迎接2.0新時代

國家標準GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》(代替GB/T 22239-2008)，于2019年12月1日正式實施，意味著網絡安全工作已正式邁入等保2.0的新時代。

鞏固1.0時代的網絡安全建設成果，構建符合2.0時代新框架、多領域、高標準的安全體系，如何加快衛生健康行業網絡安全合規建設的步伐，跟上新時代的要求刻不容緩。

自上而下的驅動

等保2.0建設工作開展依據，是基于《中華人民共和國網絡安全法》，從等保1.0時代條例法規的執行已上升為法律層面應盡的責任和義務。

網絡安全體系的建立，從國家到主管單位到醫院，是自上而下的治理。醫院網絡安全工作的開展，已不是單一職能科室的責任，而是以醫院主要黨政領導為首要負責的醫療機構對社會的承諾和責任。根據法律法規，網絡安全事件發生時將會追究醫院領導的第一責任。明確黨政領導作為第一責任人，將有助于網絡安全建設的推進。

基于目標的框架

建立符合醫院特性的網絡安全等級保護體系，是落實醫院網絡安全工作框架最基礎、最有效的方法。在框架的范疇內進行深入和細化，做好網絡安全工作的點點滴滴，其目標只有一個：杜絕網絡安全事件的發生。

為杜絕網絡安全事件的發生，在醫院信息化建設中樹立醫院網絡整體安全的正確意識，根據網絡安全法“三同步”原則及時進行風險識別和隱患治理。千里之堤毀于蟻穴，“木桶原理”是指網絡安全整體水平由安全級別最低的部分所決定。1.0時代，普遍存在“主管單位不提的問題不管，非核心系統問題不管，其他醫院也存在的問題不管”，安全事件發生時抱團救火。2.0時代已來，這些陳舊思想應一去不復返。

由于網絡安全等級保護標準的科學性和普適性，是最易于醫院網絡安全體系化建設的參照標準，也是最適合醫院網絡安全風險合規的基礎性指導框架。1.0時代，條例法規的對標執行、被動防護的安全要求，醫院網絡安全防護的主觀能動性較差。面對2.0時代，只有全面落實網絡安全防護工作，提升醫院網絡安全的整體能力和主動防護能力，才能積極避免網絡安全事件的發生。

全面的安全管理

在1.0的基礎上，2.0對定級級別、定級對象、達標要求等都進行大幅提高，要求形成全面的、規范的安全管理。例如，公民、法人和其他組織的合法權益產生特別嚴重損害時，相應系統的等級保護級別從1.0的第二級調整到了第三級(GA/T1389)；等保1.0的定級對象僅限于信息系統，等保2.0的定級對象擴展至基礎信息網絡、工業控制系統、云計算平臺、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多系統平臺。

例如基于5G的云平臺的患者隨訪系統，可能涉及到隨訪系統安全、與醫院核心信息系統的交互安全、云平臺安全、移動終端安全、生命體征等物聯系統、5G網絡使用安全等方方面面的安全管理。雖然擴展了這么多安全防護對象，但達標要求絲毫不減，2.0中測評的基本分相比1.0時代有了調高：90分及以上為優、80分及以上為良、70分及以上為中，該系統需要綜合測評超過70分以上才算基本符合要求，可見網絡安全等級保護的要求之高。

回顧上海市衛生健康委員會2019年1月發布的滬衛計信息[2019]2號文《關于進一步調整本市衛生健康行業重要信息系統定級范圍的通知》，前瞻性地將醫療物聯、承載公民個人信息、與核心業務系統發生雙向數據交互等系統納入不低于三級的安全等級保護范疇，符合2.0時代實現全面的網絡安全管理標準的趨勢。但真正實現全面的網絡安全管理，以衛生健康行業目前的合規能力來說還比較難，如何實現網絡安全與醫院信息化并行、醫院安全管理戰略和目標、生命周期貫徹安全管理、人員安全素養培養和隊伍建設等，還有很長一段路要走。 

作者簡介：

 

醫療信息化相關書籍上架，請點擊此處查看