近日,國家衛(wèi)生健康委辦公廳發(fā)布《醫(yī)院智慧管理分級評估標準體系(試行)》(國衛(wèi)辦醫(yī)函【2021】86號),為后疫情時代我國廣大醫(yī)療機構(gòu)進行“三位一體”的智慧醫(yī)院建設提出進一步政策指引和要求��。
《關于進一步完善預約診療制度加強智慧醫(yī)院建設的通知》(國衛(wèi)辦醫(yī)函【2020】405號)明確提出要建立醫(yī)療�、服務�、管理“三位一體”的智慧醫(yī)院系統(tǒng)。第一是面向醫(yī)務人員的“智慧醫(yī)療”:開展以電子病歷為核心的信息化建設��,包括電子病歷����、影像、檢驗系統(tǒng)等多系統(tǒng)間的互聯(lián)互通�����,《關于印發(fā)電子病歷系統(tǒng)應用水平分級評價管理辦法(試行)及評價標準(試行)的通知》(國衛(wèi)辦醫(yī)函【2018】1079號)將醫(yī)院電子病歷系統(tǒng)應用水平劃分為9個等級;第二是面向醫(yī)院的“智慧管理”:主要為提升醫(yī)院管理精細化����、智能化水平,《醫(yī)院智慧管理分級評估標準體系(試行)》(國衛(wèi)辦醫(yī)函【2021】86號)從功能和效果兩個方面進行評估�����,評估結(jié)果分為0級至5級�;第三是面向患者的“智慧服務”:主要通過預約診療、信息體系��、自助一體機等�,提升患者就醫(yī)體驗。
標準解讀
本次發(fā)布的標準從醫(yī)院智慧管理的功能和效果兩個方面進行評估�����,網(wǎng)絡安全管理作為獨立的業(yè)務項目進行評估���,評估要點包括基礎設施�、安全管理�、安全技術和安全監(jiān)測����。評估結(jié)果分為0級至5級�,不同級別的安全要求及對應解讀措施如下:
1級評估要求
(1) 具有相關計算機��、信息系統(tǒng)�、信息安全管理制度;(2) 醫(yī)院內(nèi)部有局域網(wǎng)�����,部門間網(wǎng)絡互相聯(lián)通�����;
(1) 深入梳理醫(yī)院安全業(yè)務��,對醫(yī)院的安全工作與安全措施進行整體規(guī)劃����、設計與評估,編寫形成相關的安全制度�、規(guī)范��、操作文檔�����;
(2) 對醫(yī)院整體網(wǎng)絡進行分區(qū)分域設計���,不同區(qū)域間進行網(wǎng)絡安全隔離,對特別重要的網(wǎng)絡區(qū)域間采用物理安全隔離措施�;
(3) 至少采用終端防病毒措施,建議綜合采取終端防病毒和網(wǎng)絡防病毒協(xié)同部署����。
(1)具有網(wǎng)絡安全領導組織機構(gòu),負責統(tǒng)籌規(guī)劃醫(yī)院網(wǎng)絡安全相關事宜���;
(2)具有獨立的信息機房�,主要服務器����、存儲等設備集中部署在信息機房內(nèi);
(3)管理信息系統(tǒng)具備清晰的權(quán)限管理����,能夠?qū)崿F(xiàn)訪問控制到個人的細粒度管理��。
(1)成立以醫(yī)院院長為核心的網(wǎng)絡安全領導小組��,具體工作由醫(yī)院信息科牽頭施行����,對醫(yī)院網(wǎng)絡安全建設有中長期規(guī)劃���,每年有固定的網(wǎng)絡安全建設預算���;
(2)根據(jù)《全國醫(yī)院信息化建設標準與規(guī)范(試行)》要求進行機房及相關軟硬件系統(tǒng)建設。
(1)信息機房有高可靠不間斷電源���、空調(diào),具備專門的消防設施�;
(2)全部投入應用的管理信息系統(tǒng)列入管理清單,全部信息系統(tǒng)完成等級保護定級��、備案�,定為三級及以上的信息系統(tǒng)每年進行等保測評;
(3)重要管理信息系統(tǒng)的關鍵網(wǎng)絡設備�����、網(wǎng)絡鏈路采用冗余設計;
