1. 等級保護新標准2.0解讀
2019年,等保2.0相關的《信息安全技術 網路安全等級保護基本要求》、《信息安全技術 網路安全等級保護測評要求》、《信息安全技術 網路安全等級保護安全設計技術要求》等國家標准正式發布,並於2019年12月1日開始實施,我國也正式邁入等保2.0時代。
下面是等保2.0三大核心新標準的介紹:
1、GB/T 22239-2019 《信息安全技術 網路安全等級保護基本要求》
該項標準是等級保護標准體系的核心,對2008版標准中提出的基本要求進行了修改完善,形成安全通用要求;對雲計算、大數據、移動互聯、物聯網、工業控制等新技術和新應用領域,提出了安全擴展要求。
2、GB/T25070-2019 《信息安全技術 網路等級保護安全設計技術要求》
該標准主要對共性安全保護目標提出通用安全設計技術要求,該標准適用於指導運營使用單位、網路安全企業、網路安全服務機構開展網路安全等級保護安全技術方案的設計和實施,也可作為網路安全職能部門進行監督、檢查和指導的依據。
3、GB/T28448-2019 《信息安全技術 網路安全等級保護測評要求》
該標准與等級保護基本要求保持一致,主要明確了測評對象、測評判定規則等內容。該標准為安全測評服務機構、等級保護對象的主管部門及運營使用單位對等級保護對象的安全狀況進行安全測評提供指南。信息安全監管職能部門進行網路安全等級保護監督檢查時參考使用。
此外,從等保1.0到等保2.0,等級保護發生的主要變化有:
1、意義的變化
由信息安全等級保護→網路安全等級保護,強調網路空間安全。網路安全法第21條、第31條明確規定了網路運營者和關鍵信息基礎設施運營者,都應該按網路安全等級保護制度的要求對系統進行安全保護,以法律的形式確定等級保護工作為國家網路安全的基本國策,並在法律層面確立了其在網路安全領域的基礎、核心地位。
2、對象的變化
新等保實現了保護對象的全覆蓋,更具普適性與指導性,對象擴大了(包括基礎網路),通用要求加擴展要求(工控、雲計算、大數據、物聯網、移動互聯),更適應當前信息化高速發展所面臨的新問題新挑戰。
3、定級的變化
三級系統的定級新增了一類受侵害客體:對於公民、法人和其他組織的合法權益造成嚴重影響的應定為三級。
4、測評標準的變化
測評要求的測評單元中增加了【測評對象】項,進一步明確了測評的對象。測評條件更具適應性但是要求更嚴格(復測評周期、測評控制項的減少、合規基線上調測評75分以上合格,當然這部分要求在部分地區部分行業主管單位現行等保標准也有基於現狀及預期效果有彈性要求、例如個別地區衛健委要求醫院等保初次等保測評合格分數基線為80分,復測評合格分數基線為85分)、某省金融行業等保測評合格分數基線為90分。四級及以上系統復測評周期延長,改為一年為復測評周期,兼顧考慮了實際等級保護工作所面臨的復雜情況,更符合實際工作的場景。
5、定級備案實施方面的變化
等保2.0在定級備案實施也發生了變化,在備案環節原30天內備案的時間縮短為10個工作日。等保2.0的定級,不是自主定級,到公安機關定級備案前要新增兩個關鍵環節,確保定級備案的嚴謹與准確,第一對於定級對象的等級要經過專家評審,第二要經得主管部門審核通過,才能到公安機關備案確定最終等級保護對象的級別,整體定級更加嚴格。新建的第三級以上定級對象,通過等級測評後方可投入運行,加強「同步性」原則。
6、其他
從等級保護2.0框架中能夠體現「一個中心,三重防護」的思想得以升華,等保2.0標准體系相比現行等保標準的安全體系更注重動態防禦(變被動防護為主動防護,變靜態防護為動態防護,變單點防護為整體防控,變粗放防護為精準防護),強調事前預防、事中響應、事後審計。等級保護2.0體系中要求應依據國家網路安全等級保護政策和標准,開展組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作。
等保2.0首次加入了可信計算的相關要求並分級逐級提出可採用可信驗證的要求。注意是可採用不是應採用。另外在惡意代碼防範方面三級系統要求或採用主動免疫可信驗證機制。四級以上惡意代碼防範方面要求應採用主動免疫可信驗證機制。
等保2.0新增個人信息保護內容,個人信息安全做為網路安全法的內容在等保要求控制項中也獨立出現,在當前政務互通、人物互聯,個人信息被廣泛採集的商業、政務環境下,意指提升個人信息保護的重要性和必要性。
2. 衛健委9項規定
