关键信息基础设施安全保护条例
密码法
网络安全等级保护制度
网络安全:围绕网络信息系统,进行等保定级、备案、测评、建设整改的全生命周期防护;同时,提出人工智能等新技术安全应用、供应链安全管理、医疗设备采购安装、运行维护、报废等全生命安全周期的各方面要求。 数据安全:要求技管并重。梳理数据资产,进行分类分级;并采取数据脱敏、数据加密、链路加密等防控措施,加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作。
数据安全管理:建立数据安全管理组织架构,健全数据安全管理制度、操作规程及技术规范,加强数据安全教育培训和教育;加强数据全生命周期安全管理。 网络安全管理:加强运维管理,制定运维操作规范和工作流程;加强远程运维管理;加强信息系统自行开发或外包开发过程中的安全管理;建立医疗设备相关网络安全管理制度;加强供应链安全管理。 人员安全管理:加强内部和第三方网络运营人员管理,安全管理负责人和关键岗位人员要做好安全背景审查等。
网络安全建设不是单一部门的工作任务,“谁主管谁负责、谁运营谁负责、谁使用谁负责”。《管理办法》要求二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门,这就需要负网络安全管理职责的牵头部门,统筹协调医疗机构内部所有合规、业务、运营、技术、管理等各层面的工作。
医院信息中心通常负责网络安全管理工作,但目前普遍人手不足,安全专业化能力欠缺,平时疲于应对日常管理运维,难以有效应对勒索病毒、挖矿、攻击等各类安全事件;业务快速发展新技术不断迭代,不清楚安全防护重点是什么;通常上了一堆安全产品不知该如何有效使用,资金大量投入却看不到效果,导致安全防护沦为了空架子。
安全应从顶层进行系统性的设计,而不是单纯地堆叠产品,也不能单纯地聚焦网络问题或数据问题。需要一个总体的咨询规划来指引,建立全局性的、主动防御的安全防御体系。东软NetEye咨询规划服务可起到信息中心网络安全总工程师的角色,帮助医疗机构理清思路,摸清家底,分析风险,制定规划,落实能力,构建完善的安全防御体系。
东软NetEye网络安全咨询服务主要围绕九个关键步骤开展具体服务:
-
理思路——即理清医院业务与安全之间的关系,重新定位网络安全发展思路;
-
明方向——即锚定医院业务战略和信息化战略,明确与之匹配的网络安全方向;
-
融资源——即全面融合医院内外部网络安全资源,实现问题手段两手抓;
-
摸家底——即细化医院IT资产分类,构筑以业务为主线的医院资产仓库;
-
识风险——即围绕关键业务关联的资产,全面识别医院所面临的安全风险;
-
构蓝图——即构建基于医院业务驱动安全的网络安全发展蓝图;
-
提能力——即以“平战结合”理念,构筑医院常态化网络安全能力;
-
看效果——即通过指标的量化,度量医院安全能力所达到的效果;
抓运营——即围绕医院网络安全问题持续迭代优化,将安全能力融合到运营过程。
东软NetEye通过以咨询为牵引、以产品为抓手、以态势感知平台为支撑,将人、制度、产品、服务、工具结合作为”五位一体“的手段实现各安全能力组件的有机协同,实现医院业务连续性的保障。在网络安全建设过程中不断发现、验证、分析、解决问题,并持续迭代优化安全能力,将安全融合到运营过程中,实现医院网络安全的可持续运营。
东软NetEye是业内最早开展医疗等保建设的网络安全厂商之一,熟谙等保全生命周期的安全建设要求,积累了大量的医疗行业等保案例。同时,凭借着近30年的医疗业务领域业务积淀,26余年的网络安全实践经验积累,东软NetEye调研并剖析了大量三甲医院在数字化转型过程业务变化,以及信息化建设过程中所面临的网络安全挑战,形成了具有医疗专有属性的网络安全解决方案和产品。