8月29日，國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局正式印發(fā)《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》，以下簡稱為“《辦法》”。

作為一家在醫(yī)療衛(wèi)生行業(yè)有著豐富產(chǎn)品落地案例的數(shù)據(jù)安全廠商，昂楷科技為醫(yī)療衛(wèi)生行業(yè)的客戶提供了包括數(shù)據(jù)庫審計、防統(tǒng)方、數(shù)據(jù)脫敏、數(shù)據(jù)安全分類分級等產(chǎn)品與綜合性的數(shù)據(jù)安全治理解決方案。并且第一時間對醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法進行解讀，以便高效地為客戶提供數(shù)據(jù)安全產(chǎn)品與服務(wù)。

一、《辦法》發(fā)布的背景及目標(biāo)

隨著高質(zhì)量發(fā)展縱深推進，全國衛(wèi)生健康領(lǐng)域迎來重要機遇期，信息化發(fā)揮著關(guān)鍵的支撐作用，在此過程中產(chǎn)生的醫(yī)療健康數(shù)據(jù)不僅是重要的生產(chǎn)要素，更是國家基礎(chǔ)性戰(zhàn)略資源，因此網(wǎng)絡(luò)安全的重要性日益凸顯。在此背景下，《辦法》的發(fā)布，進一步規(guī)范了醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)和數(shù)據(jù)安全管理、促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展，加快推動衛(wèi)生健康行業(yè)高質(zhì)量發(fā)展進程。

《辦法》的發(fā)布是為了指導(dǎo)以下相關(guān)醫(yī)療衛(wèi)生機構(gòu)加強網(wǎng)絡(luò)安全管理，具體包括：各省、自治區(qū)、直轄市及新疆生產(chǎn)建設(shè)兵團衛(wèi)生健康委、中醫(yī)藥局，國家衛(wèi)生健康委機關(guān)各司局、委直屬和聯(lián)系單位、中國老齡協(xié)會，國家中醫(yī)藥局、國家疾控局機關(guān)各司局、各直屬單位。

二、國家衛(wèi)健委對《辦法》的解讀

《辦法》明確了各醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)及數(shù)據(jù)安全管理基本原則、管理分工、執(zhí)行標(biāo)準、監(jiān)督及處罰要求，體現(xiàn)了統(tǒng)籌安全與發(fā)展的總體平衡，與此前出臺的一系列政策法規(guī)一脈相承，為醫(yī)療衛(wèi)生機構(gòu)指明了網(wǎng)絡(luò)安全管理的總方向，主要體現(xiàn)在以下四個方面：

1、強調(diào)一個周期

《辦法》全文貫穿了全生命周期管理的主導(dǎo)思想。在網(wǎng)絡(luò)安全方面，圍繞信息系統(tǒng)全生命周期，提出落實等級保護制度、監(jiān)測預(yù)警、應(yīng)急實戰(zhàn)、安全整改、人員管理、新技術(shù)應(yīng)用、密碼安全、醫(yī)療設(shè)備、供應(yīng)鏈管理等方面的要求；在數(shù)據(jù)安全方面，以保障數(shù)據(jù)的機密性、完整性、可用性為目標(biāo)，要求采取數(shù)據(jù)加密、數(shù)據(jù)備份、數(shù)據(jù)脫敏等技術(shù)，加強數(shù)據(jù)收集、傳輸、存儲、使用、交換、銷毀等全生命周期的安全防護。在實際運用中，應(yīng)基于網(wǎng)絡(luò)和數(shù)據(jù)的全生命周期視角，梳理安全策略架構(gòu),識別具體業(yè)務(wù)場景，有針對性的設(shè)計安全措施，實現(xiàn)安全防護。

2、突出兩個要點

《辦法》強調(diào)醫(yī)療衛(wèi)生機構(gòu)安全管理應(yīng)圍繞頂層設(shè)計和制度保障兩個要點著力推進。

頂層設(shè)計方面，在整體網(wǎng)絡(luò)安全體系的基礎(chǔ)上，依據(jù)數(shù)據(jù)的特性建構(gòu)網(wǎng)絡(luò)和數(shù)據(jù)安全頂層設(shè)計，落實安全責(zé)任分工，明確數(shù)據(jù)管理部門、業(yè)務(wù)部門、信息化部門在網(wǎng)絡(luò)和數(shù)據(jù)安全管理工作中的權(quán)責(zé)。

