2022年8月29日，為指導(dǎo)醫(yī)療衛(wèi)生機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全管理，國家衛(wèi)生健康委，國家中醫(yī)藥局，國家疾控局三部門聯(lián)合發(fā)布《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》（以下簡稱“《辦法》”）。

01

醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險

隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)在醫(yī)療行業(yè)的應(yīng)用不斷深入，增強(qiáng)了就醫(yī)的便捷性，提高了優(yōu)質(zhì)醫(yī)療資源的利用效率。與此同時，醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險也逐漸增多。 疫情后健康數(shù)據(jù)安全風(fēng)險加?。?/span>

2020年4月，世界衛(wèi)生組織發(fā)表聲明稱，疫情期間遭受網(wǎng)絡(luò)攻擊數(shù)量同比增長5倍。奇安信集團(tuán)發(fā)布網(wǎng)絡(luò)安全系列報告指出，2020年疫情暴發(fā)后，醫(yī)療衛(wèi)生行業(yè)史上首次超過政府、金融、國防、能源、電信等領(lǐng)域，成為全球APT（黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為）活動關(guān)注的首要目標(biāo)。全球23.7%的APT活動事件與醫(yī)療衛(wèi)生行業(yè)相關(guān)。中國首次超過美國、韓國、中東等國家和地區(qū)，成為全球APT活動的首要地區(qū)性目標(biāo)。

在疫情期間，醫(yī)療機(jī)構(gòu)個人和患者信息泄露事件更是頻發(fā)。2020年1月，某市區(qū)衛(wèi)生管理部門領(lǐng)導(dǎo)通過微信轉(zhuǎn)發(fā)新冠病人報告。2020年11月，某市區(qū)衛(wèi)生管理部門領(lǐng)導(dǎo)為提醒轄區(qū)內(nèi)某單位做好防疫工作，將“疑似密接調(diào)查情況簡介”微信轉(zhuǎn)發(fā)，造成該轄區(qū)內(nèi)單位將此信息大規(guī)模群發(fā)。

此外，遠(yuǎn)程網(wǎng)絡(luò)診療方式在疫情后被人們普遍接受，全國不少醫(yī)院都在申請互聯(lián)網(wǎng)醫(yī)院、智慧醫(yī)院。業(yè)內(nèi)人士指出，由于使用網(wǎng)絡(luò)傳遞診斷數(shù)據(jù)、照片等信息，醫(yī)療健康數(shù)據(jù)的不安全風(fēng)險可能會進(jìn)一步加劇。

目前醫(yī)療健康不安全風(fēng)險主要體現(xiàn)在八個方面：

一是在線醫(yī)療數(shù)據(jù)：檢驗報告、診斷結(jié)果、既往病史等健康醫(yī)療數(shù)據(jù)存在因漏洞攻擊、病毒感染等，導(dǎo)致的非法訪問、竊取篡改和惡意上傳等風(fēng)險；

二是醫(yī)聯(lián)體訪問數(shù)據(jù)：醫(yī)聯(lián)體以及第三方服務(wù)機(jī)構(gòu)人員在對敏感數(shù)據(jù)進(jìn)行訪問瀏覽的過程中，均可能導(dǎo)致醫(yī)患隱私等重要信息面臨泄露風(fēng)險；

三是臨床科研數(shù)據(jù)：臨床科研數(shù)據(jù)涉及人口學(xué)資料、檢查信息、檢驗信息、藥品醫(yī)囑、診斷信息、病例以及患者報告，傳輸過程中一旦發(fā)生泄露，后果非常嚴(yán)重；

四是醫(yī)保數(shù)據(jù)：醫(yī)保數(shù)據(jù)涉及與第三方機(jī)構(gòu)對接，在系統(tǒng)對接、數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)存儲、數(shù)據(jù)銷毀等環(huán)節(jié)面臨安全風(fēng)險；

五是醫(yī)療設(shè)備維保數(shù)據(jù)：醫(yī)療器械廠商在進(jìn)行遠(yuǎn)程醫(yī)療設(shè)備維護(hù)保養(yǎng)時，數(shù)據(jù)將面臨非授權(quán)訪問、不安全鏈接、隱私數(shù)據(jù)泄露、維護(hù)記錄保存不當(dāng)?shù)劝踩L(fēng)險；

六是健康大數(shù)據(jù)中心數(shù)據(jù)：分類分級機(jī)制缺失導(dǎo)致將非法登錄、越權(quán)訪問、異常調(diào)閱、冒名查詢、批量竊取、明文泄露等數(shù)據(jù)安全隱患；

七是可穿戴健康設(shè)備數(shù)據(jù)：可穿戴設(shè)備數(shù)據(jù)在采集、存儲、使用階段均存在著不同程度的安全隱患；

八是醫(yī)療健康A(chǔ)PP數(shù)據(jù)：移動應(yīng)用涉及眾多在線健康醫(yī)療服務(wù)、存在泄露個人健康狀況數(shù)據(jù)、支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生信息的隱患。

02

醫(yī)療行業(yè)網(wǎng)絡(luò)安全體系監(jiān)管政策法規(guī)

醫(yī)療行業(yè)網(wǎng)絡(luò)安全是我國網(wǎng)絡(luò)安全的重要組成部分，受到國家高度重視。隨著醫(yī)療行業(yè)信息網(wǎng)絡(luò)技術(shù)的深入應(yīng)用和“互聯(lián)網(wǎng)+醫(yī)療健康”的不斷推進(jìn)，黨中央、國務(wù)院及醫(yī)療監(jiān)管部門陸續(xù)出臺了一系列信息化安全建設(shè)與管理的政策法規(guī)，逐步完善醫(yī)療行業(yè)網(wǎng)絡(luò)安全體系。