(4)重要管理信息系統(tǒng)具備應急預案并定期進行演練�����,當出現(xiàn)系統(tǒng)故障時�,可恢復關鍵業(yè)務;
(5)實現(xiàn)實名制上網(wǎng)管理�、能夠?qū)徲嬁蛻舳说纳暇W(wǎng)行為。
(1)物理機房滿足等保三級要求����;
(2)業(yè)務系統(tǒng)滿足等保三級要求;
(3)重要系統(tǒng)路由交換設備堆疊部署����、應用安全網(wǎng)關設備主備部署、部署負載均衡系統(tǒng)對業(yè)務系統(tǒng)及網(wǎng)絡提供高可用保障���、服務器及網(wǎng)絡設備建議選用冗余電源��;
(4)編寫應急預案并定期進行安全應急演練���;
(5)互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)。
(1)具有完整的網(wǎng)絡安全制度體系���,包括管理策略�、管理制度、管理規(guī)范�、記錄表單等;
(2)重要管理信息系統(tǒng)每日至少進行一次完整數(shù)據(jù)備份�,同時每年定期進行數(shù)據(jù)還原演練;
(3)管理信息系統(tǒng)實現(xiàn)分域管理�����,系統(tǒng)之間進行數(shù)據(jù)交互時進行授權(quán)認證�����;
(4)設有獨立的網(wǎng)絡安全崗位�,定期組織安全培訓;
(5)明晰信息系統(tǒng)權(quán)限清單并定期梳理信息系統(tǒng)賬戶權(quán)限����。
信息科具有獨立的網(wǎng)絡安全崗位��,組建或采用外包的方式選用專業(yè)的安全運營團隊進行醫(yī)院網(wǎng)絡安全運營����。明確工作分工��,定期進行資產(chǎn)梳理�、互聯(lián)網(wǎng)暴露面檢查等各種專業(yè)安全工作�。
(1)重要數(shù)據(jù)實現(xiàn)不同地點容災(不能在同一建筑物內(nèi));
(2)能夠?qū)W(wǎng)絡設備���、安全管理設備��、服務器等硬件的操作行為進行審核并記錄��,操作行為記錄保存六個月以上����;
(3)能夠?qū)π畔⑾到y(tǒng)運行進行實時安全監(jiān)測����,具備基本網(wǎng)絡安全態(tài)勢感知能力,能夠及時發(fā)現(xiàn)網(wǎng)絡安全攻擊行為并進行有效處置���;
(4)每年定期對互聯(lián)網(wǎng)上暴露的信息系統(tǒng)進行滲透測試和漏洞掃描�,發(fā)現(xiàn)的問題及時整改落實��;
(5)在互聯(lián)網(wǎng)上運行的管理信息系統(tǒng)重要數(shù)據(jù)進行加密傳輸、加密存儲�,使用的加密算法符合國家法律法規(guī)要求。
(1)對于只有一個院區(qū)的醫(yī)院����,在院區(qū)內(nèi)不同建筑物內(nèi)建設主備數(shù)據(jù)中心。對于擁有多個院區(qū)的醫(yī)院�����,最好在不同地理區(qū)域的院區(qū)內(nèi)分布設置主備數(shù)據(jù)中心��,保障重要數(shù)據(jù)不同地點容災���;
(2) 部署日志審計系統(tǒng)����,有條件的醫(yī)院可建設基于大數(shù)據(jù)技術的安全運營管理平臺進行統(tǒng)一日志收集分析���;
(3) 部署態(tài)勢感知系統(tǒng)����;
(4) 邀請專業(yè)安全廠商專家對系統(tǒng)定期進行滲透測試�����,可部署漏洞掃描系統(tǒng)設置定期漏洞掃描任務或邀請專業(yè)安全廠商專家對系統(tǒng)定期進行漏洞掃描�����;
(5) 對互聯(lián)網(wǎng)開放的業(yè)務系統(tǒng)使用HTTPS加密協(xié)議對外提供服務���,數(shù)據(jù)存儲采用加密存儲方式����。
