安全建設實踐案例四連發（三）丨醫療衛生主管單位如何實現安全管理一盤棋？

近年來，隨著黨中央和國家對於全國各地衛生健康工作的決策部署，各地醫療衛生主管單位正不斷加強其自身業務建設。在大規模的資訊化建設過程中，更加宏大的網路規模和更加複雜的網路架構，也帶來了更多的安全風險。醫療衛生主管單位既無法有效掌控整體的網路安全狀況，又無法做到有效的運維，迫切需要建立一套完善的、一體化安全運營體系，幫助對自己單位內部以及下轄各單位的安全情況進行整體的把控與監測。

在建設一體化安全運營中心方面，醫療衛生主管單位主要需要解決以下三方面的需求：

1.實現醫療衛生體系安全管理一盤棋的建設目標

醫療衛生行業資訊化建設具有建設分散的特點，即各醫院資訊系統和安全防範系統均為自己建設，防範能力參差不齊。為了實現醫療衛生體系安全管理一盤棋的建設目標，上級醫療衛生主管單位需全面感知所屬醫療衛生機構的安全狀況，實現統一安全管理。

2.滿足等保2.0相關要求

醫療衛生資料關係到國計民生。在醫療資訊保安建設過程中，應充分考慮合規要求，滿足網路安全法、等保2.0等網路安全相關的法律法規及政策要求。

3.解決本地安全技術人員人手不足、能力薄弱的問題

醫療機構普遍存在本地安全技術人員人手不足、能力薄弱的問題，缺少可持續安全運營及應急響應能力。面對突發性安全事件，往往難以把握應急處置的最佳時間視窗，容易擴大安全事件的影響面。

“一箇中心，三重防護”下的安全建設

綠盟科技依託二十餘年的技術實力，從醫療衛生主管機構實際需求出發，依據“一箇中心，三重防護”的建設思路，幫助完成安全體系建設，以滿足等保合規需求。同時，為實現對醫療衛生機構安全管理的建設目標，還需在醫療主管單位部署安全運營平臺，作為區域的安全運營中心；在下屬單位及醫療衛生機構部署二級平臺，以實時感知本地安全狀況，並對本地流量資料進行分析。

基於以上技術體系設計，實現區域醫療衛生機構的安全事件採集、統一資料分析、安全事件管理和綜合態勢感知，充分發揮醫療衛生主管單位的管理職能。

圖 衛健委一體化安全運營中心建設示例

隨著安全運營一體化管理的深入推進，逐步實現運營管理自動化、智慧化。醫療衛生主管單位一體化安全運營方案，圍繞安全運營體系設計、資產安全管理體系、脆弱性安全管理體系、安全風險分析管理體系、安全值守服務及應急響應服務五個方面，搭建統一、整合、開放並可擴充的一體化安全運營體系架構，包含安全威脅與脆弱性集中監控管理、執行風險分析、安全運營度量等著力提高安全運營自動化管理水平。提供全面的基礎運營保障、資產安全管理、脆弱性分析與管理、安全風險分析研判與檢測控制、安全風險驗證與度量、風險監控預警服務能力，全面支撐安全技術運營團隊進行運營。

一體化安全運營框架

方案優勢

1. 資訊化、智慧化的安全監管與預警體系

一體化安全運營中心的建設，可有效實現區域醫療行業安全監管與預警體系全覆蓋，實現安全集約化管理，實現醫療衛生體系安全管理一盤棋的建設目標，有助於提高全區域醫療衛生資訊化、智慧化水平與管理效能。

2. 高效建設、避免浪費

一體化安全運營中心的建設，充分考慮醫療衛生機構的安全建設需求，避免了無序、重複碎片化的安全建設。對於節約國家投資、提高工程效益具有重要意義。

隨著5G技術而來的數字化應用場景，應如何構建全方案的安全能力？且聽下回分解。