随著(zhe)高質量發(fā)展縱深推進(jìn),全國(guó)衛生健康領域迎來重要機遇期,信息化發(fā)揮著(zhe)關鍵的支撐作用,在此過(guò)程中産生的醫療健康數據不僅是重要的生産要素,更是國(guó)家基礎性戰略資源,因此網絡安全的重要性日益凸顯。在此背景下,《醫療衛生機構網絡安全管理辦法》(以下簡稱《辦法》)的發(fā)布,進(jìn)一步規範了醫療衛生機構網絡和數據安全管理、促進(jìn)“互聯網+醫療健康”發(fā)展,加快推動衛生健康行業高質量發(fā)展進(jìn)程。
《辦法》明确了各醫療衛生機構網絡及數據安全管理基本原則、管理分工、執行标準、監督及處罰要求,體現了統籌安全與發(fā)展的總體平衡,與此前出台的一系列政策法規一脈相承,爲醫療衛生機構指明了網絡安全管理的總方向(xiàng),主要體現在以下四個方面(miàn):
一、強調一個周期。《辦法》全文貫穿了全生命周期管理的主導思想。在網絡安全方面(miàn),圍繞信息系統全生命周期,提出落實等級保護制度、監測預警、應急實戰、安全整改、人員管理、新技術應用、密碼安全、醫療設備、供應鏈管理等方面(miàn)的要求;在數據安全方面(miàn),以保障數據的機密性、完整性、可用性爲目标,要求采取數據加密、數據備份、數據脫敏等技術,加強數據收集、傳輸、存儲、使用、交換、銷毀等全生命周期的安全防護。在實際運用中,應基于網絡和數據的全生命周期視角,梳理安全策略架構,識别具體業務場景,有針對(duì)性的設計安全措施,實現安全防護。
二、突出兩(liǎng)個要點。《辦法》強調醫療衛生機構安全管理應圍繞頂層設計和制度保障兩(liǎng)個要點著(zhe)力推進(jìn)。頂層設計方面(miàn),在整體網絡安全體系的基礎上,依據數據的特性建構網絡和數據安全頂層設計,落實安全責任分工,明确數據管理部門、業務部門、信息化部門在網絡和數據安全管理工作中的權責。制度保障方面(miàn),《辦法》明确醫療衛生機構應建立健全安全管理制度、操作規程及技術規範。在執行過(guò)程中,應密切結合自身業務模式的變更,及時修訂完善制度要求,保持網絡和數據安全制度的有效執行力及充分協同。
三、融合三位一體。《辦法》要求建立網絡安全管理制度體系,加強網絡安全防護,通過(guò)管理和技術手段保障數據安全和數據應用的有效平衡。在實際運用中,應將(jiāng)總體安全策略拆解到具體安全管理要求,并通過(guò)安全技術實現管理要求,最終融入對(duì)應到安全運營體系中,形成(chéng)融合管理、技術、運營三位一體的立體化網絡安全管理模式。
四、構建四個體系。《辦法》指出要建立防護、監測、處置、保障四個體系協同的綜合防控格局。在安全防護方面(miàn),要求建立“實戰化、體系化、常态化”的安全防護體系,形成(chéng)“動态防禦、主動防禦、縱深防禦、精準防禦、整體防控、聯防聯控”的安全防護态勢;在安全監測層面(miàn),鼓勵三級醫院探索态勢感知平台建設,及時收集、彙總、分析各方網絡安全信息,并與國(guó)家及行業平台對(duì)接;在安全處置方面(miàn),要形成(chéng)監督管理、安全檢查、應急預案、聯防聯控協同體系;在安全保障方面(miàn),通過(guò)統籌領導和規劃設計,在人才培養、安全培訓、經(jīng)費支持等方面(miàn)實現全方位保障。
總體而言,《辦法》堅持安全可控和開(kāi)放創新并重的基本原則,其頒布爲醫療衛生機構網絡安全管理提供了工作指南,築牢了醫療衛生機構安全屏障,奠定了衛生健康行業網絡安全發(fā)展基礎。