新技術(shù)的發(fā)展促進了醫(yī)療的互聯(lián)網(wǎng)化，遠程會診、線上看診、開藥等都是互聯(lián)網(wǎng)醫(yī)療下的新方式，互聯(lián)互通的世界下信息安全形勢越來越嚴重，醫(yī)療行業(yè)也是如此。

隨著疫情的持續(xù)性，互聯(lián)網(wǎng)醫(yī)療行業(yè)應該加強網(wǎng)絡信息安全工作，以防攻擊、防病毒、防篡改、防癱瘓、防泄密為重點，暢通信息收集發(fā)布渠道，保障數(shù)據(jù)規(guī)范使用，切實保護個人隱私安全，防范網(wǎng)絡安全突發(fā)事件，為疫情防控工作提供可靠支撐。

01

什么是互聯(lián)網(wǎng)醫(yī)療健康信息安全？

2021年6月3日，衛(wèi)健委發(fā)布《互聯(lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范（征求意見稿）》，目的為推進互聯(lián)網(wǎng)醫(yī)療健康應用網(wǎng)絡安全。文件規(guī)定了互聯(lián)網(wǎng)醫(yī)療健康信息安全管理總體框架、信息安全相關(guān)方管理、信息安全過程管理、信息安全數(shù)據(jù)管理、信息安全技術(shù)管理和信息安全組織管理的規(guī)范和安全要求。

一、互聯(lián)網(wǎng)醫(yī)療健康服務

應用互聯(lián)網(wǎng)及相關(guān)信息技術(shù)提供的互聯(lián)網(wǎng)醫(yī)療服務、互聯(lián)網(wǎng)公共衛(wèi)生服務、互聯(lián)網(wǎng)家庭醫(yī)生簽約服務、互聯(lián)網(wǎng)藥品供應保障服務等。

二、互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)

為互聯(lián)網(wǎng)醫(yī)療健康服務過程以及管理和決策提供支持的信息系統(tǒng)。包括計算機硬件、軟件、網(wǎng)絡等總稱。

三、互聯(lián)網(wǎng)醫(yī)療健康信息安全管理

在互聯(lián)網(wǎng)醫(yī)療健康服務開展過程，在應用建設、運營管理和信息管理等階段，應用合理的技術(shù)與管理手段，保障信息安全的管理過程，包括以下4部分：

A、互聯(lián)網(wǎng)醫(yī)療健康信息安全過程管理要求

●建設過程管理

（1）信息系統(tǒng)應通過網(wǎng)絡安全等級保護三級測評和定期復評；

（2）服務過程與運營過程中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲；

各項操作行為進行審計，審計范圍應覆蓋到每個用戶，并對審計記錄進行保護；

●服務過程管理

（1）對服務對象與服務人員的個人隱私信息進行保護；

（2）建立并處理有關(guān)信息安全的投訴和舉報；

（3）醫(yī)務人員開展服務過程中，應根據(jù)相關(guān)管理要求使用數(shù)字證書和電子簽名技術(shù)。

●監(jiān)管過程管理

監(jiān)督管理建設方、服務方與運營方的互聯(lián)網(wǎng)醫(yī)療健康信息安全執(zhí)行效果；

監(jiān)督方式包含信息及網(wǎng)絡安全審計、安全漏洞掃描等；

可根據(jù)情節(jié)嚴重程度，采取警告、通告批評、停服整頓、停止服務資格等處罰。

●運營過程管理

個人信息、隱私和商業(yè)秘密嚴格保密，不得泄露、出售或者非法向他人提供。

B、互聯(lián)網(wǎng)醫(yī)療健康信息安全數(shù)據(jù)管理要求

數(shù)據(jù)采集流程為：采集數(shù)據(jù)——存儲數(shù)據(jù)——傳輸數(shù)據(jù)——應用數(shù)據(jù)——銷毀數(shù)據(jù)，應該符合GB/T 35273 《信息安全技術(shù) 個人信息安全規(guī)范》、GB/T 22239 《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》的相關(guān)內(nèi)容。

C、互聯(lián)網(wǎng)醫(yī)療健康信息安全技術(shù)管理要求

●信息系統(tǒng)安全管理

（1）符合GB/T 35273的相關(guān)要求，以及GB/T 22239第三級安全要求；

（2）面向患者提供實名認證功能，保護個人身份信息、生物識別信息等，防止泄露；

（3）支持“最小授權(quán)”、“職責分離”、“角色分離”、“默認拒絕”等原則構(gòu)建系統(tǒng)敏感數(shù)據(jù)的訪問控制、權(quán)限控制以及授權(quán)控制策略；

