一、信息安全等级保护工作开展情况
我们北京市公共卫生信息中心(原北京市卫生局信息中心),是北京市卫生和计划生育委员会直属的事业单位,负责全市医疗卫生行业网络与信息安全指导工作。北京市的信息安全等级保护工作是从2007年开始开展的。总结来说,主要有以下几点做法:
1.强化组织,落实责任。每年年初组织召开北京市医疗卫生信息化工作会,市卫生计生委领导、市公安局领导均出席会议,对全年信息安全工作提出部署,明确全行业信息安全保障重点任务,为落实全年信息安全工作的组织开展奠定了坚实的基础。
2.联合检查,摸清底数。自2008年起,我们每年都与市公安局联合开展医疗卫生行业信息安全检查工作。在市公安局的指导下,我们针对卫生行业机构众多的特点,设立了由市区两级卫生行政部门与市区两级公安部门联合检查的工作机制。全市三级医疗机构及市卫生局直属单位由市卫生计生委、市公安局负责,区县医疗卫生机构由区县卫生局与区县公安分局联合进行。目前,我市所有三级以上医疗机构和重要公共卫生部门均已完成了信息安全等级保护定级和备案工作。
3.政策落实,推动整改。近几年,市财政、市经信委大力支持卫生行业信息安全等级保护工作,在2012年度至2014年度的市卫生信息化项目申报指南中,明确规定了信息安全等级保护建设属于政府支持项目。到目前为止已有10家市属三级医院(世纪坛医院、朝阳医院、地坛医院、儿童医院、安定医院、北京胸科医院、友谊医院、佑安医院、中医医院、首都儿童研究所)完成信息整改项目的申报工作,已由市经济信息委审核通过项目资金共计3670.902万元,现在建设资金正在陆续拨付到位。通过安全整改、等级测评,完成信息安全等级保护工作,切实提高了本市医疗卫生机构信息安全保障能力。
4.制定预案,强化值守。
5.及时总结,持续改进。
二、信息安全等级保护工作的体会
从2007年开始参与信息安全等级保护工作,我个人经历了北京市等级保护工作推动的全过程,在这里谈几点个人对于信息安全等级保护相关工作的思考。
1.信息安全等级保护制度为我们医疗卫生行业带来了很大的变化。第一是看待信息安全工作视角的变化。以前,我们可能更关注技术本身,有了等级保护要求之后,使得我们从一个整体的角度来看待信息安全这件事情。因为信息安全是符合木桶原理的,最薄弱的地方往往是最容易出现问题的地方,也代表着整个安全防护的水平。第二个变化是让我们更清晰地梳理了医疗卫生行业的信息系统,以往可能主要从系统功能来区分,现在会考虑从业务连续性的高低、数据安全防护需求的高低来区分。
2.通过对信息系统的梳理、划分也清楚了信息安全等级保护要求里哪些要求对我们医疗卫生行业更适用。信息安全等级保护相关标准是各行业通用的,因此在行业内推动时,一定要结合行业特点,按照信息安全等级保护工作要求制定适合本行业的标准和规范。我们之前推出的《细则》其实就是基于这个思路,但由于行业的复杂性,真正形成一套适合医疗卫生行业的完整的标准规范,难度还是非常大的。
3.医院的院长、信息中心主任在增加新的信息系统时,都应从信息安全的角度对信息系统进行分析,在项目规划申报阶段就将信息安全需求整合考虑。现在大部分医院都上线了移动医疗、移动护理,面向公众开通了微信、手机App,增加这样一些新的业务之后,医院原有信息安全防护体系发生了较大改变,具体应如何解决?另外数字医疗设备信息安全的问题也应得到广泛的关注,根据我们的调研,随着影像检查、生化检验等设备的数字化,这些设备都接入到医院的信息网络当中,但对这些设备的安全管理基本属于空白,存在较多安全隐患。其实这些问题都可以在信息安全等级保护要求的指导下通过技术手段和管理制度的完善而解决。
4.既然面临这么多问题,那么我们信息安全等级保护工作到底应该怎么做?从卫生行政部门、从专家的角度,如何推进等级保护工作?答案是将信息安全等级保护制度跟国外的信息安全最佳实践,如信息安全管理体系ISMS、ISO/IEC27001等结合起来落实。不管是增加什么样的新系统、新业务,都不要就这个应用本身去考虑太多,而应该按照一个整体思路方式来进行梳理,进行考虑。因此我市医疗机构在信息安全等级保护整改建设工作中,都重点考虑了将等级保护的管理要求和信息安全管理体系结合。
5.在推动信息安全等级保护工作过程中,我们发现近几年大家对信息系统安全工作的认识有了很大的提高。但即使北京市医疗卫生行业等级保护工作推动得比较早、比较好,全市医疗卫生机构信息安全等级保护工作的整改工作到现在依然没有完全完成,主要原因还是资金落实进度的问题。各地卫生行政部门还是应该多与政府、财政进行沟通,争取财政资金支持卫生行业信息安全等级保护工作。在资金落实到位之前,医疗卫生机构可以先按照信息安全等级保护的要求加强信息安全制度的建设,提升信息安全管理水平,同样也会使安全水平得到提升。
作者:郑攀 单位:北京市公共卫生信息中心网络管理部
