一、行業網路安全管理專項規範情況
自2016年《網路安全法》頒佈後,各行業紛紛出臺適用於行業領域的網路安全規章制度。據不完全統計,目前已有電力、水利、金融、醫療等十餘個行業釋出網路安全專項管理辦法,如:《電力行業網路安全管理辦法(修訂徵求意見稿)》《水利網路安全管理辦法 (試行)》《證券期貨業網路安全管理辦法(徵求意見稿)》和《醫療衛生機構網路安全管理辦法》等。
就醫療衛生行業而言,國家層面釋出了數十個針對醫療網路安全和資訊化建設的管理規章,涉及“網際網路+醫療健康”、網際網路診療管理、遠端醫療網路能力建設、醫療衛生機構網路安全管理等方面。
表 1 醫療衛生行業網路安全政策法規彙總
從梳理情況來看,此前醫療行業出臺的大多是針對某一細分領域的網路安全政策,本次《管理辦法》則為醫療行業網路安全管理的專項規範,可視為醫療衛生機構網路安全管理的綱領性規範檔案,具有很強的頂層設計性質,將有力推進醫療衛生機構網路安全制度的體系化、規範化、科學化發展。
二、《管理辦法》確立了“五合一”醫療機構網路安全制度框架
《基本醫療衛生與健康促進法》《網路安全法》《個人資訊保護法》等作為《管理辦法》的重要依據,已有“推進醫療衛生機構建立健全醫療衛生資訊交流和資訊保安制度”“保護公民個人健康資訊,確保公民個人健康資訊保安”等原則性規定。《管理辦法》的出臺,將這些原則性規定進行了細化發展,並初步構建起“五合一”的醫療機構網路安全制度框架。該框架由醫療衛生機構網路安全管理機制、網路安全管理制度、資料安全管理制度、監督管理制度以及管理保障制度等五個要素構成。具體分析如下:
(一)管理機制
《管理辦法》首先明確了醫療機構的網路安全管理機制,包括兩個要點。一是明確監管機制和主要職責。明確了“一委二局”牽頭的網路安全管理機制並明確主要職責:國家衛生健康委、國家中醫藥局、國家疾控局負責統籌規劃、指導、評估、監督醫療衛生機構網路安全工作;縣級以上地方衛生健康行政部門負責本行政區域內醫療衛生機構網路安全指導監督工作。二是明確醫療衛生網路安全的主體責任。即醫療衛生機構對其單位網路安全管理負主體責任,同時各醫療衛生機構還應當與資訊化建設參與單位及相關醫療裝置生產經營企業書面約定各方的網路安全義務和違約責任。
(二)網路安全制度
在網路安全方面,《管理辦法》主要規定了6項制度。一是建立健全醫療機構網路安全等級保護制度,包括網路定級、等保備案、等保規劃、檢測評估、安全建設整改等工作;二是建立健全醫療機構網路安全資訊通報制度和機制,包括建設態勢感知平臺、開展威脅分析和態勢研判、及時通報預警和處置等;三是建立健全醫療機構網路安全應急處置機制和制度,如建立完善應急預案、參加網路安全攻防演練等;四是建立健全醫療機構網路安全自查制度,包括利用文件核驗、漏洞掃描、滲透測試等手段,開展資訊資產梳理和問題整改及報備等工作;五是建立健全醫療機構網路安全人員背景審查制度,包括明確內部人員全流程安全管理、第三方人員實名登記和保密協議簽署等;六是建立健全醫療機構網路管理安全制度,包括運維管理、業務連續性管理、裝置管理、系統風險評估管理、供應鏈管理、廢止網路管理等。
(三)資料安全制度
在資料安全方面,《管理辦法》主要規定了3項制度。一是建立醫療機構資料分類分級管理制度,重點包括資料資產梳理,並遵循合法合規原則、可執行原則、時效性原則等標準;二是建立健全醫療機構資料安全管理制度,包括制度層次最佳化、資料安全風險評估、資料安全教育培訓和資料使用審批等;三是加強醫療機構資料全生命週期安全管理,包括加強資料收集、儲存、傳輸、處理、使用、交換、銷燬等工作。