制度保障方面，《辦法》明確醫(yī)療衛(wèi)生機構(gòu)應(yīng)建立健全安全管理制度、操作規(guī)程及技術(shù)規(guī)范。在執(zhí)行過程中，應(yīng)密切結(jié)合自身業(yè)務(wù)模式的變更，及時修訂完善制度要求，保持網(wǎng)絡(luò)和數(shù)據(jù)安全制度的有效執(zhí)行力及充分協(xié)同。

3、融合三位一體

《辦法》要求建立網(wǎng)絡(luò)安全管理制度體系，加強網(wǎng)絡(luò)安全防護，通過管理和技術(shù)手段保障數(shù)據(jù)安全和數(shù)據(jù)應(yīng)用的有效平衡。在實際運用中，應(yīng)將總體安全策略拆解到具體安全管理要求，并通過安全技術(shù)實現(xiàn)管理要求，最終融入對應(yīng)到安全運營體系中，形成融合管理、技術(shù)、運營三位一體的立體化網(wǎng)絡(luò)安全管理模式。

4、構(gòu)建四個體系

《辦法》指出要建立防護、監(jiān)測、處置、保障四個體系協(xié)同的綜合防控格局。在安全防護方面，要求建立“實戰(zhàn)化、體系化、常態(tài)化”的安全防護體系，形成“動態(tài)防御、主動防御、縱深防御、精準防御、整體防控、聯(lián)防聯(lián)控”的安全防護態(tài)勢；在安全監(jiān)測層面，鼓勵三級醫(yī)院探索態(tài)勢感知平臺建設(shè)，及時收集、匯總、分析各方網(wǎng)絡(luò)安全信息，并與國家及行業(yè)平臺對接；在安全處置方面，要形成監(jiān)督管理、安全檢查、應(yīng)急預(yù)案、聯(lián)防聯(lián)控協(xié)同體系；在安全保障方面，通過統(tǒng)籌領(lǐng)導(dǎo)和規(guī)劃設(shè)計，在人才培養(yǎng)、安全培訓(xùn)、經(jīng)費支持等方面實現(xiàn)全方位保障。

三、針對《辦法》昂楷科技提出的解決方案

1、針對《辦法》貫穿全文的全生命周期管理的主導(dǎo)思想，昂楷科技認為數(shù)據(jù)全生命周期的不同階段，防護需求、防護重點不一樣，如下圖所示，在不同階段需要提供對應(yīng)的數(shù)據(jù)安全防護手段。

2、《辦法》強調(diào)，堅持積極防御、綜合防護。充分利用人工智能、大數(shù)據(jù)分析等技術(shù)，強化安全監(jiān)測、態(tài)勢感知、通報預(yù)警和應(yīng)急處置等重點工作，落實網(wǎng)絡(luò)安全保護“實戰(zhàn)化、體系化、常態(tài)化”和“動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施。

這與昂楷科技在數(shù)據(jù)安全治理建設(shè)的設(shè)計思路是一致的，通過大數(shù)據(jù)與人工智能為引擎，建立數(shù)據(jù)安全態(tài)勢感知能力，動態(tài)測繪，持續(xù)管控，各產(chǎn)品合成作戰(zhàn)、聯(lián)防聯(lián)控，對數(shù)據(jù)進行全數(shù)據(jù)形態(tài)、全生命周期、全流通環(huán)節(jié)安全防護。

3、《辦法》中對于網(wǎng)絡(luò)安全與數(shù)據(jù)安全，都提出了每年對本單位進行安全風(fēng)險評估，及時掌握安全狀態(tài)并加強安全教育培訓(xùn)，組織安全意識教育和安全管理制度宣傳培訓(xùn)等工作。這對這項工作需要有相關(guān)的產(chǎn)品或解決方案進行支撐，昂楷科技建議提供安全評估系統(tǒng)對整體安全工作與管理能力進行評估與考核。

總體而言，《辦法》堅持安全可控和開放創(chuàng)新并重的基本原則，其頒布為醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理提供了工作指南，筑牢了醫(yī)療衛(wèi)生機構(gòu)安全屏障，奠定了衛(wèi)生健康行業(yè)網(wǎng)絡(luò)安全發(fā)展基礎(chǔ)。