原創(chuàng)?醫(yī)療測評實驗室?中國軟件評測中心?1周前

醫(yī)院互聯(lián)互通測評，即國家醫(yī)療健康信息互聯(lián)互通標準化成熟度測評，近年來隨著政策的要求、需求的驅動、技術的更迭、價值的引領，越來越被業(yè)內(nèi)人士接受和認可，測評熱度也水漲船高。國家衛(wèi)生健康委統(tǒng)計信息中心積極響應新的政策文件和業(yè)務需求對測評方案進行了修訂。從2020年測評批次開始，將使用2020年版測評方案，在新的測評方案中，對信息安全的建設又做了進一步的加強要求，尤其是明確規(guī)定了參加測評時，醫(yī)院核心業(yè)務系統(tǒng)(含平臺)要完成等級保護三級的定級備案與測評工作，增加了對信息安全管理制度、技術保障等方面的一系列新的要求。

對參評的各醫(yī)院而言，系統(tǒng)通過等級保護測評已然成為參加互聯(lián)互通測評的必要條件，那么是不是通過等保測評就萬事大吉了，互聯(lián)互通測評中關于信息安全的內(nèi)容除了要滿足等級保護要求，是否還有需要額外關注的要點，本文將基于這兩者之間的聯(lián)系與區(qū)別，對互聯(lián)互通的信息安全建設要點進行梳理。

互聯(lián)互通的信息安全指標主要集中在測評指標體系的第4部分基礎設施建設情況中：

【平臺硬件基礎設施情況】

1、?服務器設備

如上圖所示，在互聯(lián)互通對服務器設備的要求中，支持統(tǒng)一監(jiān)控管理平臺的管控和高可用部署可以在等保測評指標項中覆蓋，但以下兩點在互聯(lián)互通測評建設中還要著重關注：

1)?服務器設備的專用化

國標的等保測評指標中并沒有對服務器的使用目的進行要求，只有在金融行業(yè)推標JR/T0072-2020《金融行業(yè)網(wǎng)絡安全等級保護測評指南》中對安全計算環(huán)境設備(包括服務器)的專用化進行了規(guī)定。服務器的專用化保證了使用人員可控，與無關信息的隔離等，此項要求與信息安全建設一直領先的金融行業(yè)看齊，更應給與重視。

2)?服務器的虛擬化和云計算的實現(xiàn)

虛擬化和云計算的推廣和應用，可以帶來更多的業(yè)務靈活性。虛擬化可以使資源得到最充分的利用；云計算可以為使用者提供使用便利，幫助其隨地獲取各種高度可擴展的、靈活的IT資源。就目前的建設情況來看，大部分醫(yī)院可以實現(xiàn)虛擬化技術，但存在由于存儲管理不善或效率低下導致并沒有發(fā)揮虛擬化技術的真正優(yōu)勢。而云計算技術的應用范圍則比較小，所以在互聯(lián)互通建設過程中，還應投入一定的精力去完善這項指標。

2、?存儲設備

等保測評中沒有對存儲設備和架構進行明確的要求。但等保中要求關鍵計算節(jié)點滿足硬件冗余，并且對數(shù)據(jù)備份。除此以外，以下四點在互聯(lián)互通測評建設中還要著重關注：

1)?專業(yè)的設備·充足的容量·冗余的架構

互聯(lián)互通指標體系中對存儲設備配置情況、冗余模式等進行了單獨的、詳細的要求，在等保測評中會涉及對存儲設備的基本配置信息調(diào)研，但具體的部署架構以及與業(yè)務的匹配能力的建設是比較容易忽略的地方。

2)?對數(shù)據(jù)災備RTO和RPO的要求

2020年版測評方案對此項要求進行了加強，不同等級的醫(yī)院需要滿足不同的RTO和RPO時間限制。例如，RTO≤4h、RPO≤6h方滿足四級甲等要求。

3)?充分重視離線備份

雖然技術上不難實現(xiàn)，但從歷年測評情況來看，這項要求卻極易被忽略，即使提供了相應的手段，也只是流于表面，離線存儲的存放地點等也未進行認真管理，過于依靠線上存儲，風險意識需繼續(xù)加強。

4)?實現(xiàn)虛擬存儲化

如同對服務器虛擬化的要求，將存儲空間虛擬成資源池，不僅提高了利用率，還是存儲系統(tǒng)具備了冗余或容災能力。

3、?網(wǎng)絡設備

如上圖，互聯(lián)互通中關于網(wǎng)絡設備的大部分要求都可以被等保測評指標覆蓋，隨著新興技術的發(fā)展，2020版測評方案中增加了對無線網(wǎng)絡的接入能力要求：

