当前,医疗机构网络安全管理的主要难点包括:专业网络安全管理人员少,网络安全管理责任重,工作量巨大,网络安全形势多变且技术更新快,网络安全设备类别和数量多、难以统一管理等。为解决这些问题,我们梳理了以下工作思路。
明确各方责任。网络安全保障工作涉及方方面面,需要所有系统使用人员的参与。然而,在医院实践过程中,往往变成信息中心少数几个人的事,全员参与度极低。医院的网络安全设施集中在机房内,防护体系没有在用户端得到落实,导致医院网络安全防护看起来很完备,却经不起实战考验。问题的关键点就在于未能明确用户端的安全责任,以及缺乏医院主要负责人的强力推动。
《办法》第二条提出,坚持“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,落实网络安全责任制,明确各方责任。上述原则明确将系统使用者和业务方都纳入网络安全责任体系,医院每个人都需要各担其责,为推动防护体系在用户端得到落实打下坚实基础。
《办法》第五条提出,各医疗卫生机构应成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长,每年至少召开一次网络安全办公会,部署安全重点工作。这一要求有利于让网络安全领导小组切实发挥作用,为网络安全工作的决策和保障提供有力支撑。
管理、技术、运营三位一体。目前,大部分三甲医院的关键信息系统都开展了信息安全等级保护建设。为满足等级保护的相关要求,医院一般会通过部署防火墙、入侵检测、漏洞扫描、网络审计等安全产品来建设安全技术体系;同时参考等保标准,发布一系列的网络安全管理制度。理论上,在管理和技术的双重保障下,医院网络安全应处于较高水平。但多次的演练证明,很多三甲医院信息系统在演练中被攻破,核心医院数据被“红方”轻易获取。
造成这一问题的原因就在于,大部分医院缺少日常的网络安全运营体系支撑。没有日常运营,管理制度没人督促落实,安全设备缺乏定期维护,防护策略没有及时更新,导致医院网络安全的实际防护能力有所下降。
《办法》第九条至第十二条,从自查与整改、机构与人员、运维与监测等多个维度,对网络安全的日常运营工作提出明确要求。利用安全技术实现安全管理要求,最终融入安全运营体系中,形成管理、技术、运营三位一体的立体化网络安全管理模式。
下一篇:信息安全等级保护的那些干货