醫(yī)院網(wǎng)絡(luò)安全管理規(guī)范

　　11月26日，安徽省市場監(jiān)督管理局批準(zhǔn)發(fā)布由安徽醫(yī)科大學(xué)第一附屬醫(yī)院牽頭的《醫(yī)院網(wǎng)絡(luò)安全管理規(guī)范》(標(biāo)準(zhǔn)號：DB34/T 4304-2022)，并于當(dāng)日生效。

　　本標(biāo)準(zhǔn)基于《信息系統(tǒng)安全等級保護(hù)》基礎(chǔ)上，對部分執(zhí)行、檢查的管理規(guī)范進(jìn)行細(xì)化，明確了安全運(yùn)維涵蓋資源運(yùn)行保障與安全訪問保障。對運(yùn)維對象分為終端、網(wǎng)絡(luò)、數(shù)據(jù)中心以及動力環(huán)境，分別制定了較詳細(xì)的安全運(yùn)維管理要點(diǎn)與規(guī)范，尤其明確要求了執(zhí)行與檢查的相關(guān)管理要求，有更明確的操作指導(dǎo)性。本標(biāo)準(zhǔn)適用于二級以上醫(yī)院網(wǎng)絡(luò)安全運(yùn)維工作。

　　本標(biāo)準(zhǔn)主要內(nèi)容包括基本要求、對象、溝通與協(xié)同、安全事件處置、應(yīng)急處理?；疽笾?，對機(jī)構(gòu)、人員、經(jīng)費(fèi)、規(guī)劃、制度上明確了要求，為網(wǎng)絡(luò)安全提供資源與管理的保障。將涉及網(wǎng)絡(luò)安全的對象根據(jù)管理要點(diǎn)不同分為終端、網(wǎng)絡(luò)、數(shù)據(jù)中心、機(jī)房環(huán)境四大塊，并制定不同的管理要點(diǎn)與規(guī)范，主要從配置、資源與感染監(jiān)控、人工巡檢、備份恢復(fù)等維度明確了執(zhí)行流程、檢查流程的要求。安全事件包括直接或間接影響系統(tǒng)運(yùn)行、數(shù)據(jù)泄露的所有事件。安全事件的處置過程中，包括事件本身的操作、記錄、檢查、考核的要求。同時也應(yīng)該建立通暢的溝通協(xié)同機(jī)制，在溝通與協(xié)同中強(qiáng)調(diào)使用人員與維護(hù)人員，維護(hù)人員之間的協(xié)同機(jī)制與工具的保障要求。最后標(biāo)準(zhǔn)強(qiáng)調(diào)了安全演練的重要性，對安全演練的完整性進(jìn)行了規(guī)范，包括安全演練中要明確目標(biāo)，明確執(zhí)行流程、做好相關(guān)記錄，以及做好總結(jié)要改進(jìn)。

　　該標(biāo)準(zhǔn)主要聚焦在安全運(yùn)維的具體執(zhí)行與檢查流程的管理上，對于各個醫(yī)院的具體網(wǎng)絡(luò)安全管理工作有比較明確的指導(dǎo)。

　　下一步，將會同安徽省醫(yī)院行業(yè)協(xié)會積極做好相關(guān)標(biāo)準(zhǔn)的宣傳培訓(xùn)和應(yīng)用推廣工作，持續(xù)拓展標(biāo)準(zhǔn)應(yīng)用廣度和深度。誠摯歡迎各級地方政府、行業(yè)組織、軟件企業(yè)、信息服務(wù)商、科研院校等有關(guān)單位積極參與相關(guān)標(biāo)準(zhǔn)的測試驗(yàn)證與應(yīng)用推廣工作，以標(biāo)準(zhǔn)為引領(lǐng)推動我國醫(yī)院信息化的快速發(fā)展。

　　來源：安徽省醫(yī)院協(xié)會信息專委會