医疗行业信息化现状
- 十二五期间,我国医疗机构基础信息系统基本建立,信息安全需求开始产生,原卫生部在等保1.0基础上发布等级保护指导意见,提出三级甲等医院的核心系统必须通过等保三级测评。
- 进入十三五期间,医疗行业信息化建设发展如火如荼,卫健委加强医院、基层医疗和公共卫生信息化规范建设,并在规范中对未来5-10年的信息安全建设提出建议与要求。
- 十三五期间医疗行业信息化建设规范已经初步形成,医疗行业网络安全规范尚未形成体系,滞后于信息化建设。十三五期间医疗行业网络安全主要围绕等保合规建设。
- 进入十四五时期,卫健委和医保局都提出了要加强网络安全和数据安全的指导意见,2022年8月29日,卫健委推出了医疗行业首个关于网络安全的管理办法,《医疗卫生机构网络安全管理办法》,其文件为医疗卫生机构网络安全管理提供了工作指南。
医疗行业网络安全市场规模
医疗行业在等保2.0正式实施以后,行业需求迅速增加,市场规模扩大。根据数说安全商业分析平台测算,2018-2020年以来医疗行业市场规模分别为20.09、35.76和 49.76亿元,2019-2020年分别增长78%和39%。2021年-2022年由于疫情影响,行业整体规模增速放缓,甚至有所下滑。2022年医疗行业市场空间为48.22亿元,相较于 2021年同比下滑3.7%。
医疗行业网络安全市场需求
-
安全运营和服务需求提升:随着医疗信息化进程的蓬勃发展,信息系统应用范围逐渐拓宽。而医疗信息系统运维工作面临着需维护的设备和种类繁杂、业务系统覆盖面较广,运维难度加大,而自主运维存在高维护成本和高维护的风险等挑战和问题。因此近两年医疗行业客户对安全运营和服务的需求大大提升。
-
数据安全需求开始起步: 随着医院业务范围不断扩大,医院系统存在海量的个人信息和健康医疗数据,一旦数据泄露和被破坏,对医院品牌和正常业务系统运行产生极大影响。目前,各级医疗机构在数据安全方面还处于起步阶段,产品采购主要集中在数据库防护和防泄漏等传统产品。随着监管单位加强对数据安全的监管叠加医院业务的需求,未来医疗机构对数据安全的需求会逐步增加。
医疗行业网络安全相关法律法规
2022年8月,国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》旨在指导医疗卫生机构加强网络安全管理。
要点:
- 细化网络安全管理颗粒度
成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长,每年至少召开一次网络安全办公会;
等保第二级以上:应在网络安全保护等级确定后10个工作日内,报备公安、上级行政部门;网络撤销或变更等级;10个工作日内报备。
等保第三级以上:每年至少一次开展网络安全等级测评;
二级系统中涉及10万以上个人信息:至少三年开展一次;其他的网络:至少五年开展一次;新建的网络上线运行钱应进行安全性测试。
覆盖数据全生命周期的管控
强调检测预警与应急处置协同
鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息;通过建立完善应急预案、每年组织应急演练等方式,有效处理网络中断、网络攻击、数据泄露等安全事件。
与国家法律法规实现有效链接
等级保护方面:要求落实《关键信息基础设施安全保护条例》和网络安全等级保护制度要求。
要求落实《密码法》等有关法律法规和密码应用相关标准规范,在网络建设过程中同步规划、同步建设、同步运行密码保护措施,使用符合相关要求的密码产品和服务。
融合管理、技术、运营三位一体
总体策略拆解到具体安全管理要求,并通过安全技术能力实现管理要求,最终融入对应到安全运营体系中。
第一,建立网络安全管理制度体系;
第二,加强网络安全保护;
第三,运营过程中,每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查。新建信息化项目的网络安全预算不低于项目总预算的5%。
构建防护监测处置保障四个体系
第一,安全防护方面:要求建立实战化、体系化、常态化的安全防护体系,形成动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控的安全防护态势;
第二,安全监测层面:鼓励三级医院探索态势感知平台、及时收集、汇总、分析各方面网络安全信息,并与国际及行业平台对接;
第三,安全保障方面,通过统筹领导和规划设计、在人才培养、安全培训、经费保障等方面实现全方面保障;
第四,安全处置方面:形成监督管理、安全检查、应急预案、联防联控系统体系。