医疗行业如何开展等级保护工作?时代新威等级保护小组目录政策背景重要政策分析工作经验总结contents01政策背景政策背景网络安全相关监管要求文件1.《中华人民共和国网络安全法》2017年6月2.《公安机关互联网安全监督检查规定》(公安部第151号令【2018】)3.《网络安全等级保护条例》(征求意见)公安部2018年6月4.《信息安全等级保护管理办法》(公通字【2007】43号)5.《个人信息和重要数据出境安全评估办法(征求意见稿)》2017年4月,国家互联网信息办公室6.《数据安全管理办法(征求意见稿)》2019年5月国家互联网信息办公室7.《关键信息基础设施安全保护条例(征求意见稿)》2017年7月国家互联网信息办公室8.《计算机信息系统安全保护条例》(国务院令第147号)9.《计算机软件保护条例》(国务院令【2013】第632号)政策背景医疗行业网络安全相关监管要求文件1.卫办发〔2011〕85号《卫生行业信息安全等级保护工作的指导意见》的通知2.卫办综函〔2011〕1126号《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作》的通知3.由国家卫生健康委员会、国家中医药管理局于2018年7月17日印发《互联网医院管理办法(试行)》4.国卫规划发〔2014〕24号《人口健康信息管理办法(试行)》的通知5.2016年卫健委发《2016三级综合医院评审标准考评办法(完整版)》6.国卫规划发〔2018〕23号《国家健康医疗大数据标准、安全和服务管理办法(试行)》的通知政策背景2018年7月国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,规定承载医疗大数据的平台必须落实等级保护制度,健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。2018年9月国家卫健委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》,要求开展互联网诊疗服务的医疗机构必须实施第三级信息安全等级保护。2019年11月国家卫生健康委办公厅发布《国家呼吸医学中心及国家呼吸区域医疗中心设置标准的通知》,在信息化建设方面,医院核心业务系统达到“国家信息安全等级保护制度三级要求”。从近两年国家颁布的政策法规中可以看出,国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。政策背景从近两年国家颁布的政策法规中可以看出,国家对互联网+医疗、大数据医疗及医院区域中心设置标准中都有明确的等级保护要求。落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。02重要政策分析《中国软件评测中心网安中心对医疗行业开展等级保护工作的建议》重要政策分析一、合理开展系统定级备案工作医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。中国软件评测中心网安中心整理了目前有关部门发布的意见。早在2011年,还是等级保护1.0时代,原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》明确以下重要卫生信息系统安全保护等级原则上不低于三级:重要政策分析1.卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;2.国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;3.三级甲等医院的核心业务信息系统;4.卫生部网站系统;5.其他经过信息安全技术专家委员会评定为第三级以上(含第三级的信息系统)。重要政策分析但随着新兴技术的发展,等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列,显然2011年的指导意见已经不那么充分了,好在上海市卫生健康委员会2019年1月发布了《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》,进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级,包括以下:重要政策分析1.核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等;2.区域核心业务系统...
