等級(jí)保護(hù)測(cè)評(píng)費(fèi)用:受各種原因影響,不一樣的省份����、地區(qū),收費(fèi)規(guī)范都不一樣��,并且測(cè)評(píng)費(fèi)用還受測(cè)評(píng)新項(xiàng)目總數(shù)的影響�,假如企業(yè)必須測(cè)評(píng)的新項(xiàng)目多�,必須支出的測(cè)評(píng)費(fèi)用當(dāng)然也更高一些。一般來說����,二級(jí)等保測(cè)評(píng)費(fèi)用在6萬(wàn)以上,三級(jí)等保測(cè)評(píng)費(fèi)用在9萬(wàn)以上���。且企業(yè)特別注意�����,測(cè)評(píng)費(fèi)用一般不包含整改費(fèi)用�����。
醫(yī)療行業(yè)是勒索軟件威脅的關(guān)鍵目標(biāo)����。患者的單體數(shù)據(jù)具有很高的價(jià)值�,病歷和藥物成為數(shù)據(jù)泄露的主要內(nèi)容,因此建立安全的網(wǎng)絡(luò)架構(gòu)尤為重要�����。
2007年����,公安部等四部門發(fā)布了《信息安全》[k管理措施(以下簡(jiǎn)稱.0),為信息安全建設(shè)提供了框架標(biāo)準(zhǔn)的具體要求����。根據(jù)相關(guān)政策文件,原衛(wèi)生部于2011年發(fā)布了《衛(wèi)生行業(yè)信息安全》等級(jí)保護(hù)《工作指引》明確指出�����,三級(jí)甲等醫(yī)院核心業(yè)務(wù)體系必須通過三級(jí)安全評(píng)估��。近年來,隨著云計(jì)算����、移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展,以往的安全結(jié)構(gòu)面臨著越來越多的挑戰(zhàn)���,醫(yī)療機(jī)構(gòu)中的各種信息安全事故時(shí)有發(fā)生����。面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)�����,
2019年5月���,信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求:.0)正式發(fā)布醫(yī)療行業(yè)帶來了新的安全規(guī)范和要求。
等保2.0增加了顯著的新的變化和建設(shè)要求��,主要體現(xiàn)在以下四個(gè)方面:
(1)覆蓋對(duì)象的變化����。新規(guī)范中的對(duì)象不僅包括傳統(tǒng)對(duì)象,還增加了大數(shù)據(jù)平臺(tái)���、物聯(lián)網(wǎng)���、移動(dòng)互聯(lián)網(wǎng)等新興事物的主體�。
(2)安全要求的變化�����。安全擴(kuò)展的邊界更側(cè)重于考慮大數(shù)據(jù)技術(shù)和互聯(lián)網(wǎng)技術(shù)等便利技術(shù)同時(shí)產(chǎn)生的安全風(fēng)險(xiǎn)�。
(3)分類結(jié)構(gòu)的變化。等保2.0定義了兩個(gè)技術(shù)部分和管理部分���。技術(shù)部分側(cè)重于物理環(huán)境����、通信網(wǎng)絡(luò)�、網(wǎng)絡(luò)邊界、計(jì)算和整體框架��;管理部分包括管理系統(tǒng)�、管理機(jī)構(gòu)、管理人員�、施工跟蹤和連續(xù)運(yùn)行維護(hù)
(4)強(qiáng)調(diào)云連接的安全性。它不僅需要以前的基礎(chǔ)設(shè)施和公共云的安全性,還需要增加虛擬化等私有云的安全內(nèi)容��,甚至涉及云服務(wù)提供商資格和云計(jì)算環(huán)境等制度性強(qiáng)制性審計(jì)要求���。
