8月29日，國(guó)家衛(wèi)生健康委、國(guó)家中醫(yī)藥局、國(guó)家疾控局正式印發(fā)《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》，以下簡(jiǎn)稱為“《辦法》”。

作為一家在醫(yī)療衛(wèi)生行業(yè)有著豐富產(chǎn)品落地案例的數(shù)據(jù)安全廠商，昂楷科技為醫(yī)療衛(wèi)生行業(yè)的客戶提供了包括數(shù)據(jù)庫(kù)審計(jì)、防統(tǒng)方、數(shù)據(jù)脫敏、數(shù)據(jù)安全分類分級(jí)等產(chǎn)品與綜合性的數(shù)據(jù)安全治理解決方案。并且第一時(shí)間對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法進(jìn)行解讀，以便高效地為客戶提供數(shù)據(jù)安全產(chǎn)品與服務(wù)。

一、《辦法》發(fā)布的背景及目標(biāo)

隨著高質(zhì)量發(fā)展縱深推進(jìn)，全國(guó)衛(wèi)生健康領(lǐng)域迎來(lái)重要機(jī)遇期，信息化發(fā)揮著關(guān)鍵的支撐作用，在此過(guò)程中產(chǎn)生的醫(yī)療健康數(shù)據(jù)不僅是重要的生產(chǎn)要素，更是國(guó)家基礎(chǔ)性戰(zhàn)略資源，因此網(wǎng)絡(luò)安全的重要性日益凸顯。在此背景下，《辦法》的發(fā)布，進(jìn)一步規(guī)范了醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)和數(shù)據(jù)安全管理、促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展，加快推動(dòng)衛(wèi)生健康行業(yè)高質(zhì)量發(fā)展進(jìn)程。

《辦法》的發(fā)布是為了指導(dǎo)以下相關(guān)醫(yī)療衛(wèi)生機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全管理，具體包括：各省、自治區(qū)、直轄市及新疆生產(chǎn)建設(shè)兵團(tuán)衛(wèi)生健康委、中醫(yī)藥局，國(guó)家衛(wèi)生健康委機(jī)關(guān)各司局、委直屬和聯(lián)系單位、中國(guó)老齡協(xié)會(huì)，國(guó)家中醫(yī)藥局、國(guó)家疾控局機(jī)關(guān)各司局、各直屬單位。

二、國(guó)家衛(wèi)健委對(duì)《辦法》的解讀

《辦法》明確了各醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)及數(shù)據(jù)安全管理基本原則、管理分工、執(zhí)行標(biāo)準(zhǔn)、監(jiān)督及處罰要求，體現(xiàn)了統(tǒng)籌安全與發(fā)展的總體平衡，與此前出臺(tái)的一系列政策法規(guī)一脈相承，為醫(yī)療衛(wèi)生機(jī)構(gòu)指明了網(wǎng)絡(luò)安全管理的總方向，主要體現(xiàn)在以下四個(gè)方面：

1、強(qiáng)調(diào)一個(gè)周期

《辦法》全文貫穿了全生命周期管理的主導(dǎo)思想。在網(wǎng)絡(luò)安全方面，圍繞信息系統(tǒng)全生命周期，提出落實(shí)等級(jí)保護(hù)制度、監(jiān)測(cè)預(yù)警、應(yīng)急實(shí)戰(zhàn)、安全整改、人員管理、新技術(shù)應(yīng)用、密碼安全、醫(yī)療設(shè)備、供應(yīng)鏈管理等方面的要求；在數(shù)據(jù)安全方面，以保障數(shù)據(jù)的機(jī)密性、完整性、可用性為目標(biāo)，要求采取數(shù)據(jù)加密、數(shù)據(jù)備份、數(shù)據(jù)脫敏等技術(shù)，加強(qiáng)數(shù)據(jù)收集、傳輸、存儲(chǔ)、使用、交換、銷毀等全生命周期的安全防護(hù)。在實(shí)際運(yùn)用中，應(yīng)基于網(wǎng)絡(luò)和數(shù)據(jù)的全生命周期視角，梳理安全策略架構(gòu),識(shí)別具體業(yè)務(wù)場(chǎng)景，有針對(duì)性的設(shè)計(jì)安全措施，實(shí)現(xiàn)安全防護(hù)。

2、突出兩個(gè)要點(diǎn)

《辦法》強(qiáng)調(diào)醫(yī)療衛(wèi)生機(jī)構(gòu)安全管理應(yīng)圍繞頂層設(shè)計(jì)和制度保障兩個(gè)要點(diǎn)著力推進(jìn)。

頂層設(shè)計(jì)方面，在整體網(wǎng)絡(luò)安全體系的基礎(chǔ)上，依據(jù)數(shù)據(jù)的特性建構(gòu)網(wǎng)絡(luò)和數(shù)據(jù)安全頂層設(shè)計(jì)，落實(shí)安全責(zé)任分工，明確數(shù)據(jù)管理部門、業(yè)務(wù)部門、信息化部門在網(wǎng)絡(luò)和數(shù)據(jù)安全管理工作中的權(quán)責(zé)。

