新技術的發展促進了醫療的互聯網化，遠程會診、線上看診、開藥等都是互聯網醫療下的新方式，互聯互通的世界下信息安全形勢越來越嚴重，醫療行業也是如此。

隨著疫情的持續性，互聯網醫療行業應該加強網絡信息安全工作，以防攻擊、防病毒、防篡改、防癱瘓、防泄密為重點，暢通信息收集發布渠道，保障數據規范使用，切實保護個人隱私安全，防范網絡安全突發事件，為疫情防控工作提供可靠支撐。

01

什么是互聯網醫療健康信息安全？

2021年6月3日，衛健委發布《互聯網醫療健康信息安全管理規范（征求意見稿）》，目的為推進互聯網醫療健康應用網絡安全。文件規定了互聯網醫療健康信息安全管理總體框架、信息安全相關方管理、信息安全過程管理、信息安全數據管理、信息安全技術管理和信息安全組織管理的規范和安全要求。

一、互聯網醫療健康服務

應用互聯網及相關信息技術提供的互聯網醫療服務、互聯網公共衛生服務、互聯網家庭醫生簽約服務、互聯網藥品供應保障服務等。

二、互聯網醫療健康信息系統

為互聯網醫療健康服務過程以及管理和決策提供支持的信息系統。包括計算機硬件、軟件、網絡等總稱。

三、互聯網醫療健康信息安全管理

在互聯網醫療健康服務開展過程，在應用建設、運營管理和信息管理等階段，應用合理的技術與管理手段，保障信息安全的管理過程，包括以下4部分：

A、互聯網醫療健康信息安全過程管理要求

●建設過程管理

（1）信息系統應通過網絡安全等級保護三級測評和定期復評；

（2）服務過程與運營過程中收集和產生的個人信息和重要數據應當在境內存儲；

各項操作行為進行審計，審計范圍應覆蓋到每個用戶，并對審計記錄進行保護；

●服務過程管理

（1）對服務對象與服務人員的個人隱私信息進行保護；

（2）建立并處理有關信息安全的投訴和舉報；

（3）醫務人員開展服務過程中，應根據相關管理要求使用數字證書和電子簽名技術。

●監管過程管理

監督管理建設方、服務方與運營方的互聯網醫療健康信息安全執行效果；

監督方式包含信息及網絡安全審計、安全漏洞掃描等；

可根據情節嚴重程度，采取警告、通告批評、停服整頓、停止服務資格等處罰。

●運營過程管理

個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。

B、互聯網醫療健康信息安全數據管理要求

數據采集流程為：采集數據——存儲數據——傳輸數據——應用數據——銷毀數據，應該符合GB/T 35273 《信息安全技術 個人信息安全規范》、GB/T 22239 《信息安全技術 網絡安全等級保護基本要求》的相關內容。

C、互聯網醫療健康信息安全技術管理要求

●信息系統安全管理

（1）符合GB/T 35273的相關要求，以及GB/T 22239第三級安全要求；

（2）面向患者提供實名認證功能，保護個人身份信息、生物識別信息等，防止泄露；

（3）支持“最小授權”、“職責分離”、“角色分離”、“默認拒絕”等原則構建系統敏感數據的訪問控制、權限控制以及授權控制策略；

（4）移動端應用，應在可靠的應用渠道發布，不得開啟與服務無關的功能，不得捆綁安裝無關應用程序。

●第三方接入安全管理

（1）第三方信息系統對接時，應遵循國家法律法規及行業相關管理；

（2）遵循最小原則，控制信息使用范圍；

●個人信息安全管理

（1）遵循網絡安全保護法、民法典等法律法規，以及GB/T 35273的相關要求；

（2）在系統建設時對個人信息保護措施同步規劃、同步建設和同步使用；

（3）數據權限控制、個人信息去標識化、數據加密、安全審計等；

D、信息安全組織管理要求

●制度管理

（1）建立適宜的安全管理制度、安全影響評估制度等；

（2）建立信息安全管理的組織和崗位；

（3）定期對信息安全管理工作進行全面自查，并作出整改建議

●人員管理

（1）主管領導是第一負責人，分管領導是直接責任人；

（2）劃分不同的管理員角色進行互聯網醫療健康信息安全管理；

（3）定期開展互聯網醫療健康信息安全教育與培訓

●應急管理

制定互聯網醫療健康信息安全事件應急預案

定期（至少每年一次）組織相關人員進行應急響應培訓和應急演練

02

聯軟科技互聯網醫療信息安全解決方案

等保、網絡安全法、數據安全法等法律法規的出臺對各行業的網絡安全提出了更精細的標準。針對互聯網醫療行業的現狀，聯軟從以下4個方面為互聯網醫院安全建設保駕護航。

一、互聯網安全監控

聯軟科技為醫療行業進行互聯網側資產梳理+漏洞掃描，提供互聯網高危漏洞預警，業務系統上線前安全檢查。提供7*24小時的全方位監控，主要監控網站運行狀況、響應時間、服務器運行狀況等，一旦發現網站無法訪問，第一時間通知用戶。

二、云主機安全管理

UniCWPP云主機安全管理系統是以資產驅動安全的新一代自適應主機安全管理系統，它徹底改變傳統主機安全產品僅專注于安全防御的被動處境，提供主機安全管理、基線核查、防病毒、防入侵等能力，助力業務系統通過等保2.0等合規檢查。

三、終端安全接入

PC終端內外網接入平臺的非授權訪問保護，將非授權訪問保護能力通過SDK集成到APP中。以個人信息安全保護為核心，敏感數據訪問控制，防止內部非授權人員及其他人員未經授權獲取個人信息。

四、遠程接診/遠程運維非授權訪問保護方案

解決互聯網遠程接入企業內網服務過程中存在著身份、數據、權限、審計等多方面的安全風險；內網服務通過HTTPS端口映射方式發布到互聯網，增加暴露面，易被攻擊；企業重要業務數據存儲在終端設備內，存在數據外泄風險；傳統解決方案通過靜態策略控制，無法應對復雜環境的改變；接入的終端類型多樣，操作系統多樣、瀏覽器多樣，兼容性無法保障等多種問題。

醫療行業作為抗擊疫情和保護國民健康的主力軍，在互聯網時代下需全面提升網絡安全防護能力。聯軟已為北京友誼醫院、北大人民醫院、上海交通大學附屬瑞金醫院、復旦大學附屬中山醫院、四川大學華西第二醫院等提供網絡安全技術支持與服務。未來將繼續為醫療行業的網絡安全提供自己的力量，保障互聯網醫療健康發展。