前言
此次調(diào)查是安全牛聯(lián)合東軟集團(tuán)網(wǎng)絡(luò)安全事業(yè)部首次針對醫(yī)療行業(yè)的執(zhí)業(yè)單位發(fā)起的信息及網(wǎng)絡(luò)安全方面的問卷調(diào)查。調(diào)查的主題圍繞醫(yī)療業(yè)最為關(guān)注的數(shù)據(jù)與業(yè)務(wù)安全而展開。調(diào)查的目標(biāo)是為了獲取國內(nèi)醫(yī)療執(zhí)業(yè)單位的信息安全管理情況和建設(shè)方面的期望,以便為執(zhí)業(yè)單位、主管部門、專業(yè)服務(wù)公司和系統(tǒng)開發(fā)集成公司等提供有價值的專業(yè)分析和發(fā)展建議。
我們有幸邀請了國內(nèi)100余家醫(yī)療執(zhí)業(yè)單位參與了此調(diào)查,這61 家單位分布覆蓋了東北、華北、華東、華南、西北和西南等區(qū)域。我們基于本次調(diào)查結(jié)果的統(tǒng)計(jì)分析,并結(jié)合自身在長期的信息安全咨詢、網(wǎng)絡(luò)安全體系架構(gòu)設(shè)計(jì)和信息化建設(shè)方面廣泛獲取的情報(bào)和工程經(jīng)驗(yàn),編寫了這個報(bào)告。
當(dāng)今,醫(yī)療執(zhí)業(yè)單位的信息化建設(shè)方興未艾,同時伴隨災(zāi)備數(shù)據(jù)中心、云計(jì)算、大數(shù)據(jù)、專家系統(tǒng)、移動醫(yī)療和智能設(shè)備等數(shù)字化智能化建設(shè)的持續(xù)升溫,醫(yī)療單位的信息安全正面臨新的挑戰(zhàn)。一方面醫(yī)療單位的被攻擊面在不斷擴(kuò)大,邊界亦越來越模糊;另一方面威脅和攻擊如白云蒼狗,不斷的向持續(xù)化、復(fù)雜化、組織化甚至政治化方向發(fā)展。在浩瀚的數(shù)字海洋中,我們應(yīng)當(dāng)命中安全的核心,“保證持續(xù)的治理、預(yù)先識別風(fēng)險、主動防御,保證數(shù)據(jù)與業(yè)務(wù)安全”正是我們希望傳遞的理念。信息安全也并不是一個純粹的技術(shù)問題,客觀的說防御者總是落后于攻擊者變化莫測的手段,面對此種形式,唯有保持謹(jǐn)慎和盡職才不至于成為最大的受害者。
一、行業(yè)信息安全格局
1. 認(rèn)識行業(yè)網(wǎng)絡(luò)安全的挑戰(zhàn)
醫(yī)療行業(yè)數(shù)字化趨勢將為企業(yè)、人和物之間的互聯(lián)互通提供了全方位的可能。云計(jì)算和移動設(shè)備的日益發(fā)展使得執(zhí)業(yè)單位的邊界與供應(yīng)鏈、客戶和政府交織在一起,信息系統(tǒng)似乎與執(zhí)業(yè)單位越來越遠(yuǎn),與用戶越來越近。新興的智慧醫(yī)療和專家系統(tǒng)要為用戶帶來全新的體驗(yàn),新開發(fā)的系統(tǒng)需要更好的為社會服務(wù),更多的IP對外開放。數(shù)字化世界打開了一扇扇帶來巨大效益的門,企業(yè)藉此獲取了更多的數(shù)據(jù)和生態(tài)優(yōu)勢,也不可避免增大了被攻擊的風(fēng)險。
2. 從外部觀察的行業(yè)威脅
攻擊嘗試和威脅無處不在,老練的社交工程學(xué)、持續(xù)化的不知疲倦的漏洞發(fā)現(xiàn)、唾手可得的工具、黑色數(shù)據(jù)交易的價值……企業(yè)的領(lǐng)導(dǎo)者、管理者應(yīng)當(dāng)了解外面的世界,確定風(fēng)險偏好,做好準(zhǔn)備應(yīng)對各類事件。
最新安全值評測的三甲醫(yī)院整體威脅情報(bào)
各省705家三甲醫(yī)院總體威脅情報(bào)級別:B級