制度保障方面，《辦法》明確醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立健全安全管理制度、操作規(guī)程及技術(shù)規(guī)范。在執(zhí)行過(guò)程中，應(yīng)密切結(jié)合自身業(yè)務(wù)模式的變更，及時(shí)修訂完善制度要求，保持網(wǎng)絡(luò)和數(shù)據(jù)安全制度的有效執(zhí)行力及充分協(xié)同。

3、融合三位一體

《辦法》要求建立網(wǎng)絡(luò)安全管理制度體系，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，通過(guò)管理和技術(shù)手段保障數(shù)據(jù)安全和數(shù)據(jù)應(yīng)用的有效平衡。在實(shí)際運(yùn)用中，應(yīng)將總體安全策略拆解到具體安全管理要求，并通過(guò)安全技術(shù)實(shí)現(xiàn)管理要求，最終融入對(duì)應(yīng)到安全運(yùn)營(yíng)體系中，形成融合管理、技術(shù)、運(yùn)營(yíng)三位一體的立體化網(wǎng)絡(luò)安全管理模式。

4、構(gòu)建四個(gè)體系

《辦法》指出要建立防護(hù)、監(jiān)測(cè)、處置、保障四個(gè)體系協(xié)同的綜合防控格局。在安全防護(hù)方面，要求建立“實(shí)戰(zhàn)化、體系化、常態(tài)化”的安全防護(hù)體系，形成“動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防御、整體防控、聯(lián)防聯(lián)控”的安全防護(hù)態(tài)勢(shì)；在安全監(jiān)測(cè)層面，鼓勵(lì)三級(jí)醫(yī)院探索態(tài)勢(shì)感知平臺(tái)建設(shè)，及時(shí)收集、匯總、分析各方網(wǎng)絡(luò)安全信息，并與國(guó)家及行業(yè)平臺(tái)對(duì)接；在安全處置方面，要形成監(jiān)督管理、安全檢查、應(yīng)急預(yù)案、聯(lián)防聯(lián)控協(xié)同體系；在安全保障方面，通過(guò)統(tǒng)籌領(lǐng)導(dǎo)和規(guī)劃設(shè)計(jì)，在人才培養(yǎng)、安全培訓(xùn)、經(jīng)費(fèi)支持等方面實(shí)現(xiàn)全方位保障。

三、針對(duì)《辦法》昂楷科技提出的解決方案

1、針對(duì)《辦法》貫穿全文的全生命周期管理的主導(dǎo)思想，昂楷科技認(rèn)為數(shù)據(jù)全生命周期的不同階段，防護(hù)需求、防護(hù)重點(diǎn)不一樣，如下圖所示，在不同階段需要提供對(duì)應(yīng)的數(shù)據(jù)安全防護(hù)手段。

2、《辦法》強(qiáng)調(diào)，堅(jiān)持積極防御、綜合防護(hù)。充分利用人工智能、大數(shù)據(jù)分析等技術(shù)，強(qiáng)化安全監(jiān)測(cè)、態(tài)勢(shì)感知、通報(bào)預(yù)警和應(yīng)急處置等重點(diǎn)工作，落實(shí)網(wǎng)絡(luò)安全保護(hù)“實(shí)戰(zhàn)化、體系化、常態(tài)化”和“動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施。

這與昂楷科技在數(shù)據(jù)安全治理建設(shè)的設(shè)計(jì)思路是一致的，通過(guò)大數(shù)據(jù)與人工智能為引擎，建立數(shù)據(jù)安全態(tài)勢(shì)感知能力，動(dòng)態(tài)測(cè)繪，持續(xù)管控，各產(chǎn)品合成作戰(zhàn)、聯(lián)防聯(lián)控，對(duì)數(shù)據(jù)進(jìn)行全數(shù)據(jù)形態(tài)、全生命周期、全流通環(huán)節(jié)安全防護(hù)。

3、《辦法》中對(duì)于網(wǎng)絡(luò)安全與數(shù)據(jù)安全，都提出了每年對(duì)本單位進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，及時(shí)掌握安全狀態(tài)并加強(qiáng)安全教育培訓(xùn)，組織安全意識(shí)教育和安全管理制度宣傳培訓(xùn)等工作。這對(duì)這項(xiàng)工作需要有相關(guān)的產(chǎn)品或解決方案進(jìn)行支撐，昂楷科技建議提供安全評(píng)估系統(tǒng)對(duì)整體安全工作與管理能力進(jìn)行評(píng)估與考核。

總體而言，《辦法》堅(jiān)持安全可控和開(kāi)放創(chuàng)新并重的基本原則，其頒布為醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理提供了工作指南，筑牢了醫(yī)療衛(wèi)生機(jī)構(gòu)安全屏障，奠定了衛(wèi)生健康行業(yè)網(wǎng)絡(luò)安全發(fā)展基礎(chǔ)。