‘壹’ 政策解读丨《医疗卫生机构网络安全管理办法》
面对新冠疫情引发的医疗产业数字化加速,信息化成为关键支撑。医疗信息系统承载的数据价值巨大,被视为重要生产要素与国家基础性战略资源,因此,网络安全与数据安全的重要性日益凸显。国家卫健委规划发展与信息化司近日发布的《医疗卫生机构网络安全管理办法》(以下简称《办法》),旨在规范医疗卫生机构网络与数据安全管理,促进“互联网+医疗健康”发展,加快推动卫生健康行业高质量发展。
《办法》明确了医疗卫生机构网络及数据安全管理的基本原则、管理分工、执行标准、监督及处罚要求,与此前出台的政策法规一脉相承,为医疗卫生机构指明了网络安全管理的总方向。其核心体现在以下几个方面:
一、全生命周期管理:《办法》贯穿全生命周期管理理念,围绕信息系统的整个生命周期,提出落实等级保护制度、监测预警、应急实战、安全整改、人员管理、新技术应用、密码安全、医疗设备、供应链管理等要求。实际操作中,应从网络和数据的全生命周期视角出发,梳理安全策略架构,针对特定业务场景设计安全措施,实现全方位防护。
二、顶层设计与制度保障:《办法》强调,医疗卫生机构应围绕顶层设计和制度保障推进安全管理。顶层设计方面,依据数据特性构建网络与数据安全架构,明确各网络的管理职责,并对网络进行等级保护。制度保障方面,建立健全安全管理制度、操作规程与技术规范,确保制度的适应性与执行力。
三、融合管理、技术与运营:《办法》要求建立网络安全管理制度体系,通过管理和技术手段实现数据安全与应用的有效平衡。在实际运用中,实施安全性测试、预算规定,并将安全策略融入到安全管理要求中,最终形成管理、技术与运营三位一体的立体化网络安全管理模式。
四、构建综合防控体系:《办法》指出,要建立防护、监测、处置、保障四个体系协同的综合防控格局。在安全防护层面,构建动态、主动、纵深、精准、整体、联防联控的安全防护体系。在监测层面,鼓励三级医院探索态势感知平台建设。在处置层面,形成监督管理、安全检查、应急预案、联防联控体系。在保障层面,定期梳理数据资产,建立数据分类分级标准,并从人才培养、安全培训、经费支持等方面提供全方位保障。
《办法》的发布为医疗卫生机构网络安全管理提供了明确指南,加强了安全屏障,为卫生健康行业网络安全发展奠定了基础。
南京壹进制作为医疗行业数据安全领域的国家队,注重防护策略与思路创新,致力于将业务韧性与连续性融入顶层设计,依托统一的数据与业务保护平台,为医疗机构提供全面的安全能力,保障医疗体系数据安全与业务连续性。南京壹进制为医疗行业用户提供了涵盖数据库双活容灾、数据持续保护、勒索病毒应对、数据分级备份、云灾备、应用迁移、共享灾备云服务、立体化灾备方案等应用场景的建设思路,全面满足医疗行业标准对数据安全、灾备的要求。