注:滿分1000分,安全級別由高到低分為A(>=900)、B(>=700)、C(>=500),得分越高表示威脅越少。縱軸為各省“三甲醫(yī)院安全值平均分”,橫軸為安全值省份分布。
醫(yī)療行業(yè)及子行業(yè)安全值分布圖
注:縱軸為安全值分?jǐn)?shù),橫軸為醫(yī)療行業(yè)細(xì)分領(lǐng)域。數(shù)據(jù)取樣涵蓋了705家三級甲等醫(yī)院、1023家公立醫(yī)院、200家私立醫(yī)院、25家典型傳統(tǒng)醫(yī)療行業(yè)解決方案提供商、27家主流臨床醫(yī)學(xué)研究機(jī)構(gòu)、24家大型互聯(lián)網(wǎng)醫(yī)療解決方案提供商、21家醫(yī)療保險支付機(jī)構(gòu)、35家醫(yī)療器械提供商、23家醫(yī)療數(shù)據(jù)服務(wù)提供商、14家大型醫(yī)療云解決方案提供商、8家醫(yī)藥產(chǎn)品研發(fā)機(jī)構(gòu)。
3. 您對自身的信息安全保持信心嗎?
對安全的信心反應(yīng)企業(yè)是否為各種可能的風(fēng)險做好了準(zhǔn)備。是否了解數(shù)字世界的威脅和自身的漏洞?是否基于業(yè)務(wù)的發(fā)展戰(zhàn)略而評估了所有的事件場景、并制定了安全措施的優(yōu)先計(jì)劃?安全應(yīng)當(dāng)成為企業(yè)發(fā)展的核心能力和基石之一,否則醫(yī)療數(shù)字化發(fā)展將不可持續(xù)。
3.1 基礎(chǔ)物理和網(wǎng)絡(luò)環(huán)境
強(qiáng)健的基礎(chǔ)設(shè)施是應(yīng)對一切安全風(fēng)險的根本,無論我們的人力、應(yīng)用和流程是怎樣的完備與敏捷,當(dāng)面對難以預(yù)測的攻擊力時也只能束手就擒。主動防御的原則之一是“保證資源具備彈性和空間”。
受訪單位對自身所面臨網(wǎng)絡(luò)安全困惑及痛點(diǎn)的比例
3.2 安全治理
良好的組織、流程,足量的預(yù)算可保證我們實(shí)施主動防御的策略,去直面不斷變化的威脅。這些策略不是面面俱到,而是根據(jù)自身的發(fā)展戰(zhàn)略、風(fēng)險評測、業(yè)務(wù)導(dǎo)向,并在滿足合規(guī)要求的前提下,發(fā)揮資金的最大價值。良好的流程不會成為敏捷特性的羈絆,只會在積極的防御中讓企業(yè)更加的高效和專業(yè),避免淪為游擊式的發(fā)揮。這樣持續(xù)化的治理不斷錘煉,能確保企業(yè)保持修復(fù)弱點(diǎn),樹立信心去開拓更多的業(yè)務(wù)。安全管理者需要持續(xù)的向領(lǐng)導(dǎo)傳達(dá)這個理念并獲得承諾與支持。
預(yù)算的邏輯性和適當(dāng)彈性是基于企業(yè)對計(jì)劃中的風(fēng)險管理和安全建設(shè)的預(yù)見,以及持續(xù)的威脅和合規(guī)要求的增加。預(yù)算不足非但不能節(jié)約開支,卻因漫長的求證與審核而喪失寶貴的機(jī)會,制約業(yè)務(wù)的發(fā)展。
二、保護(hù)信息資產(chǎn)
1. 是否管理了信息資產(chǎn)?
安全風(fēng)險是伴隨資產(chǎn)而存在的。無論攻擊如何詭異,它都將指向特定的目標(biāo),破壞其安全性而導(dǎo)致企業(yè)業(yè)務(wù)和聲譽(yù)受損,甚至面臨嚴(yán)酷的法律懲罰。識別企業(yè)的資產(chǎn)是一切信息安全管理的起點(diǎn),通過持續(xù)的管理實(shí)踐可穩(wěn)步的向主動型防御發(fā)展。
在保護(hù)信息資產(chǎn)的實(shí)踐中,企業(yè)應(yīng)當(dāng)獲得以下問題的清晰答案。
資產(chǎn)是否被全部識別了?
