1. 等级保护新标准2.0解读
2019年,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,并于2019年12月1日开始实施,我国也正式迈入等保2.0时代。
下面是等保2.0三大核心新标准的介绍:
1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
该项标准是等级保护标准体系的核心,对2008版标准中提出的基本要求进行了修改完善,形成安全通用要求;对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域,提出了安全扩展要求。
2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》
该标准主要对共性安全保护目标提出通用安全设计技术要求,该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。
3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》
该标准与等级保护基本要求保持一致,主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。
此外,从等保1.0到等保2.0,等级保护发生的主要变化有:
1、意义的变化
由信息安全等级保护→网络安全等级保护,强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者,都应该按网络安全等级保护制度的要求对系统进行安全保护,以法律的形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。
2、对象的变化
新等保实现了保护对象的全覆盖,更具普适性与指导性,对象扩大了(包括基础网络),通用要求加扩展要求(工控、云计算、大数据、物联网、移动互联),更适应当前信息化高速发展所面临的新问题新挑战。
3、定级的变化
三级系统的定级新增了一类受侵害客体:对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。
4、测评标准的变化
测评要求的测评单元中增加了【测评对象】项,进一步明确了测评的对象。测评条件更具适应性但是要求更严格(复测评周期、测评控制项的减少、合规基线上调测评75分以上合格,当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分,复测评合格分数基线为85分)、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长,改为一年为复测评周期,兼顾考虑了实际等级保护工作所面临的复杂情况,更符合实际工作的场景。
5、定级备案实施方面的变化
等保2.0在定级备案实施也发生了变化,在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级,不是自主定级,到公安机关定级备案前要新增两个关键环节,确保定级备案的严谨与准确,第一对于定级对象的等级要经过专家评审,第二要经得主管部门审核通过,才能到公安机关备案确定最终等级保护对象的级别,整体定级更加严格。新建的第三级以上定级对象,通过等级测评后方可投入运行,加强“同步性”原则。
6、其他
从等级保护2.0框架中能够体现“一个中心,三重防护”的思想得以升华,等保2.0标准体系相比现行等保标准的安全体系更注重动态防御(变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护),强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。
等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。
等保2.0新增个人信息保护内容,个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现,在当前政务互通、人物互联,个人信息被广泛采集的商业、政务环境下,意指提升个人信息保护的重要性和必要性。
2. 卫健委9项规定
一、合法按劳取酬,不接受商业提成。依法依规按劳取酬。严禁利用执业之便开单提成;严禁以商业目的进行统方;除就诊医院所在医联体的其他医疗机构,以及被纳入医保“双通道”管理的定点零售药店外,严禁安排患者到其他指定地点购买医药耗材等产品;严禁向患者推销商品或服务并从中谋取私利;严禁接受互联网企业与开处方配药有关的费用。
