在醫(yī)療行業(yè)里,隨著各類通信和 IT 設(shè)備采用通用操作系統(tǒng)����、通用數(shù)據(jù)庫,及各類設(shè)備間越來越多的使用IP協(xié)議進(jìn)行通信����,其配置安全問題更為凸出。在黑客攻擊行為中�����,利用系統(tǒng)缺省��、未修改的安全配置攻入系統(tǒng)已屢見不鮮三級(jí)等?���;ヂ?lián)網(wǎng)醫(yī)院,因此����,加強(qiáng)對網(wǎng)元配置的安全防護(hù)成為重點(diǎn)。其中�,重要應(yīng)用和服務(wù)器的數(shù)量及種類日益增多����,一旦發(fā)生維護(hù)人員誤操作���,或者采用一成不變的初始系統(tǒng)設(shè)置而忽略了對于安全控制的要求三級(jí)等?���;ヂ?lián)網(wǎng)醫(yī)院���,就可能會(huì)極大的影響系統(tǒng)的正常運(yùn)轉(zhuǎn)��。另外����,為了維持整個(gè)業(yè)務(wù)系統(tǒng)生命周期信息安全��,必須從入網(wǎng)測試��、工程驗(yàn)收和運(yùn)行維護(hù)等階段�����,設(shè)備全生命周期各個(gè)階段加強(qiáng)和落實(shí)信息安全要求����,也需要有一種方式進(jìn)行風(fēng)險(xiǎn)的控制和管理。
自2018年國家衛(wèi)健委《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺(tái)必須通過等保三級(jí)測評(píng)����。
根據(jù)上述醫(yī)院開展等級(jí)保護(hù)的相關(guān)意見和管理辦法的規(guī)定來看,一般建議醫(yī)院這樣來定級(jí)����。
醫(yī)院內(nèi)部重要的信息系統(tǒng),涉及到病人隱私信息外泄講引起負(fù)面影響與損失�。建議這些內(nèi)網(wǎng)的數(shù)據(jù)信息系統(tǒng)開展等級(jí)保護(hù)三級(jí)測評(píng),并且實(shí)現(xiàn)相關(guān)的等保建設(shè)和安全防護(hù)�����,具體的測評(píng)對象如下:
醫(yī)院信息系統(tǒng)(HIS)
實(shí)驗(yàn)室(檢驗(yàn)科)信息系統(tǒng)(LIS)
醫(yī)學(xué)影像信息系統(tǒng)(PACS)
電子病歷系統(tǒng)
與患者交流的其他服務(wù)系統(tǒng)
另外一些對外開放的信息系統(tǒng)或者網(wǎng)站�����,主要用于OA�,不涉及個(gè)人隱私。建議這些信息系統(tǒng)實(shí)施等級(jí)保護(hù)二級(jí)工作�,開展相關(guān)的測評(píng)和建設(shè),具體的測評(píng)對象如下:
門戶網(wǎng)站
醫(yī)院資源(財(cái)務(wù)業(yè)務(wù)一體化)規(guī)劃系統(tǒng)(HRP)
