一、医院网络安全面临的问题与挑战
一是医疗机构在网络安全方面的预算有限,防护措施不足,攻击者往往能够利用系统漏洞窃取患者数据或加密关键系统以勒索赎金,不仅严重影响了医疗服务的正常运转,更直接导致诊断和治疗延误,危及患者安全。二是随着医院信息化建设的加速推进,业务资产规模不断扩大、系统架构日益复杂,导致安全暴露面持续增加,潜在安全风险显著攀升。三是网络安全工作的执行过程缺乏有效跟踪,管理制度体系可操作性不强,操作流程不完善,网络安全工作质量控制环节薄弱。
二、网络安全运营
在安全运营团队建设方面,为确保服务质量并避免潜在的利益冲突,我院驻场安全服务和远程风险评估服务选择了不同的安全服务商。通过“院内专职人员+驻场团队”的有机结合,有效缓解医院网络安全人员短缺问题,快速提升安全运营水平。在安全运营平台建设方面,坚持“以技术对技术、以技术管技术”的基本原则,运用集成化、可视化的安全运营支撑平台,实现对网络安全运营体系的全方位支撑和管理,利用规范的安全工具协助安全运营平台进行数据采集,保障安全运营合理性和安全性。在安全运营流程建设方面,建立了覆盖资产、漏洞、事件三大维度的全生命周期安全管理流程体系:通过资产发现、梳理、风险识别及整改的闭环流程,实现资产风险的全程管控;构建从漏洞发现、验证、修复、复测的完整处置链条;形成监测预警、分析研判、提报处置的快速响应机制。这些流程与安全管理体系有机结合构建起纵横贯通、环环相扣的网络安全运营闭环。
(摘录:中国数字医学)
////////////////////////////////////专家点评////////////////////////////////////
郭伟,太和县人民医院副院长,高级工程师。安徽省医院协会信息管理专业委员会常委,阜阳市卫健委医疗管理数据质量控制中心副主任,荣获全国改善医疗服务突出贡献工作者,安徽省优秀CIO。
北京协和医院通过组建“院内专职人员+驻场团队+远程专家”的混合团队,搭建多平台协同体系,建立资产、漏洞、事件全生命周期闭环管理流程及标准化制度,有效提升了网络安全能力。当前我省各级医院网络安全面临外部攻击严峻、内部管理复杂、合规与发展矛盾等突出问题,内部资产规模扩大导致漏洞治理难,部分医院还存在制度不规范、处置效率低的情况。各家医院针对网络安全现状和等保要求,团队上联合专业企业组建混合团队并通过竞赛或护网行动提升能力;技术上搭建安全运营和漏洞管理平台,整合威胁情报;管理上推行资产动态管理,严格漏洞分级整改时限并纳入绩效考核;制度上签署责任书明确责任,建立动态修订机制,重在落实,以平衡安全保障与业务发展。