一、合法按勞取酬,不接受商業提成。依法依規按勞取酬。嚴禁利用執業之便開單提成;嚴禁以商業目的進行統方;除就診醫院所在醫聯體的其他醫療機構,以及被納入醫保「雙通道」管理的定點零售葯店外,嚴禁安排患者到其他指定地點購買醫葯耗材等產品;嚴禁向患者推銷商品或服務並從中謀取私利;嚴禁接受互聯網企業與開處方配葯有關的費用。
二、嚴守誠信原則,不參與欺詐騙保。依法依規合理使用醫療保障基金,遵守醫保協議管理,向醫保患者告知提供的醫葯服務是否在醫保規定的支付范圍內。嚴禁誘導、協助他人冒名或者虛假就醫、購葯、提供虛假證明材料、串通他人虛開費用單據等手段騙取、套取醫療保障基金。
三、依據規范行醫,不實施過度診療。嚴格執行各項規章制度,在診療活動中應當旁畝滲向患者說明病情、醫療措施。嚴禁以單純增加醫療機構收入或謀取私利為目的過度治療和過度檢查,給患者增加不必要的風險和費用負擔。
四、遵守工作規程,不違規接受捐贈。依法依規接運脊受捐贈。嚴禁醫療機構工作人員以個人名義,或者假借單位名義接受利益相關者的捐贈資助,並據此區別對待患者。
五、恪守保密准則,不泄露患者隱私。確保患者院內信息安全。嚴禁違規收集、使用、加工、傳輸、透露、買賣患者在醫療機構內所提供的個人資料、產生的醫療信息。
六、服從診療需要,不牟利轉介患者。客觀公正合理地根據患者需要提供醫學信息、運用醫療資源。除因需要在醫聯體內正常轉診外,嚴禁以謀取個人利益為目的,經由網上或線下途徑介紹、引導患者到指定醫療機構就診。
七、維護診療秩序,不破壞就醫公平。堅持平等原則,共建公平就醫環境。嚴禁利用號源、床源、緊缺葯品耗材等醫療資源或者檢查、手術等診療安排收受好處、損公肥私。
八、共建和諧關系,不收受患方「紅包」。恪守醫德、嚴格自律。嚴禁索取或者收受患者及其親友的禮品、禮金、消費卡和有價證券、股權、其他金融產品等財物;嚴禁參加其安排、組織或者支付費用的宴請或者耐纖旅遊、健身、娛樂等活動安排。
九、恪守交往底線,不收受企業回扣。
遵紀守法、廉潔從業。嚴禁接受葯品、醫療設備、醫療器械、醫用衛生材料等醫療產品生產、經營企業或者經銷人員以任何名義、形式給予的回扣;嚴禁參加其安排、組織或者支付費用的宴請或者旅遊、健身、娛樂等活動安排。
3. 焦雅輝:建設智慧醫院,要嚴守患者信息安全
要體現效率,必須要有智慧化管理,現代醫院管理制度,是政府和醫院之間的治理結構,一定是基於現代化管理的醫院,智慧管理手段、信息化手段必不可少。
編輯 | 沐堯
來源|中國縣域衛生 綜合整理
7月6日在廈門舉行的CHIMA2019醫院信息領導力論壇,國家衛健委醫政醫管局副局長焦雅輝在會上講到:建設智慧醫院已是大勢所趨,而現在當務之急是要對智慧醫院概念有一個統一的認識,國家層面要發揮政策指揮棒的作用。關於智慧醫院的內涵,焦雅輝認拿納為主要是四個方面:智慧服務、智慧醫療、智慧護理、智慧管理。
智慧服務是指面向患者端,目前發展最快;智慧醫療、護理,是指面向醫生、護士的智能化應用,具體而言就是以電子病歷系統為核心服務醫生護士,讓醫葯護技的服務更有效率。智慧管理,服務醫院管理者,做好質控、院感、財務、後勤、耗材管理等,實現醫院的精細化管理。
「全國去年突破80億診療人次,如果再用傳統手段到現場去查,其難度是不可想像的。」焦雅輝說。要體現效率,必須要有智慧化的管理,現代醫院管理制度,罩鄭是政府和醫院之間的治理結構,一定是基於現代化管理的醫院,智慧管理手段、信息化手段必不可少。
焦雅輝特別談到,「在上述內涵之外,智慧醫院還存在一個『安全』的問題,醫院的安全,不僅是患者安全,還有信息系統的安全、數據的安全。信息系統的安全,可能是外來的網路攻擊。而另外一個安全威脅,可能大家不大在意、很容易忽略,就是數據的安全。數據安全不僅是消悶沒信息泄漏,要從國家安全戰略高度,認識到醫院產生的醫療大數據是國家安全的重要組成,一定要綳緊醫療數據安全這根弦。」
4. 醫院國家信息安全等級保護制度措施是什麼,那位大哥大姐知道請告訴小弟,急用。。
各大醫院系統必須做等保,互聯網醫療要想上線取的上診療資質,必須過等保。
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
等級保護一共分為5級:
① 第一級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
② 第二級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
③ 第三級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
④ 第四級,等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
