面向等級保護的醫院信息安全服務框架

王光明

（南京市溧水區第三人民醫院，江蘇 南京 211200）

1 信息安全服務及其在醫院的應用

根據ISO/IEC TR 15443-1：2005國際標準的術語，信息安全服務是由供應商、機構或人員執行的一項安全過程或任務。具體到醫院環境里，多指由專業第三方單位向醫院提供信息安全服務，本文所指的服務也是指安全專業機構向醫院的一種服務輸出。

筆者以為，信息安全服務是指為滿足客戶持續發展的信息安全需求，通過安全專家提供 完整的行業或特定客戶的信息安全咨詢或解決方案，幫助客戶應對來自信息安全領域的各種挑戰，為信息系統支撐業務發展提供安全保障。

在各級醫院，信息技術服務應從網絡、應用及IT資產三個方面構建醫院信息安全保護體系。結合醫院總體信息安全方針，在協議、互聯、接口、人機界面、數據存儲等方面實現安全技術要求；在流程、組織、員工、項目管理和運行維護等方面實現安全管理要求，保障醫院相關業務信息平臺與系統的穩定運行，以及系統高可用性和敏感數據安全可靠。

總的來說，信息安全服務大致有風險識別服務、安全規劃服務、安全應急服務、數據與應用容災服務、安全開發服務、安全運維服務、安全審計服務和安全評測服務等。這些服務可由醫院通過招標、競爭性談判等采購方式，確定服務提供商（安全服務機構），并以訂立合同的形式約束服務內容和服務質量（或SLA，即服務水平協議）。

2 等級保護規定及其在醫院的推行

等級保護規定是我國在信息安全、網絡安全領域的最重要的規定之一，并且在《網絡安全法》中得到明確。

1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》為等保奠定了法律基礎。2011 年，衛生部通過貫徹《衛生行業信息安全等級保護工作的指導意見》文件的落地，推動等保合規建設得以在醫療行業全面展開。2019年12月1日，國家標準GB/T 22239-2019《 信息安全技術 網絡安全等級保護基本要求》的正式施行，標志著網絡安全等級保護正式進入2.0時代。

在各級醫院，通過對等保政策的推動實施，基于評測整改定級的迭代升級，安全保障能力持續提升。等保規定強化部署安全設備、安全軟件以及安全加固服務，提升院內信息系統安全防護能力，確保醫院內、外網硬件及業務軟件包括數據受到保護，不因偶然或惡意因素遭受破壞、更改和泄露，確保業務連續性。

3 等級保護視角下醫院信息安全服務的內容探析

3.1 等級保護流程

GB/T 25058-2019《信息安全技術 網絡安全等級保護實施指南》規定了對等級保護對象實施等級保護的基本流程。包括如下幾個階段：

保護對象定級與備案階段：可理解為啟動階段。

總體安全規劃階段：可理解為頂層設計階段。

安全設計與實施階段：可理解為建設實施階段。

安全運行與維護階段：可理解為平穩運行階段。

定級對象終止階段：可理解為結束階段。

3.2 等級保護對象定級與備案階段的服務

本階段的目標是實施等保的醫院按照國家有關管理規范和定級標準，確定院內等級保護對象及其安全保護等級，通常二、三級醫院也可對應等保第二、三級，定級后應經過專家評審并主管部門核準，報公安機關備案審查。在此階段，對應如下為兩類服務。

等保定級咨詢服務：在自行定級基礎上，參照國家衛生健康主管部門對等級保護定級要求，對信息系統開展摸底調查工作，了解信息系統（包括信息網絡）的業務類型、應用或服務范圍、用戶數量、系統結構、部署方式、安全策略、內控制度等信息，協助用戶單位完成撰寫信息系統定級報告，明確信息系統的邊界和安全保護等級，并組織專家評審。

等保備案輔助服務：根據《信息安全等級保護管理辦法》，信息系統運營使用單位或主管部門需到當地公安機關備案。備案輔助服務，即是協助醫院信息部門填寫《信息系統安全等級保護備案表》等準備材料，直到完成備案工作。

3.3 總體安全規劃階段的服務

本階段目標是根據院內等級保護對象的劃分情況、定級情況和承載業務情況，通過分析明確醫院等級保護對象安全需求，規劃設計滿足等保要求并科學合理的總體安全方案，制定方案實施計劃，指導其后等保對象安全建設項目實施。此階段對應如下兩類分析服務。

