在醫(yī)療行業(yè)里��,隨著各類通信和 IT 設(shè)備采用通用操作系統(tǒng)��、通用數(shù)據(jù)庫��,及各類設(shè)備間越來越多的使用IP協(xié)議進行通信�,其配置安全問題更為凸出。在黑客攻擊行為中��,利用系統(tǒng)缺省��、未修改的安全配置攻入系統(tǒng)已屢見不鮮三級等保互聯(lián)網(wǎng)醫(yī)院��,因此���,加強對網(wǎng)元配置的安全防護成為重點��。其中��,重要應(yīng)用和服務(wù)器的數(shù)量及種類日益增多���,一旦發(fā)生維護人員誤操作,或者采用一成不變的初始系統(tǒng)設(shè)置而忽略了對于安全控制的要求三級等?���;ヂ?lián)網(wǎng)醫(yī)院,就可能會極大的影響系統(tǒng)的正常運轉(zhuǎn)����。另外,為了維持整個業(yè)務(wù)系統(tǒng)生命周期信息安全�����,必須從入網(wǎng)測試��、工程驗收和運行維護等階段�,設(shè)備全生命周期各個階段加強和落實信息安全要求,也需要有一種方式進行風(fēng)險的控制和管理�����。
自2018年國家衛(wèi)健委《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺必須通過等保三級測評���。
根據(jù)上述醫(yī)院開展等級保護的相關(guān)意見和管理辦法的規(guī)定來看�,一般建議醫(yī)院這樣來定級�。
醫(yī)院內(nèi)部重要的信息系統(tǒng),涉及到病人隱私信息外泄講引起負面影響與損失�。建議這些內(nèi)網(wǎng)的數(shù)據(jù)信息系統(tǒng)開展等級保護三級測評,并且實現(xiàn)相關(guān)的等保建設(shè)和安全防護�����,具體的測評對象如下:
醫(yī)院信息系統(tǒng)(HIS)
實驗室(檢驗科)信息系統(tǒng)(LIS)
醫(yī)學(xué)影像信息系統(tǒng)(PACS)
電子病歷系統(tǒng)
與患者交流的其他服務(wù)系統(tǒng)
另外一些對外開放的信息系統(tǒng)或者網(wǎng)站�����,主要用于OA�,不涉及個人隱私。建議這些信息系統(tǒng)實施等級保護二級工作����,開展相關(guān)的測評和建設(shè)�,具體的測評對象如下:
門戶網(wǎng)站
醫(yī)院資源(財務(wù)業(yè)務(wù)一體化)規(guī)劃系統(tǒng)(HRP)
