2022年,衛(wèi)生健康行業(yè)主管部門印發(fā)《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》�,提出了構(gòu)建“管理、技術(shù)、運營”三位一體的安全防護體系。各級醫(yī)院先后啟動了醫(yī)院安全防護體系建設(shè)。然而����,由于不同醫(yī)院在其網(wǎng)絡(luò)安全管理水平、技術(shù)人員能力��、以及資金投入等方面的差距���,在落實《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》要求���,建立安全防護體系的成效上缺少客觀評價的依據(jù)。
為此�,中國醫(yī)院協(xié)會信息專業(yè)委員會(CHIMA)組織相關(guān)專家編制了《醫(yī)院網(wǎng)絡(luò)安全運營能力成熟度評估指南》【試行版】,旨在為醫(yī)院安全運營建設(shè)提供一套科學(xué)����、系統(tǒng)����、規(guī)范的評估標準和驗證流程,為醫(yī)院信息系統(tǒng)的安全�、穩(wěn)定和高效運行提供更好保障。
該網(wǎng)絡(luò)安全運營能力成熟度評估框架包括:安全策略與制度����,風(fēng)險管理,安全技術(shù)措施,人員能力與安全意識����,應(yīng)急響應(yīng)能力和持續(xù)改進機制等方面內(nèi)容,形成完整評估鏈條���,如圖所示:
安全運營能力成熟度評估框架
過程域定義“做什么”�����,能力域回答“如何做”���,層級域明確“做到什么程度”。
過程域:在實施網(wǎng)絡(luò)安全運營工作時��,首要任務(wù)是明確網(wǎng)絡(luò)安全運營工作的具體內(nèi)容�����,將所有相關(guān)工作進行系統(tǒng)化整理�,整理結(jié)果即為過程域。
能力域:這些工作需要具備何種能力����,如圖所述����,安全運營能力體現(xiàn)在“組織人員���、制度流程��、技術(shù)工具���、工作執(zhí)行”這四個維度上,每個工作項都應(yīng)在這些維度上滿足相應(yīng)的條件要求����,這四個維度即為能力域。
層級域:鑒于安全運營是一個持續(xù)優(yōu)化的管理過程����,為了體現(xiàn)工作在四個能力維度上的效果�����,我們將安全運營工作劃分為五個階段性的層級����,以展示安全運營工作的持續(xù)優(yōu)化過程����,這五個階段即為層級域��。
圍繞各框架中過程域的具體工作項�,基于四項能力維度和五級層級體系,構(gòu)建了系統(tǒng)化����、分層次的標準化指標評估體系結(jié)構(gòu),通過量化指標要素建立網(wǎng)絡(luò)安全能力評估標準����,如下圖結(jié)構(gòu)所示,每項工作會分為四個能力項�����,每個能力項又具備5個等級����,每個等級會有具體的指標項要求,整篇指南可評估指標項500+���。
指南評估指標結(jié)構(gòu)對照
CHIMA提到���,指南用于醫(yī)院自行評估����,旨在協(xié)助醫(yī)院進行“指導(dǎo)醫(yī)院規(guī)劃-評估運營現(xiàn)狀-改進建設(shè)不足”����,各個醫(yī)院可自行選擇開展。
特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容����,出于傳遞更多信息而非盈利之目的,同時并不代表贊成其觀點或證實其描述�����,內(nèi)容僅供參考�。版權(quán)歸原作者所有,若有侵權(quán)�����,請聯(lián)系我們刪除��。
凡來源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng)��,轉(zhuǎn)載需獲授權(quán)���。
