前言
近日,国家卫生健康委办公厅发布《医院智慧管理分级评估标准体系(试行)》(国卫办医函【2021】86号),为后疫情时代我国广大医疗机构进行“三位一体”的智慧医院建设提出进一步政策指引和要求。
背景
《关于进一步完善预约诊疗制度加强智慧医院建设的通知》(国卫办医函【2020】405号)明确提出要建立医疗、服务、管理“三位一体”的智慧医院系统。第一是面向医务人员的“智慧医疗”:开展以电子病历为核心的信息化建设,包括电子病历、影像、检验系统等多系统间的互联互通,《关于印发电子病历系统应用水平分级评价管理办法(试行)及评价标准(试行)的通知》(国卫办医函【2018】1079号)将医院电子病历系统应用水平划分为9个等级;第二是面向医院的“智慧管理”:主要为提升医院管理精细化、智能化水平,《医院智慧管理分级评估标准体系(试行)》(国卫办医函【2021】86号)从功能和效果两个方面进行评估,评估结果分为0级至5级;第三是面向患者的“智慧服务”:主要通过预约诊疗、信息体系、自助一体机等,提升患者就医体验。
标准解读
本次发布的标准从医院智慧管理的功能和效果两个方面进行评估,网络安全管理作为独立的业务项目进行评估,评估要点包括基础设施、安全管理、安全技术和安全监测。评估结果分为0级至5级,不同级别的安全要求及对应解读措施如下:
0级评估要求
无基础设施与网络安全管理要求。
1级评估要求
(1) 具有相关计算机、信息系统、信息安全管理制度;
(2) 医院内部有局域网,部门间网络互相联通;
(3) 客户端及重要服务器具备防病毒措施。
政策解读及建议
(1) 深入梳理医院安全业务,对医院的安全工作与安全措施进行整体规划、设计与评估,编写形成相关的安全制度、规范、操作文档;
(2) 对医院整体网络进行分区分域设计,不同区域间进行网络安全隔离,对特别重要的网络区域间采用物理安全隔离措施;
(3) 至少采用终端防病毒措施,建议综合采取终端防病毒和网络防病毒协同部署。
2级评估要求
(1)具有网络安全领导组织机构,负责统筹规划医院网络安全相关事宜;
(2)具有独立的信息机房,主要服务器、存储等设备集中部署在信息机房内;
(3)管理信息系统具备清晰的权限管理,能够实现访问控制到个人的细粒度管理。
政策解读及建议
(1)成立以医院院长为核心的网络安全领导小组,具体工作由医院信息科牵头施行,对医院网络安全建设有中长期规划,每年有固定的网络安全建设预算;
(2)根据《全国医院信息化建设标准与规范(试行)》要求进行机房及相关软硬件系统建设。
3级评估要求
(1)信息机房有高可靠不间断电源、空调,具备专门的消防设施;
(2)全部投入应用的管理信息系统列入管理清单,全部信息系统完成等级保护定级、备案,定为三级及以上的信息系统每年进行等保测评;
(3)重要管理信息系统的关键网络设备、网络链路采用冗余设计;
(4)重要管理信息系统具备应急预案并定期进行演练,当出现系统故障时,可恢复关键业务;
(5)实现实名制上网管理、能够审计客户端的上网行为。
政策解读及建议
(1)物理机房满足等保三级要求;
(2)业务系统满足等保三级要求;
(3)重要系统路由交换设备堆叠部署、应用安全网关设备主备部署、部署负载均衡系统对业务系统及网络提供高可用保障、服务器及网络设备建议选用冗余电源;
(4)编写应急预案并定期进行安全应急演练;
(5)互联网出口部署上网行为管理系统。
4级评估要求
(1)具有完整的网络安全制度体系,包括管理策略、管理制度、管理规范、记录表单等;
(2)重要管理信息系统每日至少进行一次完整数据备份,同时每年定期进行数据还原演练;
(3)管理信息系统实现分域管理,系统之间进行数据交互时进行授权认证;
(4)设有独立的网络安全岗位,定期组织安全培训;
(5)明晰信息系统权限清单并定期梳理信息系统账户权限。
政策解读及建议
信息科具有独立的网络安全岗位,组建或采用外包的方式选用专业的安全运营团队进行医院网络安全运营。明确工作分工,定期进行资产梳理、互联网暴露面检查等各种专业安全工作。
5级评估要求
(1)重要数据实现不同地点容灾(不能在同一建筑物内);
(2)能够对网络设备、安全管理设备、服务器等硬件的操作行为进行审核并记录,操作行为记录保存六个月以上;
(3)能够对信息系统运行进行实时安全监测,具备基本网络安全态势感知能力,能够及时发现网络安全攻击行为并进行有效处置;
(4)每年定期对互联网上暴露的信息系统进行渗透测试和漏洞扫描,发现的问题及时整改落实;
(5)在互联网上运行的管理信息系统重要数据进行加密传输、加密存储,使用的加密算法符合国家法律法规要求。
政策解读及建议
(1)对于只有一个院区的医院,在院区内不同建筑物内建设主备数据中心。对于拥有多个院区的医院,最好在不同地理区域的院区内分布设置主备数据中心,保障重要数据不同地点容灾;
(2) 部署日志审计系统,有条件的医院可建设基于大数据技术的安全运营管理平台进行统一日志收集分析;
(3) 部署态势感知系统;
(4) 邀请专业安全厂商专家对系统定期进行渗透测试,可部署漏洞扫描系统设置定期漏洞扫描任务或邀请专业安全厂商专家对系统定期进行漏洞扫描;
(5) 对互联网开放的业务系统使用https加密协议对外提供服务,数据存储采用加密存储方式。
合规整改建议