二、严守诚信原则,不参与欺诈骗保。依法依规合理使用医疗保障基金,遵守医保协议管理,向医保患者告知提供的医药服务是否在医保规定的支付范围内。严禁诱导、协助他人冒名或者虚假就医、购药、提供虚假证明材料、串通他人虚开费用单据等手段骗取、套取医疗保障基金。
三、依据规范行医,不实施过度诊疗。严格执行各项规章制度,在诊疗活动中应当旁亩渗向患者说明病情、医疗措施。严禁以单纯增加医疗机构收入或谋取私利为目的过度治疗和过度检查,给患者增加不必要的风险和费用负担。
四、遵守工作规程,不违规接受捐赠。依法依规接运脊受捐赠。严禁医疗机构工作人员以个人名义,或者假借单位名义接受利益相关者的捐赠资助,并据此区别对待患者。
五、恪守保密准则,不泄露患者隐私。确保患者院内信息安全。严禁违规收集、使用、加工、传输、透露、买卖患者在医疗机构内所提供的个人资料、产生的医疗信息。
六、服从诊疗需要,不牟利转介患者。客观公正合理地根据患者需要提供医学信息、运用医疗资源。除因需要在医联体内正常转诊外,严禁以谋取个人利益为目的,经由网上或线下途径介绍、引导患者到指定医疗机构就诊。
七、维护诊疗秩序,不破坏就医公平。坚持平等原则,共建公平就医环境。严禁利用号源、床源、紧缺药品耗材等医疗资源或者检查、手术等诊疗安排收受好处、损公肥私。
八、共建和谐关系,不收受患方“红包”。恪守医德、严格自律。严禁索取或者收受患者及其亲友的礼品、礼金、消费卡和有价证券、股权、其他金融产品等财物;严禁参加其安排、组织或者支付费用的宴请或者耐纤旅游、健身、娱乐等活动安排。
九、恪守交往底线,不收受企业回扣。
遵纪守法、廉洁从业。严禁接受药品、医疗设备、医疗器械、医用卫生材料等医疗产品生产、经营企业或者经销人员以任何名义、形式给予的回扣;严禁参加其安排、组织或者支付费用的宴请或者旅游、健身、娱乐等活动安排。
3. 焦雅辉:建设智慧医院,要严守患者信息安全
要体现效率,必须要有智慧化管理,现代医院管理制度,是政府和医院之间的治理结构,一定是基于现代化管理的医院,智慧管理手段、信息化手段必不可少。
编辑 | 沐尧
来源|中国县域卫生 综合整理
7月6日在厦门举行的CHIMA2019医院信息领导力论坛,国家卫健委医政医管局副局长焦雅辉在会上讲到:建设智慧医院已是大势所趋,而现在当务之急是要对智慧医院概念有一个统一的认识,国家层面要发挥政策指挥棒的作用。关于智慧医院的内涵,焦雅辉认拿纳为主要是四个方面:智慧服务、智慧医疗、智慧护理、智慧管理。
智慧服务是指面向患者端,目前发展最快;智慧医疗、护理,是指面向医生、护士的智能化应用,具体而言就是以电子病历系统为核心服务医生护士,让医药护技的服务更有效率。智慧管理,服务医院管理者,做好质控、院感、财务、后勤、耗材管理等,实现医院的精细化管理。
“全国去年突破80亿诊疗人次,如果再用传统手段到现场去查,其难度是不可想象的。”焦雅辉说。要体现效率,必须要有智慧化的管理,现代医院管理制度,罩郑是政府和医院之间的治理结构,一定是基于现代化管理的医院,智慧管理手段、信息化手段必不可少。
焦雅辉特别谈到,“在上述内涵之外,智慧医院还存在一个‘安全’的问题,医院的安全,不仅是患者安全,还有信息系统的安全、数据的安全。信息系统的安全,可能是外来的网络攻击。而另外一个安全威胁,可能大家不大在意、很容易忽略,就是数据的安全。数据安全不仅是消闷没信息泄漏,要从国家安全战略高度,认识到医院产生的医疗大数据是国家安全的重要组成,一定要绷紧医疗数据安全这根弦。”
4. 医院国家信息安全等级保护制度措施是什么,那位大哥大姐知道请告诉小弟,急用。。
各大医院系统必须做等保,互联网医疗要想上线取的上诊疗资质,必须过等保。
等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
等级保护一共分为5级:
① 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
② 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
③ 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
④ 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
⑤ 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