?2018 年 4 月，國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）的通知》。對二級及以上醫(yī)院的數(shù)據(jù)中心安全、終端安全、網(wǎng)絡(luò)安全及容災(zāi)備份提出要求。

?2018 年 9 月 13 日，國家衛(wèi)生健康委發(fā)布《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》，明確責(zé)任單位應(yīng)當(dāng)落實網(wǎng)絡(luò)安全等級保護(hù)制度要求，對健康醫(yī)療大數(shù)據(jù)中心、相關(guān)信息系統(tǒng)開展定級、備案、測評等工作。

?2018 年 9 月 14 日，國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法（試行）等 3 個文件的通知》，管理辦法要求醫(yī)療機(jī)構(gòu)開展互聯(lián)網(wǎng)診療活動，應(yīng)當(dāng)具備滿足互聯(lián)網(wǎng)技術(shù)要求的設(shè)施、信息系統(tǒng)、技術(shù)人員以及信息安全系統(tǒng)，并實施第三級信息安全等級保護(hù)。

?2018 年 12 月 21 日，國家衛(wèi)生健康委辦公廳發(fā)文《加快推進(jìn)電子健康卡普及及應(yīng)用工作的意見》，對重點工作任務(wù)進(jìn)行部署，要求著力加強(qiáng)電子健康卡應(yīng)用安全建設(shè)及管理，對電子健康卡管理服務(wù)系統(tǒng)、識讀終端設(shè)備、應(yīng)用密碼機(jī)、互聯(lián)網(wǎng)醫(yī)療健康服務(wù)應(yīng)用軟件等依據(jù)國家行業(yè)標(biāo)準(zhǔn)實行質(zhì)量及安全檢測，強(qiáng)化個人健康信息安全管理，建立相關(guān)安全風(fēng)險動態(tài)評估管理機(jī)制，同時要求電子健康卡積極采用國密算法和國產(chǎn)自主可控安全技術(shù)，確保居民健康信息的安全。

?2019 年 4 月，國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國基層醫(yī)療衛(wèi)生機(jī)構(gòu)信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）的通知》，明確了基層醫(yī)療衛(wèi)生機(jī)構(gòu)未來 5-10 年信息化建設(shè)的基本內(nèi)容和要求。其中信息安全部分包括身份認(rèn)證、桌面終端安全、移動終端安全、計算安全、通信安全、數(shù)據(jù)防泄露、可信組網(wǎng)、數(shù)據(jù)備份與恢復(fù)、應(yīng)用容災(zāi)、安全運維等 10 個方面。

?2019 年 12 月，經(jīng)第十三屆全國人民代表大會常務(wù)委員會第十五次會議通過，我國頒布衛(wèi)生健康領(lǐng)域第一部基礎(chǔ)性、綜合性法律《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》，明確國家采取措施推進(jìn)醫(yī)療衛(wèi)生機(jī)構(gòu)建立健全信息安全制度，保護(hù)公民個人健康信息安全，對醫(yī)療信息安全制度、保障措施不健全，導(dǎo)致醫(yī)療信息泄露和非法損害公民個人健康信息的行為進(jìn)行處罰。

?2020 年 2 月 28 日，國家醫(yī)療保障局、國家衛(wèi)生健康委員會發(fā)布《關(guān)于推進(jìn)新冠肺炎疫情防控期間開展“互聯(lián)網(wǎng)+”醫(yī)保服務(wù)的指導(dǎo)意見》，要求不斷提升信息化水平，同步做好互聯(lián)網(wǎng)醫(yī)保服務(wù)有關(guān)數(shù)據(jù)的網(wǎng)絡(luò)安全工作，防止數(shù)據(jù)泄露。

當(dāng)前《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》的發(fā)布，為完善醫(yī)療行業(yè)網(wǎng)絡(luò)安全體系邁出了重要一步。

03

《辦法》要點

《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》共5章三十四條，明確了醫(yī)療衛(wèi)生機(jī)構(gòu)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理責(zé)任義務(wù)。
 
（一）推進(jìn)網(wǎng)絡(luò)安全等級保護(hù)
《辦法》第二章第五條要求有二級及以上網(wǎng)絡(luò)的醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立網(wǎng)絡(luò)安全管理制度體系，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)；第七條鼓勵三級醫(yī)院探索態(tài)勢感知平臺建設(shè)；第八條要求各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立應(yīng)急處置機(jī)制有效處理網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件。
 
（二）加強(qiáng)網(wǎng)絡(luò)安全管控

《辦法》第二章第十三條要求相關(guān)機(jī)構(gòu)應(yīng)用大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術(shù)開展服務(wù)時，上線前應(yīng)評估新技術(shù)的安全風(fēng)險并進(jìn)行安全管控。
 
（三）加強(qiáng)個人信息保護(hù)

《辦法》第二章第十四條要求各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)規(guī)范和加強(qiáng)醫(yī)療設(shè)備數(shù)據(jù)、個人信息保護(hù)和網(wǎng)絡(luò)安全管理。

《辦法》第三章第十八條要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)擬定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計劃，建立健全數(shù)據(jù)安全和個人信息保護(hù)制度。

第二十二條要求各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作，數(shù)據(jù)全生命周期活動應(yīng)在境內(nèi)開展。

醫(yī)療行業(yè)面對愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)威脅態(tài)勢，面對愈發(fā)嚴(yán)苛的監(jiān)管要求，需要全面提升網(wǎng)絡(luò)安全建設(shè)和管理水平，遏制外部攻擊與內(nèi)部威脅，保護(hù)患者個人信息無虞，保護(hù)醫(yī)療基礎(chǔ)設(shè)施安全。