當(dāng)前，醫(yī)療衛(wèi)生健康網(wǎng)絡(luò)安全建設(shè)已成為國家衛(wèi)生健康行業(yè)信息化建設(shè)的重要保障和重要組成部分。沒有網(wǎng)絡(luò)安全，就沒有衛(wèi)生健康信息化的健康發(fā)展。4月25日，山東省信息網(wǎng)絡(luò)安全協(xié)會醫(yī)療分會在濟(jì)南舉辦了第三屆雪野湖論壇，會議邀請了北京市衛(wèi)生計(jì)生委信息中心副主任鄭攀做演講。他詳細(xì)解讀了《網(wǎng)絡(luò)安全法》與等級保護(hù)2.0，并介紹了衛(wèi)生行業(yè)等級保護(hù)現(xiàn)狀，給醫(yī)院等級安全保護(hù)工作的開展提出了建議。

鄭攀指出，2016年，我國出臺了《中華人民共和國網(wǎng)絡(luò)安全法》，推動(dòng)網(wǎng)絡(luò)安全在國家戰(zhàn)略層面提升至新高度。《網(wǎng)絡(luò)安全法》首次宣誓了國家保衛(wèi)網(wǎng)絡(luò)空間主權(quán)的原則，進(jìn)一步確立了等級保護(hù)制度的法律地位，明確了在等級保護(hù)的基礎(chǔ)上，重點(diǎn)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)。

對此，鄭攀強(qiáng)調(diào)，《網(wǎng)絡(luò)安全法》要求全面實(shí)行信息安全等級保護(hù)制度，即等保2.0，并在此基礎(chǔ)上重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，全面自查門戶網(wǎng)站和核心業(yè)務(wù)系統(tǒng)安全。

他對等級保護(hù)2.0定級要求進(jìn)行了解析，指出該要求新增了“定級流程”，包括確定定級對象、初步確認(rèn)定級、專家評審、主管部門審核、公安機(jī)關(guān)備案審查、最終確定等級。同時(shí)，等級保護(hù)2.0重新對定級對象進(jìn)行了調(diào)整，分為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)和其他信息系統(tǒng)，其中信息系統(tǒng)再細(xì)分為工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)以及云計(jì)算平臺。

鄭攀介紹，北京市衛(wèi)生計(jì)生委信息中心日前對北京市直屬22家醫(yī)療機(jī)構(gòu)及重點(diǎn)公共衛(wèi)生機(jī)構(gòu)的門戶網(wǎng)站、APP、公眾號信息系統(tǒng)進(jìn)行了調(diào)研。

通過匯總調(diào)研結(jié)果，鄭攀認(rèn)為醫(yī)院網(wǎng)絡(luò)安全等級保護(hù)工作推進(jìn)差異較大：三甲醫(yī)院信息系統(tǒng)定級備案工作完成情況良好，對重要業(yè)務(wù)信息開展測評與整改工作方面力度較大；普通三級及以下醫(yī)院（尤其是二級醫(yī)院）的信息系統(tǒng)定級備案率遠(yuǎn)高于測評率、整改率；普通三級醫(yī)院存在核心業(yè)務(wù)系統(tǒng)定級偏低（根據(jù)網(wǎng)絡(luò)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)調(diào)研數(shù)據(jù)中的個(gè)人信息存儲量以及系統(tǒng)用戶數(shù)）的情況；二級醫(yī)院存在等級保護(hù)管理工作各環(huán)節(jié)銜接不到位的情況，網(wǎng)絡(luò)安全等級保護(hù)工作推進(jìn)的廣度和深度不足。

對此，鄭攀總結(jié)道：“我國醫(yī)院現(xiàn)有的安全保障體系尚處于初步建設(shè)階段，其安全狀況和防護(hù)能力尚不足以應(yīng)對當(dāng)前網(wǎng)絡(luò)安全威脅，不足以保證信息系統(tǒng)的安全穩(wěn)定運(yùn)行，難以抵御一般性有組織的網(wǎng)絡(luò)攻擊行為，行業(yè)整體網(wǎng)絡(luò)安全保障水平亟需提升。”

針對當(dāng)前醫(yī)療機(jī)構(gòu)信息安全建設(shè)現(xiàn)狀，鄭攀給出如下幾點(diǎn)建議：

1.加強(qiáng)網(wǎng)絡(luò)安全等級保護(hù)工作重視程度。醫(yī)療機(jī)構(gòu)各單位應(yīng)積極落實(shí)網(wǎng)絡(luò)安全制度，領(lǐng)導(dǎo)層也應(yīng)提高網(wǎng)絡(luò)安全等級保護(hù)工作的認(rèn)知水平和重視程度，應(yīng)理解網(wǎng)絡(luò)安全等級保護(hù)工作開展意義與重要性，確保網(wǎng)絡(luò)安全等級保護(hù)工作推進(jìn)工作順利開展。

2.明確各自單位負(fù)責(zé)網(wǎng)絡(luò)信息與數(shù)據(jù)安全工作的職能部門。負(fù)責(zé)建立本單位的網(wǎng)絡(luò)信息與數(shù)據(jù)安全管理制度和操作規(guī)程。

3.堅(jiān)持網(wǎng)絡(luò)安全與信息化建設(shè)項(xiàng)目“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”的原則，開展信息系統(tǒng)定級備案，定期開展等級測評和風(fēng)險(xiǎn)評估，選取符合資質(zhì)要求的技術(shù)支撐機(jī)構(gòu)和健康醫(yī)療服務(wù)企業(yè)，保障日常工作的安全開展。

4.加大對自主可控產(chǎn)品的使用與投入，有計(jì)劃、有步驟地實(shí)現(xiàn)行業(yè)網(wǎng)絡(luò)安全產(chǎn)品國產(chǎn)化替代，使用符合國家要求的密碼產(chǎn)品。

5.擴(kuò)充網(wǎng)絡(luò)安全隊(duì)伍，提升網(wǎng)絡(luò)安全隊(duì)伍專業(yè)技能，強(qiáng)化單位人員安全意識。

6.履行業(yè)務(wù)和信息系統(tǒng)的安全保障義務(wù)，開展信息系統(tǒng)安全運(yùn)維。

7.建立本單位網(wǎng)絡(luò)信息與數(shù)據(jù)安全應(yīng)急體系，制定應(yīng)急預(yù)案、組建應(yīng)急隊(duì)伍、開展應(yīng)急演練。

8. 組織本單位工作人員開展網(wǎng)絡(luò)信息與數(shù)據(jù)技術(shù)安全教育與培訓(xùn)。

9. 從個(gè)人信息的采集、傳輸、存儲、加工和應(yīng)用過程等多方面加強(qiáng)個(gè)人信息數(shù)據(jù)保護(hù)，防止個(gè)人信息的泄露和濫用。