⑤ 第五級,等級保護對象受到破壞後,會對國家安全造成特別嚴重損害。
證書案例
5. 衛健委20條措施最新規定
5個「調整」
密切接觸者
「7天集中隔離+3天居家健康監測」管理措施調整為「5天集中隔離+3天居家隔離」
高風險區外溢人員
「7天集中隔離」調整為「7天居家隔離」
入境人員
「7天集中隔離+3天居家健康監測」調整為「5天集中隔離+3天居家隔離」
註:以上人員隔離期間賦碼管理、不得外出。
風險區
由「高、中、低」三類調整為「高、低」兩類
最大限度減少管控人員
結束閉環作業的高風險崗位從業人員
「7天集中隔離或7天居家隔離」調整為「5天居家健康監測」
1個「不再」
及時准確判定密切接觸者,不再判定密接的密接
1個「取消」
取消入境航班熔斷機制
登機前48小時內2次核酸檢測陰性證明調整為登機前48小時內1次核酸檢測陰性證明
7個「不得」
高風險區一般以單元、樓棟為單位劃定,不得隨意擴大
沒有發生疫情的地區嚴格按照第九版防控方案確定的范圍對風險崗位、重點人員開展核酸檢測,不得擴大核酸檢測范圍。一般不按行政區域開展全員核酸檢測。
入境人員在第一入境點完成隔離後,目的地不得重復隔離
嚴格落實首診負責制和急危重症搶救制度,不得以任何理由推諉拒診,保障居民治療、用葯等需求
各地各校要嚴格執行國家和教育部門防控措施,堅決落實科學精準防控要求,不得加碼管控
發生疫情期間,要全力保障物流通暢,不得擅自要求事關產業鏈全局和涉及民生保供的重點企業停工停產,落實好「白名單」制度
目的地要增強大局意識,不得拒絕接受滯留人員返回,並按照要求落實好返回人員防控措施,既要避免疫情外溢,也不得加碼管控。
8個「加強」
加強醫療資源建設
制定加快推進疫苗接種的方案,加快提高疫苗加強免疫接種覆蓋率,特別是老年人群加強免疫接種覆蓋率
加強急救葯品和醫療設備的儲備
加大「一刀切」、層層加碼問題整治力度。各行業主管部門加強對行業系統的督促指導,加大典型案例曝光力度,切實起到震懾作用
加強歲搜納封控隔離人員服務保障
完善校地協同機制,聯防聯控加強校園疫情應急處置保障,優先安排校園轉運隔離、核酸檢測、流調溯源、環境消毒、生活物資保障等工作,提升學校疫情應急處置能力,支持學校以快制快處置疫情
加強對關鍵崗位、關鍵工序員工的生活、防疫和輪崗備崗保障,完善第三方外包人員管理辦法,嚴格社會面人員出入管理
發生較多人員滯留的地方,要專門制定疏解方案,出發地與目的地加強信息溝通和協作配合,在有效防止疫情外溢的前提下穩妥安排,交通運輸、民航、國鐵等單位要積極給予交通運力保障
1個「嚴禁」
地方黨委和政府要落實屬地責任,嚴格執行國家統一的防控政策,嚴禁隨意封校停課、停工停產、未經批准阻斷交通、隨意採取「靜默」管理、隨意封控、長時間不解封、隨意停診等各類層層加碼行為,加大通報、公開曝光力度,對造成嚴重後果的依法依規嚴肅追責
此外,《通知》提出,加強對優化調整政策的解讀,強調繼續堅持我國疫情防控總策略總方針,漏老引導全社會充分認識堅持人民至上、生命至上,乎沒堅持外防輸入、內防反彈,堅持動態清零的重要意義,充分認識進一步優化防控措施是為了防控更加科學精準,決不能造成放鬆疫情防控,甚至放開、「躺平」的誤讀。引導客觀認識我國防控政策措施的優化調整是基於病毒變異的特點,既是科學的更是必要的,爭取廣大群眾和基層一線工作人員的理解和支持,築牢群防群控基礎。加強輿情監測,及時回應群眾關切。
6. 信息安全等級保護必須做嗎
是的,必須做,醫療行業一直都是等級保護測評的重點對象。早在2011年,醫院的等級保護工作就已經開展。到2018年,國家還把互聯網醫院平台也納入了信息系統等級保護的范疇。目前,國家衛生健康委員會(國家衛健委)出台的關於醫療行業信息系統等級保護的相關規定有:
①《衛生行業信息安全等級保護工作的指導意見》
②《2016 三級綜合醫院評審標准考評辦法 ( 完整版 )》
③《國家健康醫療大數據標准、安全和服務管理辦法(試行)》
④《互聯網醫院管理辦法(試行)》
⑤《互聯網診療管理辦法(試行)》
如果是互聯網醫院,還必須通過三級等保認證。
7. 開展教育整頓工作中網安部門如何落實網路安全
開展教育整頓工作中網安部門需這樣落實網路安全:一是與市衛健委共同組成檢查組,對20家市屬醫療衛生機構開展現場網路安全執法檢查,重點檢查市屬醫療衛生機構網路安全狀況、涉疫情數據和系統的安全保護情況。二是妥善處置網路安全事件,積極主動應對網路攻擊威脅,提升防範化解重大網路安全風險能力,保護關鍵信息基礎設施安全和國家安全。三是對互聯網上網服務營業場所開展專項檢查,重點檢查網路安全技術措施落實情況。