資產(chǎn)對業(yè)務(wù)的核心價值是什么?
企業(yè)的風(fēng)險偏好?
將資金用于控制最重要的風(fēng)險是明智的。
2. 是否識別了威脅與漏洞?
純粹的資產(chǎn)只是攻擊的標(biāo)靶。要實(shí)現(xiàn)完整的資產(chǎn)風(fēng)險管理,企業(yè)需要清晰尋求另一個問題的答案——資產(chǎn)面對何種攻擊場景?企業(yè)應(yīng)當(dāng)謹(jǐn)慎的思考、分析威脅和漏洞,進(jìn)而勾勒出一幅全面的風(fēng)險視圖并制定安全控制措施。當(dāng)人員職責(zé)、技術(shù)方法、流程體系被應(yīng)用于風(fēng)險的控制,當(dāng)它們經(jīng)過管理實(shí)踐的不斷演化后,企業(yè)不會在突如其來的攻擊前不知所措。主動防御的另一個原則正是“評估風(fēng)險并控制”。
受訪單位對外部威脅的擔(dān)憂的比例
受訪單位對自身漏洞的擔(dān)憂比例
受訪單位對已發(fā)現(xiàn)漏洞處置方式的比例
注解1:
具體可能包含的原因有:系統(tǒng)過于陳舊,補(bǔ)丁導(dǎo)致業(yè)務(wù)系統(tǒng)異常,技術(shù)力量薄弱,有些系統(tǒng)打補(bǔ)丁后會不正常,系統(tǒng)補(bǔ)丁有時與業(yè)務(wù)系統(tǒng)有軟件沖突,工作人員知識缺乏、加強(qiáng)管理和培訓(xùn),個別補(bǔ)丁對數(shù)據(jù)庫及網(wǎng)絡(luò)有限制、造成數(shù)據(jù)或網(wǎng)絡(luò)中斷,修復(fù)過程中系統(tǒng)補(bǔ)丁與應(yīng)用系統(tǒng)、中間件和數(shù)據(jù)庫有沖突,個別系統(tǒng)做補(bǔ)丁后應(yīng)用系統(tǒng)運(yùn)行受響,主要是保障臨床一線正常使用和修復(fù)漏洞所花費(fèi)時間的矛盾,內(nèi)網(wǎng)沒有補(bǔ)丁服務(wù)器、外網(wǎng)沒有統(tǒng)一管理,技術(shù)力量不足、預(yù)算不足,無相應(yīng)補(bǔ)丁,內(nèi)外網(wǎng)沒有進(jìn)行物理隔離、尋求沒有物理隔離的有限安全防范與措施,缺乏專業(yè)技術(shù)人員等。
三、數(shù)據(jù)與業(yè)務(wù)安全
1. 數(shù)據(jù)安全
醫(yī)療單位的數(shù)據(jù)格外引人注目,除了企業(yè)內(nèi)的財(cái)務(wù)、行政、人力等管理數(shù)據(jù)外,更多的敏感數(shù)據(jù)來自于診療、配方、病歷、患者隱私和大數(shù)據(jù)平臺的一切結(jié)果。任何疏漏導(dǎo)致的數(shù)據(jù)泄漏都將使企業(yè)遭受重創(chuàng),成為媒體和網(wǎng)絡(luò)口誅筆伐的對象,各種負(fù)面報(bào)道會接踵而至。
醫(yī)療數(shù)字化趨勢,更多安全法律的出臺,會加劇企業(yè)保護(hù)數(shù)據(jù)安全的負(fù)擔(dān)和恐懼。但企業(yè)必須適應(yīng)環(huán)境,消極和退讓并不能推卸責(zé)任,唯有尋求方法。事實(shí)上保護(hù)數(shù)據(jù)和保護(hù)其他信息資產(chǎn)一樣,需要我們主動的評估風(fēng)險并控制。
受訪單位對數(shù)據(jù)攻擊源的擔(dān)憂比例
受訪單位對自身數(shù)據(jù)安全控制認(rèn)識的比例
31%的受訪者認(rèn)為自己的企業(yè)建立了完整的數(shù)據(jù)安全體系。這個體系應(yīng)當(dāng)是信息安全管理體系的有機(jī)組成,它包含程序文件、權(quán)限控制、技術(shù)工具等管理數(shù)據(jù)的整個生命周期。
