近年來，網(wǎng)絡(luò)安全越發(fā)被重視，尤其是進(jìn)入等保2.0時代以來，公安機(jī)關(guān)對不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的單位的打擊和處罰力度也越來越大。單就醫(yī)療行業(yè)而言，2020上半年因為未按要求落實等保工作而被通報處罰的醫(yī)院就不在少數(shù)。這里給大家展示一個例子：
 
忻州市和美婦產(chǎn)醫(yī)院不履行網(wǎng)絡(luò)安全等級保護(hù)案
 
2019年12月，工作中發(fā)現(xiàn)，忻州市和美婦產(chǎn)醫(yī)院門戶網(wǎng)站存在安全漏洞，忻州市公安局直屬分局網(wǎng)安大隊立即前往該醫(yī)院調(diào)查取證。經(jīng)調(diào)查發(fā)現(xiàn)，該醫(yī)院未履行網(wǎng)絡(luò)安全等級保護(hù)制度，網(wǎng)絡(luò)安全意識淡薄，未確定網(wǎng)絡(luò)安全責(zé)任人，未制定網(wǎng)絡(luò)安全應(yīng)急事件預(yù)案，未采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，嚴(yán)重影響網(wǎng)站信息安全，同時該網(wǎng)站未辦理等級保護(hù)備案手續(xù)。
 
2020年3月，忻州市公安局直屬分局網(wǎng)安大隊根據(jù)《網(wǎng)絡(luò)安全法》第二十一條、五十九條之規(guī)定，決定對忻州市和美婦產(chǎn)醫(yī)院處以行政警告處罰，并責(zé)令其限期整改。
 
《網(wǎng)絡(luò)安全法》第五十九條規(guī)定：網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。
 
落實等級保護(hù)，是為了滿足主管單位和公安機(jī)關(guān)的要求，也是為了提升自己的信息系統(tǒng)安全防護(hù)水平。醫(yī)院等級保護(hù)工作可以這樣開展：
 
一、合理開展系統(tǒng)定級備案工作
 
醫(yī)療行業(yè)目前急需落實網(wǎng)絡(luò)安全等級保護(hù)的系統(tǒng)有兩類，一是傳統(tǒng)核心業(yè)務(wù)系統(tǒng)，二是新建融合了各種新技術(shù)的信息系統(tǒng)。開展網(wǎng)絡(luò)安全等級保護(hù)工作的第一步就是合理對這些系統(tǒng)進(jìn)行等級保護(hù)定級。
 
醫(yī)院信息系統(tǒng)的安全保護(hù)等級分為以下五級，一至五級等級逐級增高：
第一級（自主保護(hù)級），信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。
第二級（指導(dǎo)保護(hù)級），信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行指導(dǎo)。
第三級（監(jiān)督保護(hù)級），信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。
第四級（強(qiáng)制保護(hù)級），信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。
第五級（專控保護(hù)級），信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。
 
定級流程是：確定定級對象→初步確定等級→專家評審→主管部門審批→公安機(jī)構(gòu)備案審查→最終確定的級別。
 
醫(yī)院可參考“定級要素與安全保護(hù)級別的關(guān)系”來確定信息系統(tǒng)的所屬級別：

 
定級之后，醫(yī)院就可以準(zhǔn)備相關(guān)材料到公安機(jī)關(guān)進(jìn)行備案。若審核通過，公安機(jī)關(guān)會出具《信息安全等級保護(hù)備案證明》；若審核未通過，公安機(jī)關(guān)也會給予反饋。
 
二、按規(guī)定進(jìn)行整改測評工作
 
備案成功之后，醫(yī)院需要聯(lián)系專業(yè)的等保測評機(jī)構(gòu)來給醫(yī)院信息系統(tǒng)進(jìn)行測評，看看醫(yī)院信息系統(tǒng)是否符合等保要求，如果不符合，要把不符合的點列出來，然后進(jìn)行整改，使之符合。等保2.0時代，只有測評得分高于50，且醫(yī)院信息系統(tǒng)沒有高風(fēng)險項，醫(yī)院的信息系統(tǒng)等級保護(hù)測評才算通過。
 
雖然說起來簡單，但根據(jù)多家醫(yī)院的過等保經(jīng)驗，很多醫(yī)院往往會卡在整改這一關(guān)，因為對等保標(biāo)準(zhǔn)不夠了解，或者整改機(jī)構(gòu)沒照好，導(dǎo)致整改工作遲遲無法完成，一年下來都無法通過等級測評。
 
三、其他等保建設(shè)建議
1.在等保建設(shè)中嘗試采用新技術(shù)新手段加強(qiáng)醫(yī)院的安全技術(shù)防護(hù)和態(tài)勢感知建設(shè)，以防范特種木馬或新型網(wǎng)絡(luò)攻擊；
2.加強(qiáng)日常安全運(yùn)維，引入可視化、統(tǒng)一運(yùn)維等創(chuàng)新技術(shù)，讓安全管理和運(yùn)維更簡單并且更加有效；
3.加強(qiáng)主動防御能力，并通過全方位、多視角的風(fēng)險分析，完善醫(yī)院網(wǎng)絡(luò)安全建設(shè)短板。從而降低安全風(fēng)險，提高信息系統(tǒng)健壯性；
4.適當(dāng)選擇安全廠商提供的安全服務(wù)，彌補(bǔ)醫(yī)院專業(yè)安全技術(shù)人員不足。最大程度減少因網(wǎng)絡(luò)安全事件所帶來的醫(yī)院運(yùn)營中斷以及管理成本增加的風(fēng)險。