2022年8月29日，為指導醫(yī)療衛(wèi)生機構加強網絡安全管理，國家衛(wèi)生健康委，國家中醫(yī)藥局，國家疾控局三部門聯合發(fā)布《醫(yī)療衛(wèi)生機構網絡安全管理辦法》（以下簡稱“《辦法》”）。

01

醫(yī)療行業(yè)面臨的網絡安全風險

隨著大數據、云計算、物聯網在醫(yī)療行業(yè)的應用不斷深入，增強了就醫(yī)的便捷性，提高了優(yōu)質醫(yī)療資源的利用效率。與此同時，醫(yī)療行業(yè)面臨的網絡安全風險也逐漸增多。 疫情后健康數據安全風險加??！

2020年4月，世界衛(wèi)生組織發(fā)表聲明稱，疫情期間遭受網絡攻擊數量同比增長5倍。奇安信集團發(fā)布網絡安全系列報告指出，2020年疫情暴發(fā)后，醫(yī)療衛(wèi)生行業(yè)史上首次超過政府、金融、國防、能源、電信等領域，成為全球APT（黑客以竊取核心資料為目的，針對客戶所發(fā)動的網絡攻擊和侵襲行為）活動關注的首要目標。全球23.7%的APT活動事件與醫(yī)療衛(wèi)生行業(yè)相關。中國首次超過美國、韓國、中東等國家和地區(qū)，成為全球APT活動的首要地區(qū)性目標。

在疫情期間，醫(yī)療機構個人和患者信息泄露事件更是頻發(fā)。2020年1月，某市區(qū)衛(wèi)生管理部門領導通過微信轉發(fā)新冠病人報告。2020年11月，某市區(qū)衛(wèi)生管理部門領導為提醒轄區(qū)內某單位做好防疫工作，將“疑似密接調查情況簡介”微信轉發(fā)，造成該轄區(qū)內單位將此信息大規(guī)模群發(fā)。

此外，遠程網絡診療方式在疫情后被人們普遍接受，全國不少醫(yī)院都在申請互聯網醫(yī)院、智慧醫(yī)院。業(yè)內人士指出，由于使用網絡傳遞診斷數據、照片等信息，醫(yī)療健康數據的不安全風險可能會進一步加劇。

目前醫(yī)療健康不安全風險主要體現在八個方面：

一是在線醫(yī)療數據：檢驗報告、診斷結果、既往病史等健康醫(yī)療數據存在因漏洞攻擊、病毒感染等，導致的非法訪問、竊取篡改和惡意上傳等風險；

二是醫(yī)聯體訪問數據：醫(yī)聯體以及第三方服務機構人員在對敏感數據進行訪問瀏覽的過程中，均可能導致醫(yī)患隱私等重要信息面臨泄露風險；

三是臨床科研數據：臨床科研數據涉及人口學資料、檢查信息、檢驗信息、藥品醫(yī)囑、診斷信息、病例以及患者報告，傳輸過程中一旦發(fā)生泄露，后果非常嚴重；

四是醫(yī)保數據：醫(yī)保數據涉及與第三方機構對接，在系統(tǒng)對接、數據傳輸、數據使用、數據存儲、數據銷毀等環(huán)節(jié)面臨安全風險；

五是醫(yī)療設備維保數據：醫(yī)療器械廠商在進行遠程醫(yī)療設備維護保養(yǎng)時，數據將面臨非授權訪問、不安全鏈接、隱私數據泄露、維護記錄保存不當等安全風險；

六是健康大數據中心數據：分類分級機制缺失導致將非法登錄、越權訪問、異常調閱、冒名查詢、批量竊取、明文泄露等數據安全隱患；

七是可穿戴健康設備數據：可穿戴設備數據在采集、存儲、使用階段均存在著不同程度的安全隱患；

八是醫(yī)療健康APP數據：移動應用涉及眾多在線健康醫(yī)療服務、存在泄露個人健康狀況數據、支付數據、衛(wèi)生資源數據以及公共衛(wèi)生信息的隱患。

02

醫(yī)療行業(yè)網絡安全體系監(jiān)管政策法規(guī)

醫(yī)療行業(yè)網絡安全是我國網絡安全的重要組成部分，受到國家高度重視。隨著醫(yī)療行業(yè)信息網絡技術的深入應用和“互聯網+醫(yī)療健康”的不斷推進，黨中央、國務院及醫(yī)療監(jiān)管部門陸續(xù)出臺了一系列信息化安全建設與管理的政策法規(guī)，逐步完善醫(yī)療行業(yè)網絡安全體系。

?2018 年 4 月，國家衛(wèi)生健康委發(fā)布《關于印發(fā)全國醫(yī)院信息化建設標準與規(guī)范（試行）的通知》。對二級及以上醫(yī)院的數據中心安全、終端安全、網絡安全及容災備份提出要求。