受訪單位對數(shù)據(jù)泄漏后果認(rèn)識的比例
49%的受訪者認(rèn)為自己的聲譽(yù)損失是最大的。這里再次強(qiáng)調(diào)“變化的環(huán)境會引入多種非典型性風(fēng)險”,不存在一勞永逸的防御方法,一味的被動防御終將發(fā)生數(shù)據(jù)泄漏,請時刻保持警惕——“我們認(rèn)為還有未識別的數(shù)據(jù)風(fēng)險”。
2. 業(yè)務(wù)安全
經(jīng)典信息安全論認(rèn)為一切安全管理的目標(biāo)是為了業(yè)務(wù)安全,當(dāng)前激進(jìn)者們甚至在蠶食原本屬于生產(chǎn)安全的領(lǐng)地,將業(yè)務(wù)中的故障管理、非法操作管理囊括其中。這里我們不陷入兩者之間的差異分析,僅從經(jīng)典安全論來說兌現(xiàn)業(yè)務(wù)安全的顯著特點(diǎn)是“安全控制融入到業(yè)務(wù)流程中去了”。安全控制與業(yè)務(wù)流程的脫節(jié)勢必打折安全的效用,同時業(yè)務(wù)的敏捷性也被限制了,這種背向而馳最終會打破安全與業(yè)務(wù)的生態(tài)平衡。
受訪單位對業(yè)務(wù)安全認(rèn)識的比例
當(dāng)企業(yè)實(shí)現(xiàn)了主動防御,對業(yè)務(wù)操作中的安全控制點(diǎn)進(jìn)行同步監(jiān)測、甚至是提前的安全態(tài)勢感知,將會防患于未然,與網(wǎng)絡(luò)攻擊企圖分秒必爭、增強(qiáng)加固信息資產(chǎn),為企業(yè)節(jié)約寶貴的事件修復(fù)成本。66%的受訪者認(rèn)為只有管理好各方面安全才能保證業(yè)務(wù)安全。
受訪單位對自身業(yè)務(wù)安全控制認(rèn)識的比例
受訪單位對增強(qiáng)自身業(yè)務(wù)安全控制的需求的比例,關(guān)于具體控制需求請見注解2
注解2:
高優(yōu)先級:
領(lǐng)導(dǎo)的認(rèn)識,資金,異地災(zāi)備,操作系統(tǒng)補(bǔ)丁影像業(yè)務(wù)系統(tǒng)的問題,人員培訓(xùn)、提高認(rèn)識、宣傳教育網(wǎng)絡(luò)安全法,數(shù)據(jù)安全,網(wǎng)絡(luò)安全,邊界防護(hù),人力,安全態(tài)勢感知,數(shù)據(jù)庫,安全設(shè)備,健全安全管理機(jī)制和制度建設(shè),網(wǎng)閘,大數(shù)據(jù)綜合利用安全,業(yè)務(wù)融入,安全審計(jì),加密解密、數(shù)據(jù)庫安全、系統(tǒng)安全,整體評估機(jī)房里面到底處在什么情況下運(yùn)行,傳輸安全,資金投入,相關(guān)管理制度和流程做到切實(shí)執(zhí)行,病毒防護(hù),信息網(wǎng)絡(luò)安全等保測評,網(wǎng)絡(luò)基礎(chǔ)設(shè)施,網(wǎng)絡(luò)安全攻擊預(yù)測,物理機(jī)房和網(wǎng)絡(luò)交換設(shè)備的安全,平臺建設(shè),入侵檢測,個人認(rèn)為在臨床應(yīng)用中內(nèi)外網(wǎng)可以同時訪問且內(nèi)外網(wǎng)在同時訪問時存在安全隱患,代碼安全,業(yè)務(wù)。
中優(yōu)先級:
