束語

依法開展網絡安全等級保護是各級醫療機構信息化建設過程中必不可少的工作，本文介紹了網絡安全等級保護工作的基本流程及常見問題，并結合本院具體工作，探討了網絡安全等級保護管理體系的建立及經驗，為其他醫院此項工作提供了參考。

參考文獻

[1] 郭啟全，等.網絡安全法與網絡安全等級保護制度培訓教程（2018版）[M].北京：電子工業出版社，2018.

[2] 中華人民共和國公安部.信息安全等級保護管理辦法[Z].公通字〔2007〕43號.

[3] GB/T 22239-2008 信息系統安全等級保護基本要求[S].北京：中國標準出版社，2008.

[4] GB/T 22239-2019 網絡安全等級保護級別要求[S].北京：中國標準出版社，2019.

[5] 中華人民共和國公安部.關于開展信息安全等級保安全建設整改工作的指導意見[Z].公信安〔2009〕1429號.

[6] 王磊，魏曉艷，郎爽，修燕.醫院信息安全等級保護三級評測的應用與實踐[J].中國數字醫學，2015，10（2）：81-83.

[7] 馬力，祝國邦，陸磊.《網絡安全等級保護基本要求》（GB/T 22239-2019）標準解讀[J].信息網絡安全， 2019（2）：77-84.

作者簡介：

張朝（1973-）男，漢族，河南遂平人，蘇州大學，碩士，天津市泰達醫院，高級工程師;主要研究方向和關注領域：醫療信息化。