医疗数据有多重要?卫生委员会医院管理研究所副所长王凯在接受采访时表示,医疗行业与国民经济和民生有关。一旦医疗数据被篡改、破坏和泄露,必然会对医疗机构的声誉、医生和患者的隐私和健康安全构成严重威胁,甚至影响社会的和谐稳定。
如何加强医疗机构对数据安全的重视,摆脱医疗行业业务第一、安全滞后的困境?
首先是发布大量政策。2016年以来,国家先后出台了《关于促进和规范健康医疗大数据应用发展的指导意见》、《互联网诊疗管理办法》、《远程医疗服务管理规范》、《互联网医院管理办法》、《国家健康医疗大数据标准》、《安全与服务管理办法》、《人类遗传资源管理条例》等多项医疗卫生数据安全政策。近日,据《经济参考报》记者报道,由于上述疫情期间全球医疗卫生遭到攻击,国家医疗机构网络信息安全管理办法正在起草中,很快就会出台。
二是硬性评价标准的建立和更新。
通过评级标准来指明医院信息系统的底层结构和功能要求,通过评级标准来促进建设,通常是最直接有效的方式。
2018卫生健康委员会和国家中医药管理局发布的《互联网医院管理办法(试行)》,互联网医院信息系统按照国家有关法律法规实施第三级信息安全保护。
这是医疗行业首次将信息化建设与安全建设捆绑在一起,等级保护建设已成为互联网医院上线的必要条件。等保三级也由公安机关根据国家信息安全保护法规和有关制度,根据管理规范和技术标准,对信息系统安全等级保护状况的认可和评价,是非银行金融机构可以获得最高水平的网络安全认证,由于其门槛高,要求严格,是国内最权威的信息安全保护认证。
随着对数据安全的日益重视,等保评估的要求会越来越高。
2019年12月,等保20版正式实施,对各种信息系统进行1-5级分级,并定期进行评分和评价(3 级及以上系统每年都需要等保测评)。等保20,增加了云计算、移动互联、工控安全、物联网的覆盖。等保 20在评分上也进行了提高,要求70分及格(原来是 60分)
等保三级已成为医疗机构的安全防线,也是信息安全建设的基础。换句话说,可以得到等保三级评价也是国家对企业信息安全保护技术的认可
以下资料来源等保测评机构——时代新威官网。如还有更多疑问请官网查看。
等保20相比10主要有四大方面的变化:
(1) 名称上的变化
名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。
(2) 法律效力不同
《网络安全法》第21条规定“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。
(3)保护对象有扩展
等保10主要是信息系统。而等保20将网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。
(4) 控制措施分类不同
等保10按照技术和管理各5个方面的要求进行分类,技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
等保20则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外,等保20基本要求、测评要求、安全设计技术要求框架保持了一致性,即“一个中心,三重防护”。
(5) 内容进行了扩充
等保10有五个规定性动作,包括定级、备案、建设整改、等级测评和监督检查。而等保20除了定级、备案、建设整改、等级测评和监督检查之外,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。
作为一名IT从业者,同时也是一名计算机专业的教育工作者,我来回答一下这个问题。首先,从网络安全的就业方向来看,可以就业到云计算、大数据、物联网、人工智能等多个领域,而且随着云计算等技术逐渐开始落地应用,未来这些新兴技术领域对于安全类人才的需求量会逐渐提升,整体的就业前景还是比较广阔的。
以大数据领域为例,随着数据价值化能力的不断提升,大数据领域对于数据安全的重视程度也会逐渐提升,对于大数据技术体系来说,没有安全的大数据一定走不远,所以当前学习网络安全的初学者,也可以重点关注一下大数据安全领域的相关知识。
在5G通信时代,物联网将会迎来新的发展机遇,而且物联网是产业互联网的重要基础,所以大量传统行业企业也会纷纷建设自己的物联网,所以物联网有望成为一个重要的创新、创业领域。从物联网的技术体系结构来看,当前物联网一共有六大层次,其中安全单独占据着一个层次,而且安全也是其他五层(设备、网络、物联网平台、数据分析、应用)的重要支撑。所以,从这个角度来看,物联网也将成为网络安全一个重要的应用领域。
从网络安全所涵盖的内容来看,网络安全涉及到传输安全、存储安全、运维安全等多个领域,涉及到的知识面也比较广,不仅涉及到 *** 作系统、计算机网络、数据库等知识,同时也涉及到密码学等相关内容,所以不仅知识量比较大,难度也相对比较高。
最后,网络安全的相关工作岗位不仅与所处的技术体系(物联网、大数据等)有关系,与应用场景也有密切的关系,所以安全从业者本身的工作边界还是比较宽的。等保测评的流程如下:
第一步 定级
信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。虽然是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级。
第二步 备案
信息系统,要按照单位所在地址的(市级公安网监机关)进行备案。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地的市级以上公安机关备案。
第三步 系统安全建设
信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
第四步 等级测评
信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然,理想状态的“符合”基本是不可能达到的。
最后评测中心会给一本等级评测报告,当然整个过程是很繁琐的,需要测评中心和系统的建设安全维护公司一起完成。
第五步 监督检查
公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)