在等保2.0發(fā)布之前，醫(yī)療行業(yè)就已經是等級保護測評的重點對象了。因為醫(yī)療數據量大，很早就是實現了系統化管理。因此，在等保1.0時代，如何做好信息系統安全防護就是醫(yī)院需要重點關注的。但是隨著互聯網+的發(fā)展，醫(yī)療行業(yè)為了提供更便捷的就診服務，也開始進行互聯網的部分接入。而在開放便捷的就業(yè)渠道的同時，也為黑客，以及一些不法分子提供了攻擊醫(yī)療網絡的渠道。因此，在等保2.0時代，醫(yī)療行業(yè)的測評對象也同樣需要進行拓展，由原來的信息系統，拓展到新標準要求的測評范圍。等保2.0將云計算、移動互聯、物聯網、工業(yè)控制系統等新技術、新應用的場景列入標準范圍。但是由于醫(yī)療行業(yè)的行業(yè)特征和特殊性，因此，該如何開展等級保護測評工作，還需要結合自身實際，進行更為細致科學的調整。

首先，我們來了解醫(yī)療行業(yè)的等保測評工作要求的變化歷程：

2011年

國家衛(wèi)健委《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》規(guī)定了三級醫(yī)院重要業(yè)務系統(可由各省衛(wèi)健委自己定義)必須通過等保三級測評，二級醫(yī)院重要業(yè)務系統必須通過等保二級測評;

2016年

國家衛(wèi)健委《2016 三級綜合醫(yī)院評審標準考評辦法 ( 完整版 )》規(guī)定了重要業(yè)務系統必須達到等保三級標準才滿足三級醫(yī)院評審標準中對于網絡安全的要求;

2018年

國家衛(wèi)健委《國家健康醫(yī)療大數據標準、安全和服務管理辦法(試行)》規(guī)定了承載健康醫(yī)療大數據的平臺必須通過等級保護(未規(guī)定級別)，一般引入大數據技術的醫(yī)院都是三級甲等醫(yī)院，基本以三級等保為主;

2019年

國家衛(wèi)健委《互聯網醫(yī)院管理辦法(試行)》規(guī)定了承載互聯網醫(yī)院的平臺必須通過等保三級測評。

其次，目前醫(yī)療行業(yè)面臨那些網絡安全方面的威脅呢?

中國信息通信研究院等機構發(fā)布的《2019年健康醫(yī)療行業(yè)網絡安全觀測報告》，也同樣披露了目前網絡安全風險集中的幾個表現:

第一是僵木蠕等問題嚴峻,勒索病毒嚴重威脅醫(yī)療業(yè)務正常運行;

第二是數據泄露事件高發(fā)，應用服務軟件存在較多安全隱患;

第三是醫(yī)療行業(yè)的網站同政府網站、教育機構網站等都是境外機構的重點攻擊對象，且網站篡改手法多變。

再者，醫(yī)療行業(yè)有很多醫(yī)院還沒有通過等級保護測評

中國醫(yī)院協會信息專業(yè)委員會(CHIMA)在去年發(fā)布了《2017-2018年度中國醫(yī)院信息化狀況調查報告》，其中對醫(yī)院實施等級保護情況做了專門章節(jié)介紹。據了解，在484家樣本醫(yī)院中，36.16%的醫(yī)院通過了等保測評。

其中，三級醫(yī)院實施等保工作情況明顯好于三級以下醫(yī)院，經濟發(fā)達地區(qū)實施等保工作的比例高于中等發(fā)達地區(qū)和經濟欠發(fā)達地區(qū)。

根據CHIMA發(fā)布的信息，日前在CHIMA組織的醫(yī)院網絡安全技術培訓班上，北京市衛(wèi)生計生委信息中心副主任鄭攀介紹了北京市醫(yī)療行業(yè)等級保護情況。

我國醫(yī)院現有的安全保障體系尚處于初步建設階段，尚不足以應對當前網絡安全威脅，行業(yè)整體網絡安全保障水平亟需提升。

最后，該如何開展等保測評工作呢?看看醫(yī)療行業(yè)的管理者怎么說。

安全就是‘三分技術、七分管理’，不是投入一堆硬件就安全了。很多高分通過等保三級的醫(yī)院后來還是出現了安全問題，所以管理一定要跟得上。”該院后續(xù)還將參考等保2.0標準，結合醫(yī)院實際情況，有選擇性地采取更多安全措施。( 據介紹，新疆人民醫(yī)院于2017年開始啟動等保3級，經過一年多的建設，在2018年順利通過測評。)

指出：醫(yī)院在開展網絡安全建設時可以遵循兩個原則：

一是醫(yī)院的信息系統不會因為硬件障而停運;

二是一定要對核心數據進行安全有效的備份。

深圳南山醫(yī)院網絡技術科主任表示，在國家出臺網絡安全等級保護2.0標準的背景下，醫(yī)院上云更加需要一種審慎的態(tài)度。尤其在選擇云端安全產品時，一定要提前考慮等保2.0標準的要求，這也是上云必須要解決的問題。

其外， 結合行業(yè)現狀和新標準要求，對醫(yī)療機構開展網絡安全等級保護工作提出了五點建議。

第一，合理開展新業(yè)務系統及平臺的定級備案工作，如醫(yī)療大數據平臺、互聯網醫(yī)療平臺等。院內如HIS、EMR等還未開展定級備案工作的傳統核心業(yè)務系統，也需要加快等保建設步伐。

第二，在等保建設中嘗試采用新技術新手段加強醫(yī)院的安全技術防護和態(tài)勢感知建設，以防范特種木馬或新型網絡攻擊。

第三，加強日常安全運維，引入可視化、統一運維等創(chuàng)新技術，讓安全管理和運維更簡單并且更加有效。

第四，加強主動防御能力，并通過全方位、多視角的風險分析，完善醫(yī)院網絡安全建設短板。從而降低安全風險，提高信息系統健壯性。

第五，適當選擇安全廠商提供的安全服務，彌補醫(yī)院專業(yè)安全技術人員不足。最大程度減少因網絡安全事件所帶來的醫(yī)院運營中斷以及管理成本增加的風險。

總而言之，開展醫(yī)療行業(yè)的等保測評以及加固網絡安全等工作，需要參照等保2.0的標準開展。需要加強技術和管理的結合，從內部網絡安全防護做起，提高醫(yī)護人員和醫(yī)療信息系統操作人員的網絡安全意識和網絡安全技術。同時通過提升網絡安全技術和網絡安全設備檢測能力，增強防御外界攻擊的能力。其外，引進網絡安全人才或者尋找安全服務商合作，是加強醫(yī)院自身的網絡安全防護能力的非常關鍵。做好安全防護基礎工作，是順利通過等級保護測評的基礎，專業(yè)的測評機構/安全服務商的專業(yè)指導能夠加快等級保護測評的進程。