等保資產分析服務：根據等級保護范圍內的資產組成，派遣專業工程師到醫院整理各系統網絡拓撲以及相關聯資產，編制信息系統資產清單及資產報告，對服務范圍內信息系統及安全管理制度進行調研和梳理，編制信息系統詳細描述文檔。提供詳細的資產臺帳，協助醫院完成總體安全規劃。

等保風險分析服務：根據等級保護基本要求，開展現狀分析，通過安全訪談、脆弱性評估、登錄檢查、日志分析以及滲透測試等技術手段對現有的安全資產進行全方位的風險評判，結合數字資產屬性、威脅性、脆弱性等基本因素，完成信息系統安全風險分析，編制風險分析報告。

3.4 安全設計與實施階段的服務

本階段的目標是按照醫院等級保護對象安全總體方案要求，結合其安全建設實施規劃，分階段、分步驟落實安全措施。在此階段可實施如下二類服務。

等保差距評估服務：在設計和實施階段，特別是實施收尾期，根據GB/T 22239-2019標準將定級信息系統等級保護的各項基本要求與信息安全現狀進行比較分析，從管理和技術兩個層面找出存在的問題并進行差距分析。

等保整改建設服務：依據相應等級要求對當前實際情況的差距分析結果對應策略設計整改加固措施，針對不符合項以及行業特性要求進行個性化的整改方案設計，包含崗位職責梳理、技術策略實施、風險評估、管理體系建設、安全設備集成、安全方案優化、提供安全情報等方面，落實信息安全等級保護詳細建設方案，協助醫院完成網絡安全建設和整改工作。

3.5 安全運行與維護階段的服務

本階段涉及的內容包括醫院安全運行與維護機構的完善，相關安全運維機制的建立，包括不限于人員、資產、技術、流程的管理，以及網絡、系統的管理，密碼、密鑰的管理和運行、變更的管理，同時須采取技術措施完成安全狀態監控，通過與網安部門配合參與網絡安全事件的處置，以及安全審計和安全巡檢等內容。本階段周期較長，涉及四類服務。

等保整改加固服務：根據等級保護基本要求以及風險和差距分析結果，對服務范圍內信息系統的關鍵資產編制安全加固實施方案。派遣專業工程師到醫院現場，根據安全加固實施方案實施邊界防護安全策略優化輔導，提供主機安全加固建議、數據庫安全加固建議以及應用安全加固建議，并在授權后付諸實施。

等保制度建設服務：協助醫院對安全管理制度建設，主要包括信息安全工作職責，信息安全監督、檢查機制，輔助用戶編寫方針、制度、各類記錄表格模板在內的三層結構的安全管理制度等，達到等級保護測評要求。

安全策略復查服務：派遣專業工程師到醫院現場針對加固前后的系統脆弱性進行復查，復查手段包括協議分析、漏洞掃描、漏洞驗證以及配置核查等方法。復查完成后，應出具復查報告，反應加固前后對比。

等保測評輔助服務：在測評階段協助用戶準備測評對象相關材料，指導醫院配合測評機構開展等級測評工作，監督測評整改，保障醫院以較高分數獲得測評報告，通過等保測評。

4 簡析信息安全服務框架及與等保關聯

在等級保護政策下，醫院信息安全服務框架有了更完整的畫像。該信息安全服務框架提供外部支持服務，以幫助各類醫療機構、衛生管理部門和更廣泛的公共部門組織管理信息安全風險并在發生網絡安全事件時進行恢復。經過一系列的設計、交付、測試、治理和保證等合規行動，它通過確保患者數據的安全和關鍵服務及系統保持可用，來實現醫療機構服務連續性。

醫院信息安全服務框架由核心方針、實施程序和配置文件構成。各方作用如下：

核心方針——能夠在整個醫院內傳達網絡安全風險；

實施程序——幫助為安全計劃找到合適的執行程度；

配置文件——使相關行業標準和醫院最佳實踐保持一致。

框架核心是一組信息安全活動、預期結果和適用的參考標準，這些活動在關鍵基礎設施部門中是通用的。它由五個并發和連續的階段功能組成：識別、保護、檢測、響應和恢復。在等級保護政策來看，GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》標準就相當于核心方針。它規定了（醫療機構）網絡安全等級保護的第一級到第三級（通常）等級保護對象的安全通用要求和安全擴展要求。 第四級鮮有醫院定，本標準不涉及第五級。