（4）移動端應用，應在可靠的應用渠道發(fā)布，不得開啟與服務無關(guān)的功能，不得捆綁安裝無關(guān)應用程序。

●第三方接入安全管理

（1）第三方信息系統(tǒng)對接時，應遵循國家法律法規(guī)及行業(yè)相關(guān)管理；

（2）遵循最小原則，控制信息使用范圍；

●個人信息安全管理

（1）遵循網(wǎng)絡安全保護法、民法典等法律法規(guī)，以及GB/T 35273的相關(guān)要求；

（2）在系統(tǒng)建設時對個人信息保護措施同步規(guī)劃、同步建設和同步使用；

（3）數(shù)據(jù)權(quán)限控制、個人信息去標識化、數(shù)據(jù)加密、安全審計等；

D、信息安全組織管理要求

●制度管理

（1）建立適宜的安全管理制度、安全影響評估制度等；

（2）建立信息安全管理的組織和崗位；

（3）定期對信息安全管理工作進行全面自查，并作出整改建議

●人員管理

（1）主管領導是第一負責人，分管領導是直接責任人；

（2）劃分不同的管理員角色進行互聯(lián)網(wǎng)醫(yī)療健康信息安全管理；

（3）定期開展互聯(lián)網(wǎng)醫(yī)療健康信息安全教育與培訓

●應急管理

制定互聯(lián)網(wǎng)醫(yī)療健康信息安全事件應急預案

定期（至少每年一次）組織相關(guān)人員進行應急響應培訓和應急演練

02

聯(lián)軟科技互聯(lián)網(wǎng)醫(yī)療信息安全解決方案

等保、網(wǎng)絡安全法、數(shù)據(jù)安全法等法律法規(guī)的出臺對各行業(yè)的網(wǎng)絡安全提出了更精細的標準。針對互聯(lián)網(wǎng)醫(yī)療行業(yè)的現(xiàn)狀，聯(lián)軟從以下4個方面為互聯(lián)網(wǎng)醫(yī)院安全建設保駕護航。

一、互聯(lián)網(wǎng)安全監(jiān)控

聯(lián)軟科技為醫(yī)療行業(yè)進行互聯(lián)網(wǎng)側(cè)資產(chǎn)梳理+漏洞掃描，提供互聯(lián)網(wǎng)高危漏洞預警，業(yè)務系統(tǒng)上線前安全檢查。提供7*24小時的全方位監(jiān)控，主要監(jiān)控網(wǎng)站運行狀況、響應時間、服務器運行狀況等，一旦發(fā)現(xiàn)網(wǎng)站無法訪問，第一時間通知用戶。

二、云主機安全管理

UniCWPP云主機安全管理系統(tǒng)是以資產(chǎn)驅(qū)動安全的新一代自適應主機安全管理系統(tǒng)，它徹底改變傳統(tǒng)主機安全產(chǎn)品僅專注于安全防御的被動處境，提供主機安全管理、基線核查、防病毒、防入侵等能力，助力業(yè)務系統(tǒng)通過等保2.0等合規(guī)檢查。

三、終端安全接入

PC終端內(nèi)外網(wǎng)接入平臺的非授權(quán)訪問保護，將非授權(quán)訪問保護能力通過SDK集成到APP中。以個人信息安全保護為核心，敏感數(shù)據(jù)訪問控制，防止內(nèi)部非授權(quán)人員及其他人員未經(jīng)授權(quán)獲取個人信息。

四、遠程接診/遠程運維非授權(quán)訪問保護方案

解決互聯(lián)網(wǎng)遠程接入企業(yè)內(nèi)網(wǎng)服務過程中存在著身份、數(shù)據(jù)、權(quán)限、審計等多方面的安全風險；內(nèi)網(wǎng)服務通過HTTPS端口映射方式發(fā)布到互聯(lián)網(wǎng)，增加暴露面，易被攻擊；企業(yè)重要業(yè)務數(shù)據(jù)存儲在終端設備內(nèi)，存在數(shù)據(jù)外泄風險；傳統(tǒng)解決方案通過靜態(tài)策略控制，無法應對復雜環(huán)境的改變；接入的終端類型多樣，操作系統(tǒng)多樣、瀏覽器多樣，兼容性無法保障等多種問題。

醫(yī)療行業(yè)作為抗擊疫情和保護國民健康的主力軍，在互聯(lián)網(wǎng)時代下需全面提升網(wǎng)絡安全防護能力。聯(lián)軟已為北京友誼醫(yī)院、北大人民醫(yī)院、上海交通大學附屬瑞金醫(yī)院、復旦大學附屬中山醫(yī)院、四川大學華西第二醫(yī)院等提供網(wǎng)絡安全技術(shù)支持與服務。未來將繼續(xù)為醫(yī)療行業(yè)的網(wǎng)絡安全提供自己的力量，保障互聯(lián)網(wǎng)醫(yī)療健康發(fā)展。