當(dāng)前，醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全管理的主要難點(diǎn)包括：專業(yè)網(wǎng)絡(luò)安全管理人員少，網(wǎng)絡(luò)安全管理責(zé)任重，工作量巨大，網(wǎng)絡(luò)安全形勢(shì)多變且技術(shù)更新快，網(wǎng)絡(luò)安全設(shè)備類別和數(shù)量多、難以統(tǒng)一管理等。為解決這些問題，我們梳理了以下工作思路。

明確各方責(zé)任。網(wǎng)絡(luò)安全保障工作涉及方方面面，需要所有系統(tǒng)使用人員的參與。然而，在醫(yī)院實(shí)踐過程中，往往變成信息中心少數(shù)幾個(gè)人的事，全員參與度極低。醫(yī)院的網(wǎng)絡(luò)安全設(shè)施集中在機(jī)房?jī)?nèi)，防護(hù)體系沒有在用戶端得到落實(shí)，導(dǎo)致醫(yī)院網(wǎng)絡(luò)安全防護(hù)看起來很完備，卻經(jīng)不起實(shí)戰(zhàn)考驗(yàn)。問題的關(guān)鍵點(diǎn)就在于未能明確用戶端的安全責(zé)任，以及缺乏醫(yī)院主要負(fù)責(zé)人的強(qiáng)力推動(dòng)。

《辦法》第二條提出，堅(jiān)持“管業(yè)務(wù)就要管安全”“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，落實(shí)網(wǎng)絡(luò)安全責(zé)任制，明確各方責(zé)任。上述原則明確將系統(tǒng)使用者和業(yè)務(wù)方都納入網(wǎng)絡(luò)安全責(zé)任體系，醫(yī)院每個(gè)人都需要各擔(dān)其責(zé)，為推動(dòng)防護(hù)體系在用戶端得到落實(shí)打下堅(jiān)實(shí)基礎(chǔ)。

《辦法》第五條提出，各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)成立網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組，由單位主要負(fù)責(zé)人任領(lǐng)導(dǎo)小組組長，每年至少召開一次網(wǎng)絡(luò)安全辦公會(huì)，部署安全重點(diǎn)工作。這一要求有利于讓網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組切實(shí)發(fā)揮作用，為網(wǎng)絡(luò)安全工作的決策和保障提供有力支撐。

管理、技術(shù)、運(yùn)營三位一體。目前，大部分三甲醫(yī)院的關(guān)鍵信息系統(tǒng)都開展了信息安全等級(jí)保護(hù)建設(shè)。為滿足等級(jí)保護(hù)的相關(guān)要求，醫(yī)院一般會(huì)通過部署防火墻、入侵檢測(cè)、漏洞掃描、網(wǎng)絡(luò)審計(jì)等安全產(chǎn)品來建設(shè)安全技術(shù)體系；同時(shí)參考等保標(biāo)準(zhǔn)，發(fā)布一系列的網(wǎng)絡(luò)安全管理制度。理論上，在管理和技術(shù)的雙重保障下，醫(yī)院網(wǎng)絡(luò)安全應(yīng)處于較高水平。但多次的演練證明，很多三甲醫(yī)院信息系統(tǒng)在演練中被攻破，核心醫(yī)院數(shù)據(jù)被“紅方”輕易獲取。

造成這一問題的原因就在于，大部分醫(yī)院缺少日常的網(wǎng)絡(luò)安全運(yùn)營體系支撐。沒有日常運(yùn)營，管理制度沒人督促落實(shí)，安全設(shè)備缺乏定期維護(hù)，防護(hù)策略沒有及時(shí)更新，導(dǎo)致醫(yī)院網(wǎng)絡(luò)安全的實(shí)際防護(hù)能力有所下降。

《辦法》第九條至第十二條，從自查與整改、機(jī)構(gòu)與人員、運(yùn)維與監(jiān)測(cè)等多個(gè)維度，對(duì)網(wǎng)絡(luò)安全的日常運(yùn)營工作提出明確要求。利用安全技術(shù)實(shí)現(xiàn)安全管理要求，最終融入安全運(yùn)營體系中，形成管理、技術(shù)、運(yùn)營三位一體的立體化網(wǎng)絡(luò)安全管理模式。

上一篇：網(wǎng)絡(luò)安全攸關(guān)，如何做好企業(yè)的等保合規(guī)管理？

下一篇：信息安全等級(jí)保護(hù)的那些干貨