分析等保2.0對醫(yī)院信息安全管理的新要求

王遜

重慶市精神衛(wèi)生中心 重慶 401147

前言

如今，我們已經(jīng)進(jìn)入了互聯(lián)網(wǎng)時代，人們的生產(chǎn)生活離不開網(wǎng)絡(luò)的支持。在此情況之下，保障網(wǎng)絡(luò)安全和信息技術(shù)應(yīng)用安全成為信息化發(fā)展環(huán)節(jié)的關(guān)鍵性問題。等保2.0的提出，進(jìn)一步明確的網(wǎng)絡(luò)安全等級保護(hù)的標(biāo)準(zhǔn)和要求，將會為各行各業(yè)的網(wǎng)絡(luò)信息安全管理提供制度保障。

1 等保2.0概述

等保2.0即網(wǎng)絡(luò)安全等級保護(hù)2.0制度，主要用于國家網(wǎng)絡(luò)安全領(lǐng)域，是基本制度，更是國策。該制度脫胎于等保1.0制度，但對后者進(jìn)行了進(jìn)一步優(yōu)化，不僅豐富了制度內(nèi)涵，讓網(wǎng)絡(luò)安全等級保護(hù)的技術(shù)要義更為精確，還使網(wǎng)絡(luò)安全框架的設(shè)計(jì)要求得到了統(tǒng)一。在等保2.0當(dāng)中，安全擴(kuò)展要求、安全通用要求和安全管理要求都屬于其安全基本要求；其中，針對云計(jì)算、物聯(lián)網(wǎng)等新型信息技術(shù)的安全管理要求是等保1.0中未涵蓋的，屬于安全擴(kuò)展要求。

同時，等保2.0安全通用要求的技術(shù)要求定義被進(jìn)一步明確，主要的技術(shù)細(xì)節(jié)部分包含安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全區(qū)域邊界和安全管理中心[1]。在這一標(biāo)準(zhǔn)之下，對信息安全保護(hù)提出了新的技術(shù)要求。比如，為機(jī)房配備電子門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)，合理劃分機(jī)房管理區(qū)域，有效制定防靜電、防雷電、防水監(jiān)測，從而構(gòu)建安全物理環(huán)境；提高網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力與帶寬、應(yīng)用密碼保密技術(shù)和動態(tài)驗(yàn)證模式，讓網(wǎng)絡(luò)通信安全得以加強(qiáng)；基于密碼技術(shù)鑒別身份，強(qiáng)化審計(jì)進(jìn)程訪問和操作安全，有效防御惡意攻擊與未知外訪，實(shí)現(xiàn)數(shù)據(jù)多元備份和完整保密儲存、傳輸，進(jìn)而優(yōu)化安全計(jì)算環(huán)境；基于安全管理員配置安全策略，監(jiān)測服務(wù)器、安全設(shè)備等組件狀態(tài)，收集處理設(shè)備審計(jì)數(shù)據(jù)等，讓安全管理中心的價值得以充分發(fā)揮。

2 醫(yī)院信息安全管理的新要求

與等保1.0相比，等保2.0的安全通用要求管理細(xì)節(jié)有強(qiáng)有弱。所以，醫(yī)院在開展信息安全管理時，也應(yīng)該根據(jù)等保2.0提出的新要求而進(jìn)行靈活調(diào)整。為此，醫(yī)院管理人員應(yīng)該對標(biāo)等保2.0三級標(biāo)準(zhǔn)，基于等保1.0和現(xiàn)有安全管理方案，進(jìn)一步開展優(yōu)化，從而為提升醫(yī)院等保測評效果提供輔助。

2.1 安全管理制度與機(jī)構(gòu)