全員安全意識提高,人才,安全監(jiān)控,硬件投入,系統(tǒng)安全,數(shù)據(jù),等保,程序安全,財(cái)力,網(wǎng)絡(luò)行為審計(jì),管理介質(zhì),高可用,網(wǎng)絡(luò)建設(shè),解決問題的方案,經(jīng)費(fèi)投入,數(shù)據(jù)庫審計(jì),網(wǎng)絡(luò)與信息安全,規(guī)章制度,業(yè)務(wù)管理,邊界防護(hù),信息人員的技術(shù)水平,管理安全,應(yīng)用安全,數(shù)據(jù)安全,進(jìn)行安全可控,中級網(wǎng)絡(luò)人員配備,信息安全,安全防護(hù)體系的完善,基礎(chǔ)設(shè)施的安全,安全設(shè)備的配備,網(wǎng)絡(luò)安全態(tài)勢分析,在內(nèi)外網(wǎng)通信的關(guān)鍵點(diǎn)建立更好的隔離設(shè)備如網(wǎng)閘、堡壘機(jī)等,診療信息,網(wǎng)絡(luò)結(jié)構(gòu),數(shù)據(jù)服務(wù)器與存儲數(shù)據(jù)安全,邊界防護(hù),運(yùn)維安全,機(jī)房,堡壘機(jī),網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化以避免技術(shù)原因或惡意行為造成的安全事件。
低優(yōu)先級:
信息科技人才,意識,政策強(qiáng)制,涉密監(jiān)管,軟件投入,應(yīng)用安全,用戶,數(shù)據(jù)安全,硬件,網(wǎng)絡(luò)邊界防范,網(wǎng)絡(luò)安全,制度,高性能,安全策略,按照方案進(jìn)行實(shí)施,資金支持,邀請網(wǎng)安、公安部門有關(guān)網(wǎng)絡(luò)安全專家進(jìn)行網(wǎng)絡(luò)狀況評估并做進(jìn)一步整改,日志審計(jì),物理安全,基礎(chǔ)設(shè)施完善,應(yīng)用管理,業(yè)務(wù)系統(tǒng)使用者的安全知識,配線間環(huán)境監(jiān)控,制度健全,權(quán)限設(shè)置,等保,終端安全,資源,安全意識培訓(xùn),管理,加強(qiáng)人員技術(shù)水平和能力,基礎(chǔ)設(shè)施安全,系統(tǒng)安全技術(shù)支持,國家宏觀巡查,業(yè)務(wù)和人員培訓(xùn),安裝的安全設(shè)施,與防火墻聯(lián)動以監(jiān)視局域網(wǎng)外部繞過或透過防火墻的攻擊,宣傳,網(wǎng)絡(luò)控制,數(shù)據(jù)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)信息安全,web安全,病毒,內(nèi)部人員權(quán)限,網(wǎng)路規(guī)劃技術(shù)力量存在不足,物理安全邊界(接入設(shè)備,如交換機(jī),pc,移動終端)的安全配置,網(wǎng)絡(luò)操作系統(tǒng),異地備份。
37%的受訪者選擇了中優(yōu)先級的建設(shè)需求,并且在中優(yōu)先級里更多人選擇了網(wǎng)絡(luò)與信息安全;34%的受訪者選擇了高優(yōu)先級的建設(shè)需求,并且在高優(yōu)先級里更多人選擇了健全安全管理機(jī)制和制度建設(shè);30%的受訪者選擇了低優(yōu)先級的建設(shè)需求,并且在低優(yōu)先級里更多人選擇了網(wǎng)絡(luò)安全。
受訪單位對業(yè)務(wù)安全需求的比例
關(guān)于企業(yè)對業(yè)務(wù)安全的需求,除IT資產(chǎn)的安全事件警告外,更多的受訪者選擇了加強(qiáng)應(yīng)用審計(jì)、數(shù)據(jù)保密和數(shù)據(jù)庫審計(jì),其占比分別為7%、5%和5%。
3. 如何主動防御?