(四)監督管理制度
在監督管理方面,《管理辦法》主要規定了4項制度。一是明確醫療機構網路安全監督制度和機制,如網路安全管理日常檢查和整改等;二是建立網路安全風險應急響應、告知、報告制度,包括以電話、簡訊、郵件或信函等多種方式告知等;三是建立網路安全事件通報機制,《管理辦法》要求各級衛生健康行政部門及時通報網路安全事件;四是建立網路安全事件報告和配合機制,包括各醫療衛生機構應及時向衛生健康行政部門、公安機關報告,併為有關部門依法開展執法活動提供技術支援和協助。
(五)管理保障制度
在管理保障方面,《管理辦法》主要規定了4項制度。一是規劃保障制度,明確醫療衛生機構應當加強網路安全管理工作的統籌領導和規劃設計,保證資訊系統建設和安全保護措施同步規劃、同步建設和同步使用;二是人才保障制度,明確醫療衛生機構應當鼓勵在職在崗人員的網路安全繼續教育制度,建立人才庫等;三是資金保障制度,明確要求新建資訊化專案的網路安全預算不低於專案總預算的5%;四是考核保障制度,明確鼓勵有條件的醫療衛生機構將考核與績效掛鉤等。
三、《管理辦法》展望與思考
(一)內容發展展望
首先,《管理辦法》的出臺進一步健全了醫療衛生行業網路安全管理依據,並且在內容上具有很多創新、務實之處。例如《管理辦法》以專章的形式規定了“管理保障”相關制度,將網路安全發展所急需的規劃、人才、資金等基礎要素以條文形式明確下來,這對於醫療衛生機構網路安全事業無疑具有切實的推進作用。
其次,《管理辦法》的出臺將在一定程度上推進行業網路安全法規建設程式。從橫向行業層面看,目前關鍵資訊基礎設施行業基本都已出臺或即將推出各自行業的網路安全管理專項法規,《管理辦法》的內容將與其他行業形成良性互補,共同推進國家網路安全法治的落地實施。從縱向行業生態看,《管理辦法》的出臺將發揮牽引帶動效應,促進醫療行業上下游產業鏈、供應鏈的網路安全保障體系和能力建設共同發展。
當然,從內容發展來看,《管理辦法》所規定的有關制度和機制的建立健全必然需要一個過程,具體實施等方面也有可細化發展的空間。如對於網路安全管理機制和資料安全管理機制之間如何更好地銜接協同等問題,均有待在實踐中最佳化完善。
(二)產業影響思考
網路安全產業是網路安全建設發展的基礎保障,《管理辦法》的釋出實施對於網路安全產業也將發揮積極的促進。
一是在醫療機構網路安全建設方面。《管理辦法》將推動醫療機構的網路安全等級保護、態勢感知、安全運營等方面的建設發展,從而促進包括入侵檢測與防禦、高階持續性威脅防護、雲安全等在內的網路安全產業發展。
二是在醫療機構資料安全建設方面。《管理辦法》將推動醫療機構的資料分類分級、資料風險評估、資料安全審計等方面的建設發展,從而促進包括資料安全治理、個人隱私保護、資料審計溯源等在內的資料安全產業發展。
三是在醫療機構管理保障建設方面。《管理辦法》將推動醫療機構的網路安全規劃、教育培訓、攻防演練等方面的建設發展,從而促進包括網路安全諮詢、網路安全攻防實訓、網路安全運營等在內的網路安全服務產業發展。
《管理辦法》的釋出對於醫療衛生機構建立健全網路安全體系和能力提供了範本,同時也給作為供給側重要力量的網路安全產業帶來機遇和創新動力。綠盟科技將持續推進實施“智慧安全3.0”戰略,並深耕創新,依託T-ONE CLOUD等戰略產品和方案賦能行業,為提升行業客戶網路安全能力和體系持續貢獻力量。