?2018 年 9 月 13 日，國家衛(wèi)生健康委發(fā)布《國家健康醫(yī)療大數據標準、安全和服務管理辦法（試行）》，明確責任單位應當落實網絡安全等級保護制度要求，對健康醫(yī)療大數據中心、相關信息系統(tǒng)開展定級、備案、測評等工作。

?2018 年 9 月 14 日，國家衛(wèi)生健康委發(fā)布《關于印發(fā)互聯網診療管理辦法（試行）等 3 個文件的通知》，管理辦法要求醫(yī)療機構開展互聯網診療活動，應當具備滿足互聯網技術要求的設施、信息系統(tǒng)、技術人員以及信息安全系統(tǒng)，并實施第三級信息安全等級保護。

?2018 年 12 月 21 日，國家衛(wèi)生健康委辦公廳發(fā)文《加快推進電子健康卡普及及應用工作的意見》，對重點工作任務進行部署，要求著力加強電子健康卡應用安全建設及管理，對電子健康卡管理服務系統(tǒng)、識讀終端設備、應用密碼機、互聯網醫(yī)療健康服務應用軟件等依據國家行業(yè)標準實行質量及安全檢測，強化個人健康信息安全管理，建立相關安全風險動態(tài)評估管理機制，同時要求電子健康卡積極采用國密算法和國產自主可控安全技術，確保居民健康信息的安全。

?2019 年 4 月，國家衛(wèi)生健康委發(fā)布《關于印發(fā)全國基層醫(yī)療衛(wèi)生機構信息化建設標準與規(guī)范（試行）的通知》，明確了基層醫(yī)療衛(wèi)生機構未來 5-10 年信息化建設的基本內容和要求。其中信息安全部分包括身份認證、桌面終端安全、移動終端安全、計算安全、通信安全、數據防泄露、可信組網、數據備份與恢復、應用容災、安全運維等 10 個方面。

?2019 年 12 月，經第十三屆全國人民代表大會常務委員會第十五次會議通過，我國頒布衛(wèi)生健康領域第一部基礎性、綜合性法律《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》，明確國家采取措施推進醫(yī)療衛(wèi)生機構建立健全信息安全制度，保護公民個人健康信息安全，對醫(yī)療信息安全制度、保障措施不健全，導致醫(yī)療信息泄露和非法損害公民個人健康信息的行為進行處罰。

?2020 年 2 月 28 日，國家醫(yī)療保障局、國家衛(wèi)生健康委員會發(fā)布《關于推進新冠肺炎疫情防控期間開展“互聯網+”醫(yī)保服務的指導意見》，要求不斷提升信息化水平，同步做好互聯網醫(yī)保服務有關數據的網絡安全工作，防止數據泄露。

當前《醫(yī)療衛(wèi)生機構網絡安全管理辦法》的發(fā)布，為完善醫(yī)療行業(yè)網絡安全體系邁出了重要一步。

03

《辦法》要點

《醫(yī)療衛(wèi)生機構網絡安全管理辦法》共5章三十四條，明確了醫(yī)療衛(wèi)生機構的網絡安全和數據安全管理責任義務。
 
（一）推進網絡安全等級保護
《辦法》第二章第五條要求有二級及以上網絡的醫(yī)療衛(wèi)生機構應建立網絡安全管理制度體系，加強網絡安全防護；第七條鼓勵三級醫(yī)院探索態(tài)勢感知平臺建設；第八條要求各醫(yī)療衛(wèi)生機構應建立應急處置機制有效處理網絡中斷、網絡攻擊、數據泄露等安全事件。
 
（二）加強網絡安全管控

《辦法》第二章第十三條要求相關機構應用大數據、人工智能、區(qū)塊鏈等新技術開展服務時，上線前應評估新技術的安全風險并進行安全管控。
 
（三）加強個人信息保護

《辦法》第二章第十四條要求各醫(yī)療衛(wèi)生機構應規(guī)范和加強醫(yī)療設備數據、個人信息保護和網絡安全管理。

《辦法》第三章第十八條要求關鍵信息基礎設施運營者應擬定關鍵信息基礎設施安全保護計劃，建立健全數據安全和個人信息保護制度。

第二十二條要求各醫(yī)療衛(wèi)生機構應加強數據收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作，數據全生命周期活動應在境內開展。

醫(yī)療行業(yè)面對愈發(fā)嚴峻的網絡威脅態(tài)勢，面對愈發(fā)嚴苛的監(jiān)管要求，需要全面提升網絡安全建設和管理水平，遏制外部攻擊與內部威脅，保護患者個人信息無虞，保護醫(yī)療基礎設施安全。