主動防御并不等價于“最好的防守是進(jìn)攻”,企業(yè)首先挑起網(wǎng)絡(luò)入侵是違法的,恰當(dāng)?shù)鸟v點(diǎn)應(yīng)當(dāng)是“發(fā)現(xiàn)攻擊而針對性的回?fù)簟@取證據(jù)”。要真正實(shí)現(xiàn)主動防御,一個實(shí)時的網(wǎng)絡(luò)安全視圖和安全運(yùn)行調(diào)度平臺是必不可少的。但首先企業(yè)需要做好很多專項(xiàng)性的工作,例如組織架構(gòu)、管理制度、系統(tǒng)基線、業(yè)務(wù)連續(xù)性計(jì)劃、事件處理、漏洞和威脅情報(bào)管理、開發(fā)安全、實(shí)時偵測審計(jì)等等。所有分項(xiàng)工作應(yīng)當(dāng)圍繞的核心安全觀是“我們需要控制什么樣的風(fēng)險?”。
受訪單位已采取的主動安全行動的比例
沒有匹配的人員安全素質(zhì),企業(yè)中先進(jìn)的體系、平臺和工具的效益將大打折扣;其次人的情緒具有波動性,新技術(shù)、新環(huán)境也要求人員緊跟變化,唯有持續(xù)教育才能保持人才隊(duì)伍的專業(yè)與信心,使之成為企業(yè)寶貴的資源。70%的受訪者認(rèn)為需要提高全員的信息安全意識。
受訪單位對人員安全素質(zhì)期望的比例
四、適應(yīng)未來
1. 醫(yī)療數(shù)字化成為一種趨勢
互聯(lián)網(wǎng)+、移動醫(yī)療、大數(shù)據(jù)、人工智能近年來取得的成功診療案例將激勵醫(yī)療單位向此進(jìn)軍。面對穩(wěn)步上升的醫(yī)療數(shù)字化趨勢,企業(yè)安全部門應(yīng)當(dāng)砥礪前行,準(zhǔn)備好迎接下一個風(fēng)險管理浪潮。
受訪單位應(yīng)對數(shù)字化風(fēng)險認(rèn)識的比例
2. 醫(yī)療數(shù)字化的風(fēng)險
新技術(shù)的產(chǎn)生在提升工作效率和生產(chǎn)力的同時,不可避免會產(chǎn)生新的問題以及挑戰(zhàn)。互聯(lián)網(wǎng)+,物聯(lián)網(wǎng),人工智能的引入會提高系統(tǒng)的復(fù)雜性,越來越復(fù)雜的程序是沒有有效的方法來證明系統(tǒng)是沒有缺陷的。
受訪單位對智能醫(yī)療設(shè)備擔(dān)憂的比例
受訪單位對自身發(fā)展中控制風(fēng)險認(rèn)識的比例
自主開發(fā)不是規(guī)避風(fēng)險的必選項(xiàng),醫(yī)療單位依據(jù)專業(yè)、人力、成本和安全的多因素綜合制定軟件開發(fā)策略是正確的。無論是自主開發(fā)、外包開發(fā)或采購成品都有軟件安全性控制的方法。勤勉和盡職適用于安全的每一個領(lǐng)域,即便我們對它一無所知。“沒有采取特別措施保證軟件安全”和“不能測試軟件的安全性”都是不可取的。
受訪單位對自身移動醫(yī)療風(fēng)險控制的比例
受訪單位醫(yī)療移動辦公業(yè)務(wù)實(shí)現(xiàn)的比例
醫(yī)療信息系統(tǒng)尤其是引入智能化之后,更多的安全挑戰(zhàn)接踵而來。根據(jù)調(diào)查數(shù)據(jù)顯示,絕大多數(shù)醫(yī)療企業(yè)的智能醫(yī)療設(shè)備國產(chǎn)化率占比偏低,更多的還是依賴于進(jìn)口設(shè)備和軟件來提供服務(wù),由此很可能會導(dǎo)致信息泄露,數(shù)據(jù)丟失等安全問題。加強(qiáng)對醫(yī)療設(shè)備的安全監(jiān)管和安全審查是必不可少的。
受訪單位對自身智能醫(yī)療設(shè)備國產(chǎn)化率占比的比例
