案例 | 医疗行业的等保实施准则及案例
随着互联网+的发展,医疗行业为了提供更便捷的就诊服务,也开始进行互联网的部分接入。但在开放便捷渠道的同时,也为黑客及一些不法分子提供了攻击医疗网络的渠道。因此,在等保2.0时代,医疗行业的测评对象也同样需要进行拓展,由原来的信息系统,拓展到新标准要求的测评范围,将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。
本篇文章会为您介绍医疗行业等保实施准则、政策依据,以及安徽国康近年来在医疗行业的等保案例解读。
1.信息系统多,有HIS,LIS,PACS,EMR,对不当访问和准入控制要求高;
2.对持续可靠的运行有非常高的要求,对病毒感染、黑客入侵防御要求高;
3.安全设备未发挥最大效应,日志分析或分析类安全设备未发挥有效作用。
4.信息安全、保密度高,如统方信息、孕妇新生儿信息等;
5.医保卡、银联卡的使用与银行社保机构有数据交换;
6.安全制度需要梳理,提升用户信息系统管理的能力,避免人为因素给系统带来的威胁。
项目范围:医院信息管理系统HIS系统、医院信息综合管理平台系统
项目内容:
1、进行网络梳理;
2、根据现场测评结果出具问题点汇总;
3、协助用户根据问题点汇总进行安全整改;
4、进行漏洞扫描、渗透测试及安全性验证。
5、出具等级测评报告。
开展医疗行业的等保测评以及加固网络安全等工作,不仅需要参照等保2.0的标准开展,也需要加强技术和管理的结合,从内部网络安全防护做起,提高医护人员和医疗信息系统操作人员的网络安全意识和网络安全技术。同时通过提升网络安全技术和网络安全设备检测能力,增强防御外界攻击的能力。其外,引进网络安全人才或者寻找安全服务商合作,是加强医院自身的网络安全防护能力的非常关键。做好安全防护基础工作,是顺利通过等级保护测评的基础,专业的测评机构/安全服务商的专业指导能够加快等级保护测评的进程。
