近年来,网络安全越来越受到重视,特别是进入等级保护2.0时代后,公安机关对不履行网络安全义务的机关的打击和惩罚力度也越来越大。光是医疗行业,2020年上半年没有履行要求等保险业务,被告知处罚的医院不少。这里有一个例子。
忻州市和美国产医院不执行网络安全等级保护方案。
2019年12月,单位发现新州市和米山医院门户网站存在安全漏洞,新州市公安局直属分局网络安大队立即前往该医院调查证据。该医院未能实施网络安全等级保护制度,网络安全思想意识基础薄弱,不确定网络安全负责人,未制定网络安全应急事件计划,未采取技术措施防止电脑病毒和网络攻击、网络入侵等网络安全行为,严重影响网站信息安全,该网站未办理办理等级保护文件手续。
2020年3月,忻州市公安局直属分局网络安大队决定,根据《网络安全法》第21、59条的规定,对新州市和眉山医院处以行政警告处罚,并下令修改期限。
《网络安全法》第59条规定:网络运营者不履行本法第21条、第25条规定的网络安全义务时,受相关主管部门命令纠正和警告。拒绝纠正或不造成网络安全等后果的,处以1万元以上10万元以下的罚款,对直接负责的高管处以5千元以上5万元以下的罚款。主要信息基础设施运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全义务时,由有关主管部门责令改正并提出警告。拒绝纠正或不造成网络安全等后果的,处以10万元以上100万元以下的罚款,对直接负责的高管处以1万韩元以上10万元以下的罚款。
实行等级保护,既是为了满足主管机关和公安机关的需要,又是为了提升 自身信息管理安全保护水平。医院等级保护工作可以:
一、合理开展系统等级提交工作
医疗行业目前迫切需要保护网络安全水平的两个系统——传统核心业务系统和多种新技术融合在一起的新管理信息系统。执行网络安全级别保护任务的第一步是合理地指定这些系统的等级保护等级。
医院医院信息系统的安全等级分为以下5个等级,从1级逐步提高到5级。
第一级(自主保护级)、信息系统被破坏后,可以损害公民、法人和其他组织的合法权益,但不会损害国家安全、社会秩序和公共利益。第一级信息系统操作和使用单位应按照国内相关管理规范和技术标准进行保护。
二级(地图保护级)、信息系统被破坏后,可能会严重损害公民、法人和其他组织的合法权益,或损害社会秩序和公共利益,但不会损害国家安全。国家信息安全监督部门指导这一级别的信息系统安全级别保护工作。
三级(监督保护级)、信息系统被破坏后,可能会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级别的信息系统安全等级保护工作进行监督检查。
四级(强制保护级),信息系统被破坏后,对社会秩序和公共利益尤其严重,或者对国家安全造成严重损害。国家信息安全监管部门对该级别的信息系统安全等级保护工作进行强制监督、检查。
五级(传统制保护级),信息系统被破坏后,可能对国家安全造成特别严重的损害。国家信息安全监管部门专门监督和检查该级别的信息系统安全等级保护工作。
分级过程是等级决定对象初步等级决定专家审查主管部门批准公安机关文件审查最终确定等级。
医院可以参照“等级因素和安全水平之间的关系”来确定信息系统所属的等级。
定级后,医院可以将相关资料准备并向公安机关登记。审查通过后,公安机关将发行《信息安全等级保护备案证明》。如果审查失败,公安机关也会给予反馈。
其次,按照规定进行整改评估工作。
备案成功后,医院应联系专业等保评价机构对医院信息系统进行评价,确认医院信息系统是否符合等保要求,如果不符合,应列出不一致的地方,然后整编配合。等报2.0时代,只有评价分数在50分以上,医院信息系统没有高风险项目的情况下,医院的信息系统等级保护评价才通过。
虽然很简单,但根据多家医院的过度保险经验,由于对等保险标准不充分理解,很多医院经常被关在整改中,或者整改机构不能正常进行,完成整改工作时出现延迟,一年内无法通过等级评估。
三、天磊安全信息建设建议
1.等保健设施采用新技术新手段,加强医院安全技术保护和态势感知建设,防止特种木马或新型网络攻击。
2.加强日常安全运维,引入可视化、综合运维等创新技术,使安全管理和运维更加简单高效。
3.加强积极防御能力,通过全方位、多方面的风险分析,完善医院网络安全建设薄弱点。降低安全隐患,提升 信息系统的健壮性。
4.适当挑选安全企业带来的安全保障,填补医院专业安全技术人员的不足。最大限度地减轻网络安全事件产生的医院运营中断和管理费用增加的危害性。