1)?無線網(wǎng)絡的物聯(lián)網(wǎng)與5G部署接入能力

該指標屬于五級甲等的要求，相信在不遠的將來，物聯(lián)網(wǎng)與5G部署的實現(xiàn)將會給醫(yī)院就醫(yī)帶來嶄新的體驗。

【網(wǎng)絡及網(wǎng)絡安全情況】

1、?網(wǎng)絡帶寬情況

如上圖所示，滿足等保測評指標項(安全通信網(wǎng)絡-網(wǎng)絡架構-應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要)之后，在互聯(lián)互通測評中就不需要再額外關注了。且就目前的測評經(jīng)驗，網(wǎng)絡帶寬一般不會成為系統(tǒng)建設的瓶頸。

2、?接入域建設

等保測評中沒有對接入域進行明確要求，但對無線網(wǎng)絡的建設是有要求的：無線網(wǎng)絡需單獨組網(wǎng)，并通過邊界防護設備接入到內(nèi)部有線網(wǎng)絡。因此，醫(yī)院無線網(wǎng)絡建設因遵循此原則，在保障安全的前提下，最大限度為醫(yī)療行為和患者就診行為提供便利。

3、?網(wǎng)絡安全

如上圖所示，等保測評指標基本可以覆蓋互聯(lián)互通網(wǎng)絡安全部分的指標。

【信息安全情況】

1、?環(huán)境安全

如上圖所示，等保測評指標項本可以覆蓋互聯(lián)互通環(huán)境安全部分的指標。但等保測評并不是專門針對機房的檢測，此處最佳選擇還是提供專業(yè)的機房檢測報告。

2、?應用安全

如上圖所示，等保測評指標項可以覆蓋大部分互聯(lián)互通應用安全部分的指標。唯獨要注意互聯(lián)互通中對數(shù)據(jù)痕跡修改的要求。上級醫(yī)師修改病歷要保留修改痕跡，當前大部分電子病歷系統(tǒng)都可以滿足本要求。

3、?數(shù)據(jù)安全

如上圖所示，等保測評指標基本可以覆蓋互聯(lián)互通數(shù)據(jù)安全部分的指標。

4、?隱私保護

如上圖所示，互聯(lián)互通測評中比較側重對隱私信息的保護。除了傳統(tǒng)的數(shù)據(jù)完整性和保密性的保護，還需要注意一些安全功能的實現(xiàn)：

1)?數(shù)據(jù)訪問警示服務

醫(yī)務人員因業(yè)務需要查看或訪問費直接相關的患者電子病歷資料時，需要警示其依照規(guī)定使用資料，加強患者電子病歷資料管理。

2)?電子病歷匿名化處理

實現(xiàn)對電子病歷的脫敏處理，采用替換、重排、加密、階段或掩碼等處理手段對患者敏感信息進行處理，保證不向非授權用戶泄露患者敏感信息。

3)?患者的許可指令管理服務

在提供訪問或傳輸患者電子病歷醫(yī)療數(shù)據(jù)之前，通過一定的手段以確定患者或個人是否允許或限制這些醫(yī)療數(shù)據(jù)的公開。

4)?數(shù)據(jù)保密等級服務

這是一項比較高的要求，需要涉及到對數(shù)據(jù)的分類分級，數(shù)據(jù)的治理等課題，最后實現(xiàn)對根據(jù)數(shù)據(jù)分類分級的不同設置不同的安全等級進行存儲。進一步規(guī)范和完善數(shù)據(jù)的存儲和使用安全。

5、?管理安全

如上圖所示，等保測評指標可以覆蓋互聯(lián)互通安全管理部分的指標。

【結語】

綜上，通過等級保護測評并不意味著互聯(lián)互通的安全指標就可以高枕無憂了。因為：

1.互聯(lián)互通具有醫(yī)療領域個性化指標需求

互聯(lián)互通測評針對醫(yī)療行業(yè)的特點，并結合諸如金融等安全工作比較領先的行業(yè)的工作經(jīng)驗提出了適用于醫(yī)療行業(yè)的個性化指標需求，因此，各參評單位不僅要落實好等級保護測評工作，還要對這些醫(yī)療行業(yè)的個性化指標充分重視起來，才能確保互聯(lián)互通測評的順利推進。

2.互聯(lián)互通和等保測評評分機制不同

互聯(lián)互通采取的是一票否決制，等保測評的成績則取決于總分數(shù)及高風險存在與否。互聯(lián)互通如果測評等級及其以下等級有一項不滿足就不能達到所申報的測評等級。所以即使以中、良等成績通過等保測評，并不意味著互聯(lián)互通中被等保測評覆蓋的指標項就已經(jīng)達到互聯(lián)互通的要求了。

總結

以上是生活随笔為你收集整理的网站等保测评针对服务器,互联互通测评知识分享之信息安全建设要点的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。