為了滿足等保2.0安全通用要求中的管理要求，醫(yī)院在開展信息安全管理時應(yīng)該積極構(gòu)建安全管理制度體系，從而讓安全管理制度變得更具系統(tǒng)性和科學(xué)性，為安全管理工作的順利開展提供制度保障。同時，在安全管理機(jī)構(gòu)建設(shè)方面，醫(yī)院也應(yīng)該進(jìn)行更為科學(xué)地規(guī)劃。比如，建立專門的網(wǎng)絡(luò)安全管理領(lǐng)導(dǎo)小組和逐級審批制度，明確安全管理人員崗位職責(zé)與工作內(nèi)容；定期開展全面安全檢查與審批信息更新，開展安全檢查報(bào)告和結(jié)果通報(bào)等。

2.2 安全管理人員

在等保2.0實(shí)行以后，安全管理人員也面臨著新的工作要求。在實(shí)踐中，醫(yī)院信息安全管理人員必須具備專業(yè)能力和敬業(yè)態(tài)度，無論是在職還是離職，都必須嚴(yán)守工作機(jī)密，保護(hù)醫(yī)院信息安全。比如，強(qiáng)化入職前的政審以及專業(yè)技能考核，確保安全管理人員的能力、心理素質(zhì)以及思想道德觀念足以勝任本職工作；同時，還需要與安全管理人員簽署保密協(xié)定，通過合同條款明確規(guī)定崗位工作權(quán)責(zé)，從而為確保安全管理人員工作盡職、保守機(jī)密奠定基礎(chǔ)。當(dāng)然，在安全管理人員工作環(huán)節(jié)，還應(yīng)該不斷提升安全意識，若有外部人員意圖訪問系統(tǒng)則必須嚴(yán)格檢查他們的訪問授權(quán)，若無授權(quán)則不允許訪問且安全管理人員需立刻向上級匯報(bào)異常情況[2]。此外，開展人力資源管理時，相關(guān)工作人員也需要重視離職人員管理。比如，制定嚴(yán)謹(jǐn)?shù)碾x職手續(xù)辦理流程、與離職人員簽署保密協(xié)定等，為避免因離職而泄密做好準(zhǔn)備。

2.3 安全建設(shè)管理

在安全建設(shè)管理當(dāng)中，醫(yī)院應(yīng)該做好整體安全保護(hù)方案的規(guī)劃和設(shè)計(jì)工作，同時還應(yīng)通過專家審核確定計(jì)劃可行，從而為滿足等保2.0要求做好準(zhǔn)備。在實(shí)踐中，相關(guān)工作人員應(yīng)該開展更為全面的審核和監(jiān)督工作。比如，應(yīng)用第三方監(jiān)理制度，全面審核監(jiān)督服務(wù)供應(yīng)商能力，基于選型測試結(jié)果確定外部產(chǎn)品供貨渠道等。

2.4 安全運(yùn)維管理

安全運(yùn)維管理同樣是醫(yī)院信息安全管理的重要內(nèi)容，等保2.0也對此方面工作提出了許多新的要求。比如，專門分析網(wǎng)絡(luò)日志與報(bào)警信息；對變更性運(yùn)維進(jìn)行嚴(yán)格審批與管控；提高授權(quán)管理嚴(yán)謹(jǐn)性，保證內(nèi)外連接均獲得授權(quán)；定期開展安全檢查，驗(yàn)證惡意代碼攻擊技術(shù)的應(yīng)用有效性和網(wǎng)絡(luò)安全性；完善變更處理程序，保證其申報(bào)、審批、管理、記錄與反饋等程序的完整性和有序性；加強(qiáng)合同管理，與外包運(yùn)維服務(wù)商簽訂內(nèi)容明確、權(quán)責(zé)分明的運(yùn)維管理協(xié)議。

3 結(jié)束語

總而言之，等保2.0的提出，有助于進(jìn)一步提升國家網(wǎng)絡(luò)安全，可以為推進(jìn)信息化發(fā)展提供輔助。對于醫(yī)院而言，等保2.0的實(shí)行為醫(yī)院信息系統(tǒng)的等保測評提供了明確標(biāo)準(zhǔn)，能更為全面地開展醫(yī)院信息技術(shù)應(yīng)用評價，可有效提升醫(yī)院的信息安全水平，從而為醫(yī)院平穩(wěn)運(yùn)轉(zhuǎn)奠定基礎(chǔ)。