實施程序描述了醫院信息安全風險管理實踐表現出框架中定義特征的程度。國標GB/T 22240-2020 《信息安全技術 網絡安全等級保護定級指南》大致相當于（其中某項）實施程序。它給出了醫療機構內等級保護對象的安全保護等級定級方法和定級流程。適用于指導醫院管理員開展針對本機構的等級保護對象定級工作。

配置文件表示醫院根據業務需求確定優先級的核心功能類別和子類別，可用于衡量醫院朝著目標配置文件的進度。通常在行業內被稱為“規程”文件。比如國標GB/T 28449-2018《信息安全技術 網絡安全等級保護測評過程指南》文件實際上就是指導測評過程的一個規程性文件。它不僅規定了測評服務的工作要求、工作流程，甚至還明確了測評方式、報告模板等。

等保工作中的定級、備案、測評、建設整改和監督檢查一系列閉環流程，也可以理解為近似本框架的5個關鍵階段。即識別、保護、探測、回應、恢復。其中識別階段是基礎。識別就是列支準確的 IT 資產清單，并了解資產的重要性。識別還關注發現攻擊者可以利用的漏洞。識別能力就像人類的感官，感知風險，并通過信息安全策略、工作計劃來提供指導和幫助。

4.1 識別

識別也稱確認，該階段專注于為有效的信息安全計劃奠定基礎。有助于形成醫院上下理解，以管理系統、人員、資產、數據和能力的網絡安全風險。為了使醫院能夠根據其風險管理戰略和業務需求集中精力并確定其工作的優先級，該階段強調了解衛生醫療業務背景、支持關鍵職能的資源以及相關網絡安全風險的重要性。該階段的基本活動包括：

4.2 保護

保護功能概述了可用于醫院的適當的保護措施，以確保院內關鍵基礎設施服務的交付，并支持限制或控制醫院潛在網絡安全事件影響的能力。該階段中的關鍵活動包括：

4.3 探測

檢測潛在的網絡安全事件至關重要，該階段定義了適當的活動，以及時識別醫院網絡安全事件的發生。該階段的活動包括：

4.4 回應

響應階段側重于在檢測到醫院網絡安全事件時采取適當的行動，并支持控制潛在網絡安全事件影響的能力。該階段的基本活動包括：

4.5 恢復

恢復階段確定適當的活動，以更新和維護彈性計劃，并恢復因網絡安全事件而受損的任何能力或服務。及時恢復正常運營，以減少網絡安全事件的影響。此階段的基本活動與響應的活動有些重疊，包括：

4.6 層級關系

如上圖，識別、保護、探測、回應、恢復等各階段的關系，可理解為均屬實施程序的環節。組成首尾呼應的“戴明環”，該環內圈為組織的核心安全方針，外圈為各階段、各程序的配置和記錄文件。

5 結束語

當今，醫療衛生行業已經變得容易受到網絡攻擊，就像任何其他行業一樣。在所有這些領域中，一個值得注意的事實是現有威脅和新興威脅的相似性。與此同時，醫療機構組織越來越需要向客戶和監管機構保證他們的網絡和系統已經采用了足夠的安全措施。實現這一目標的一種方法包括遵守各種公認的安全標準和框架。在國內，首選自然是通過網絡安全等級保護定級和測評、監督（當前版本為2.0），選擇等保不僅是政策上的考量，而且也源于它的安全框架設計科學、有效，可最大限度抵抗“木桶原理”。

盡管信息安全服務包羅甚廣，但當視角鎖定等級保護時，所需的安全服務基本上是未然流程中各階段而完成的。除等保定級對象終止階段外，其余各階段均可由專業的安全服務機構向醫院輸出服務，協助用戶完成等保完整流程。茲列表如下：

等保階段 定級備案 總體規劃 設計實施 安全運維 定級終止所需服務列表 定級咨詢備案輔助資產分析風險分析差距評估整改建設整改加固制度建設策略復查無

同時也明確，部分更深一層次的服務，比如安全滲透服務，其實是包含在風險分析服務中的。