某三級(jí)?��?漆t(yī)院,主要診斷和治療心肺疾病�����。它一直非常重視信息安全�。根據(jù)以往的要求,醫(yī)院的核心業(yè)務(wù)系統(tǒng)和門戶系統(tǒng)于2018年6月通過了等保1.0安全評(píng)估���。醫(yī)院為等保2.0合求的新變化��,結(jié)合現(xiàn)有的醫(yī)院基礎(chǔ)�����,進(jìn)行了全面的頂層設(shè)計(jì),制定了新的整改方案����,升級(jí)主要體現(xiàn)在三個(gè)關(guān)鍵方面��。
2.1.擴(kuò)大覆蓋范圍�����,擴(kuò)大新場(chǎng)景
醫(yī)院信息系統(tǒng)在原有的基礎(chǔ)上進(jìn)行了分類和擴(kuò)展���,增加了特定的技術(shù)領(lǐng)域,并將其重新劃分為兩個(gè)范圍:傳統(tǒng)應(yīng)用和新應(yīng)用�。傳統(tǒng)應(yīng)用是指支持醫(yī)院所需的基本業(yè)務(wù)系統(tǒng),包括醫(yī)療業(yè)務(wù)系統(tǒng)(HIS)���、實(shí)驗(yàn)室系統(tǒng)(LIS)�、放射檢查系統(tǒng)(RIS)��、行政辦公系統(tǒng)和物流運(yùn)維系統(tǒng)�����。新應(yīng)用是指圍繞人機(jī)交互系統(tǒng)�����、數(shù)據(jù)分析平臺(tái)、云數(shù)據(jù)存儲(chǔ)平臺(tái)等特定新技術(shù)的應(yīng)用���。
2.2.細(xì)化分類結(jié)構(gòu)�����,確保標(biāo)準(zhǔn)化
醫(yī)院依據(jù)等保2.0中的基本要求�����、設(shè)計(jì)要求和評(píng)價(jià)要求產(chǎn)生了相應(yīng)的分類結(jié)構(gòu)���。在相應(yīng)的分類結(jié)構(gòu)下,綜合考慮安全�、流程、系統(tǒng)和人員的相關(guān)要求��,通過合規(guī)檢查加強(qiáng)管理規(guī)范�,配置安全設(shè)備阻擋內(nèi)外攻擊,設(shè)置防御策略保護(hù)數(shù)據(jù)�,提高應(yīng)急處理能力,形成安全通信網(wǎng)絡(luò)的保護(hù)體系結(jié)構(gòu)�����,安全區(qū)域邊界�、安全計(jì)算環(huán)境和安全管理中心。
2.3.嵌入式可信計(jì)算���,全過程管理
醫(yī)院加強(qiáng)了使用可信計(jì)算技術(shù)的要求�����,并在1~4級(jí)提出了可信建?����?臻g�?����?尚膨?yàn)證完全包含在同等保險(xiǎn)評(píng)估的水平中�,并逐步提出每個(gè)環(huán)節(jié)的主要信任鏈實(shí)體內(nèi)容?��;谙到y(tǒng)指導(dǎo)程序�����、系統(tǒng)程序�����、重要配置參數(shù)和通信應(yīng)用程序的可信設(shè)備傳輸數(shù)據(jù)流���,涵蓋應(yīng)用程序的所有收集和執(zhí)行鏈接���,并將最終驗(yàn)證結(jié)果形成審計(jì)記錄發(fā)送到安全管理中心�,方便醫(yī)院信息管理人員動(dòng)態(tài)感知鏈接相關(guān)細(xì)節(jié)�。加強(qiáng)醫(yī)院獨(dú)立可控的可信應(yīng)用��,實(shí)現(xiàn)網(wǎng)絡(luò)中的全閉環(huán)�,實(shí)時(shí)安全動(dòng)態(tài)監(jiān)控�����。
醫(yī)院信息系統(tǒng)按等保2.0以安全管理平臺(tái)為中心,圍繞標(biāo)準(zhǔn)的合規(guī)要求�,建立了安全計(jì)算環(huán)境���、安全區(qū)域邊界��、安全網(wǎng)絡(luò)通信的三重防御系統(tǒng),設(shè)計(jì)了內(nèi)外網(wǎng)絡(luò)信息交互的安全可信互連模型���,確保整改后的安全應(yīng)用交互和數(shù)據(jù)傳輸。