证书案例
5. 卫健委20条措施最新规定
5个“调整”
密切接触者
“7天集中隔离+3天居家健康监测”管理措施调整为“5天集中隔离+3天居家隔离”
高风险区外溢人员
“7天集中隔离”调整为“7天居家隔离”
入境人员
“7天集中隔离+3天居家健康监测”调整为“5天集中隔离+3天居家隔离”
注:以上人员隔离期间赋码管理、不得外出。
风险区
由“高、中、低”三类调整为“高、低”两类
最大限度减少管控人员
结束闭环作业的高风险岗位从业人员
“7天集中隔离或7天居家隔离”调整为“5天居家健康监测”
1个“不再”
及时准确判定密切接触者,不再判定密接的密接
1个“取消”
取消入境航班熔断机制
登机前48小时内2次核酸检测阴性证明调整为登机前48小时内1次核酸检测阴性证明
7个“不得”
高风险区一般以单元、楼栋为单位划定,不得随意扩大
没有发生疫情的地区严格按照第九版防控方案确定的范围对风险岗位、重点人员开展核酸检测,不得扩大核酸检测范围。一般不按行政区域开展全员核酸检测。
入境人员在第一入境点完成隔离后,目的地不得重复隔离
严格落实首诊负责制和急危重症抢救制度,不得以任何理由推诿拒诊,保障居民治疗、用药等需求
各地各校要严格执行国家和教育部门防控措施,坚决落实科学精准防控要求,不得加码管控
发生疫情期间,要全力保障物流通畅,不得擅自要求事关产业链全局和涉及民生保供的重点企业停工停产,落实好“白名单”制度
目的地要增强大局意识,不得拒绝接受滞留人员返回,并按照要求落实好返回人员防控措施,既要避免疫情外溢,也不得加码管控。
8个“加强”
加强医疗资源建设
制定加快推进疫苗接种的方案,加快提高疫苗加强免疫接种覆盖率,特别是老年人群加强免疫接种覆盖率
加强急救药品和医疗设备的储备
加大“一刀切”、层层加码问题整治力度。各行业主管部门加强对行业系统的督促指导,加大典型案例曝光力度,切实起到震慑作用
加强岁搜纳封控隔离人员服务保障
完善校地协同机制,联防联控加强校园疫情应急处置保障,优先安排校园转运隔离、核酸检测、流调溯源、环境消毒、生活物资保障等工作,提升学校疫情应急处置能力,支持学校以快制快处置疫情
加强对关键岗位、关键工序员工的生活、防疫和轮岗备岗保障,完善第三方外包人员管理办法,严格社会面人员出入管理
发生较多人员滞留的地方,要专门制定疏解方案,出发地与目的地加强信息沟通和协作配合,在有效防止疫情外溢的前提下稳妥安排,交通运输、民航、国铁等单位要积极给予交通运力保障
1个“严禁”
地方党委和政府要落实属地责任,严格执行国家统一的防控政策,严禁随意封校停课、停工停产、未经批准阻断交通、随意采取“静默”管理、随意封控、长时间不解封、随意停诊等各类层层加码行为,加大通报、公开曝光力度,对造成严重后果的依法依规严肃追责
此外,《通知》提出,加强对优化调整政策的解读,强调继续坚持我国疫情防控总策略总方针,漏老引导全社会充分认识坚持人民至上、生命至上,乎没坚持外防输入、内防反弹,坚持动态清零的重要意义,充分认识进一步优化防控措施是为了防控更加科学精准,决不能造成放松疫情防控,甚至放开、“躺平”的误读。引导客观认识我国防控政策措施的优化调整是基于病毒变异的特点,既是科学的更是必要的,争取广大群众和基层一线工作人员的理解和支持,筑牢群防群控基础。加强舆情监测,及时回应群众关切。
6. 信息安全等级保护必须做吗
是的,必须做,医疗行业一直都是等级保护测评的重点对象。早在2011年,医院的等级保护工作就已经开展。到2018年,国家还把互联网医院平台也纳入了信息系统等级保护的范畴。目前,国家卫生健康委员会(国家卫健委)出台的关于医疗行业信息系统等级保护的相关规定有:
①《卫生行业信息安全等级保护工作的指导意见》
②《2016 三级综合医院评审标准考评办法 ( 完整版 )》
③《国家健康医疗大数据标准、安全和服务管理办法(试行)》
④《互联网医院管理办法(试行)》
⑤《互联网诊疗管理办法(试行)》
如果是互联网医院,还必须通过三级等保认证。
7. 开展教育整顿工作中网安部门如何落实网络安全
开展教育整顿工作中网安部门需这样落实网络安全:一是与市卫健委共同组成检查组,对20家市属医疗卫生机构开展现场网络安全执法检查,重点检查市属医疗卫生机构网络安全状况、涉疫情数据和系统的安全保护情况。二是妥善处置网络安全事件,积极主动应对网络攻击威胁,提升防范化解重大网络安全风险能力,保护关键信息基础设施安全和国家安全。三是对互联网上网服务营业场所开展专项检查,重点检查网络安全技术措施落实情况。