医院网络安全等级保护2.0管理体系建设实践.doc

摘 要:按照《中华人民共和国网络安全法》(本文简称《网络安全法》)及卫生行业网络安全等级保护相关指导文件要求,在医院开展三级等级保护工作。文章通过实践探讨了医院网络安全管理体系建的“机构”“制度”和“人员”三要素缺一不可,同时还应对系统建设整改过程中和运行维护过程中的重要活动,实施控制和管理。在网络安全相关技术日新月异进步的形势面前,做好网络安全等级保护工作“三分靠技术,七分靠管理”。只有结合医院自身的实际情况,建立起比较完备的管理体系,才能有效的保障网络安全。
4 醫院网络安全等级保护管理体系建设实践
医院建设有HIS、电子病历、PACS、LIS等众多信息系统,前期缺乏专门负责网络安全的工作人员,所以网络安全的管理属于薄弱环节。因此,在网络安全等级保护工作中,结合自身情况,按照定级、备案、等保测评、建设整改的步骤开展工作,医院HIS及电子病历系统最终被定级为三级系统。在采购了相应的网络安全设备后,大力加强网络安全管理体系建设成为最重要的工作内容,具体做法有六方面。
落实网络安全责任制
首先将原信息化领导小组改为网络安全和信息化领导小组,该小组作为院级网络安全领导机构,明确了责任领导和责任人员,建立了医院信息安全管理总纲。同时,调整了信息部岗位和人员职责,落实了网络安全责任制。 网络安全管理现状分析
通过对网络安全现状进行分析,找到网络安全管理建设整改需要解决的问题,才能明确建设整改的具体需求。为了更准确地找到不足,医院在完成定级备案后首先进行了等级保护测评工作。通过對比测评指标,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面进行了详细梳理,查找出不符合的项目,确定了本院管理方面建设整改的内容。
制定网络安全管理策略和制度
针对医院网络安全管理的需求,确定安全管理目标和安全策略,针对网络各类管理活动,制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等,形成安全管理体系。
落实网络安全管理措施
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗过程,关键岗位签署保密协议,对各类人员进行安全意识教育,对外部人员运行访问区域进行严格控制。
系统运维管理主要针对环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、事件处置与应急响应、灾难恢复、安全监测等。
系统建设管理
制定系统建设相关的管理制度,包括定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理责任以及管理内容和控制方法。
安全自查与调整
制定安全检查制度,定期检查各项制度、措施的落实情况,并不断完善。针对医院的两个三级系统,每年自查一次。
通过建设整改,依据网络安全等级保护工作中三级系统的要求,建立起具有特色的网络安全管理体系,具体内容如图2所示。
5 两点“重视”
,医院网络安全管理体系的建立,除了贯彻执行《网络安全法》及相关制度规范外,还有