分析等保2.0對醫院信息安全管理的新要求

王遜

重慶市精神衛生中心 重慶 401147

前言

如今，我們已經進入了互聯網時代，人們的生產生活離不開網絡的支持。在此情況之下，保障網絡安全和信息技術應用安全成為信息化發展環節的關鍵性問題。等保2.0的提出，進一步明確的網絡安全等級保護的標準和要求，將會為各行各業的網絡信息安全管理提供制度保障。

1 等保2.0概述

等保2.0即網絡安全等級保護2.0制度，主要用于國家網絡安全領域，是基本制度，更是國策。該制度脫胎于等保1.0制度，但對后者進行了進一步優化，不僅豐富了制度內涵，讓網絡安全等級保護的技術要義更為精確，還使網絡安全框架的設計要求得到了統一。在等保2.0當中，安全擴展要求、安全通用要求和安全管理要求都屬于其安全基本要求；其中，針對云計算、物聯網等新型信息技術的安全管理要求是等保1.0中未涵蓋的，屬于安全擴展要求。

同時，等保2.0安全通用要求的技術要求定義被進一步明確，主要的技術細節部分包含安全物理環境、安全通信網絡、安全計算環境、安全區域邊界和安全管理中心[1]。在這一標準之下，對信息安全保護提出了新的技術要求。比如，為機房配備電子門禁系統和視頻監控系統，合理劃分機房管理區域，有效制定防靜電、防雷電、防水監測，從而構建安全物理環境；提高網絡設備的業務處理能力與帶寬、應用密碼保密技術和動態驗證模式，讓網絡通信安全得以加強；基于密碼技術鑒別身份，強化審計進程訪問和操作安全，有效防御惡意攻擊與未知外訪，實現數據多元備份和完整保密儲存、傳輸，進而優化安全計算環境；基于安全管理員配置安全策略，監測服務器、安全設備等組件狀態，收集處理設備審計數據等，讓安全管理中心的價值得以充分發揮。

2 醫院信息安全管理的新要求

與等保1.0相比，等保2.0的安全通用要求管理細節有強有弱。所以，醫院在開展信息安全管理時，也應該根據等保2.0提出的新要求而進行靈活調整。為此，醫院管理人員應該對標等保2.0三級標準，基于等保1.0和現有安全管理方案，進一步開展優化，從而為提升醫院等保測評效果提供輔助。

2.1 安全管理制度與機構

為了滿足等保2.0安全通用要求中的管理要求，醫院在開展信息安全管理時應該積極構建安全管理制度體系，從而讓安全管理制度變得更具系統性和科學性，為安全管理工作的順利開展提供制度保障。同時，在安全管理機構建設方面，醫院也應該進行更為科學地規劃。比如，建立專門的網絡安全管理領導小組和逐級審批制度，明確安全管理人員崗位職責與工作內容；定期開展全面安全檢查與審批信息更新，開展安全檢查報告和結果通報等。

2.2 安全管理人員

在等保2.0實行以后，安全管理人員也面臨著新的工作要求。在實踐中，醫院信息安全管理人員必須具備專業能力和敬業態度，無論是在職還是離職，都必須嚴守工作機密，保護醫院信息安全。比如，強化入職前的政審以及專業技能考核，確保安全管理人員的能力、心理素質以及思想道德觀念足以勝任本職工作；同時，還需要與安全管理人員簽署保密協定，通過合同條款明確規定崗位工作權責，從而為確保安全管理人員工作盡職、保守機密奠定基礎。當然，在安全管理人員工作環節，還應該不斷提升安全意識，若有外部人員意圖訪問系統則必須嚴格檢查他們的訪問授權，若無授權則不允許訪問且安全管理人員需立刻向上級匯報異常情況[2]。此外，開展人力資源管理時，相關工作人員也需要重視離職人員管理。比如，制定嚴謹的離職手續辦理流程、與離職人員簽署保密協定等，為避免因離職而泄密做好準備。

2.3 安全建設管理

在安全建設管理當中，醫院應該做好整體安全保護方案的規劃和設計工作，同時還應通過專家審核確定計劃可行，從而為滿足等保2.0要求做好準備。在實踐中，相關工作人員應該開展更為全面的審核和監督工作。比如，應用第三方監理制度，全面審核監督服務供應商能力，基于選型測試結果確定外部產品供貨渠道等。

2.4 安全運維管理

安全運維管理同樣是醫院信息安全管理的重要內容，等保2.0也對此方面工作提出了許多新的要求。比如，專門分析網絡日志與報警信息；對變更性運維進行嚴格審批與管控；提高授權管理嚴謹性，保證內外連接均獲得授權；定期開展安全檢查，驗證惡意代碼攻擊技術的應用有效性和網絡安全性；完善變更處理程序，保證其申報、審批、管理、記錄與反饋等程序的完整性和有序性；加強合同管理，與外包運維服務商簽訂內容明確、權責分明的運維管理協議。

3 結束語

總而言之，等保2.0的提出，有助于進一步提升國家網絡安全，可以為推進信息化發展提供輔助。對于醫院而言，等保2.0的實行為醫院信息系統的等保測評提供了明確標準，能更為全面地開展醫院信息技術應用評價，可有效提升醫院的信息安全水平，從而為醫院平穩運轉奠定基礎。