79%的受訪者表示會與醫(yī)保單位共享數(shù)據(jù),而數(shù)據(jù)共享對象占比位于其后的是上級衛(wèi)生主管部門。當(dāng)前絕大多數(shù)醫(yī)院和醫(yī)院之間,醫(yī)療設(shè)備廠商之間仍處于信息孤島狀態(tài)。“醫(yī)療信息包含了患者關(guān)鍵個人信息和隱私”這一特性使得醫(yī)療數(shù)據(jù)的進(jìn)一步開放和互聯(lián)互通變得愈加困難,而如何打破這一壁壘,實(shí)現(xiàn)醫(yī)療數(shù)據(jù)更進(jìn)一步的安全交互,依然是我們以后在漫漫探索道路上需要去關(guān)注和尋求突破的挑戰(zhàn)。
受訪單位對自身企業(yè)與其他企業(yè)共享數(shù)據(jù)類型的比例
受訪單位對與自身企業(yè)有數(shù)據(jù)共享的企業(yè)的比例
五、系統(tǒng)合規(guī)
1. 建立信息系統(tǒng)等級保護(hù)
由于信息系統(tǒng)結(jié)構(gòu)是應(yīng)社會發(fā)展、科技進(jìn)步和工作生活的需要而設(shè)計(jì)、建立的,是社會構(gòu)成、行政組織體系的反映,因而這種系統(tǒng)結(jié)構(gòu)是分層次和級別的,而其中的各種信息系統(tǒng)具有其相應(yīng)的社會和經(jīng)濟(jì)價值,不同的系統(tǒng)具有不同的價值。系統(tǒng)基礎(chǔ)資源和信息資源的價值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是安全級別的客觀體現(xiàn)。信息安全等級保護(hù)必須符合客觀存在和發(fā)展規(guī)律,其分級、分區(qū)域、分類和分階段治理是做好國家信息安全等級保護(hù)的重要前提。
受訪單位對等級保護(hù)認(rèn)識的比例
61%的受訪者表示其企業(yè)的信息系統(tǒng)定級為等級保護(hù)三級。在這里我們需要注意的是,科學(xué)、客觀、準(zhǔn)確的對信息系統(tǒng)進(jìn)行定級是確保后續(xù)對信息系統(tǒng)進(jìn)行有效安全建設(shè)的關(guān)鍵所在。
受訪單位對自身企業(yè)信息系統(tǒng)等級保護(hù)定級的比例
受訪單位對自身企業(yè)信息系統(tǒng)定級備案的比例
39%的受訪者表示其企業(yè)已經(jīng)對信息系統(tǒng)進(jìn)行了等級保護(hù)測評,但仍有36%的受訪者表示其企業(yè)暫時沒有對信息系統(tǒng)進(jìn)行等級保護(hù)測評。信息系統(tǒng)等級保護(hù)測評是對等級保護(hù)運(yùn)行和落實(shí)情況的綜合檢測和評估,按規(guī)定期進(jìn)行測評才能幫助我們?nèi)娌⒓皶r的發(fā)現(xiàn)問題。
受訪單位對自身企業(yè)信息系統(tǒng)等級保護(hù)測評的比例
六、總結(jié)
醫(yī)療行業(yè)的信息安全與人民群眾生命安全、隱私保障、乃至社會秩序的良好維持都是息息相關(guān)的,優(yōu)質(zhì)的信息安全治理和管理絕非一日之功,它是一個動態(tài)的、需要不斷去完善的過程。外部挑戰(zhàn)和威脅的日新月異、投資預(yù)算的有限制約、合理有效的管理手段匱乏、對安全技術(shù)方法認(rèn)知的不足、對安全投資效益的理解失誤、對風(fēng)險的漠視和僥幸心理等都是掣肘信息安全的因素。醫(yī)療行業(yè)需要不斷提高安全風(fēng)險評估能力,緊跟信息技術(shù)潮流,合規(guī)合法的組織信息安全防護(hù)工作。醫(yī)療行業(yè)主管機(jī)構(gòu)基于網(wǎng)絡(luò)安全法和等級保護(hù)制度加強(qiáng)對醫(yī)療執(zhí)業(yè)單位的信息安全監(jiān)管是一種非常高效的治理手段。
京公網(wǎng)安備 11010502049343號