——张 蕾 韩作为 舒 婷*

医疗行业利用信息化技术为患者提供便捷医疗服务的同时，也伴随产生了大量的医疗数据，这些数据与患者隐私、医疗行为、医学研究紧密相关[1]。对于医疗事业单位而言，提高应对网络安全事件的能力和建立网络安全应急机制十分必要。分析《中华人民共和国网络安全法》《国家网络安全事件应急预案》《中华人民共和国国民经济和社会发展第十三个五年规划纲要》《中华人民共和国基本医疗卫生与健康促进法》等法律法规可以发现，国家对医疗行业的网络安全工作高度重视。但在信息化蓬勃发展之际，医疗事业单位所面临的网络安全风险也越来越多，无论是管理还是人才培养等方面都相对滞后，网络安全整体状况不理想。因此，制定健全的网络安全管理制度，建立高效可行的技术架构体系，才能保障医疗事业单位网络安全[2]。

1 网络安全管理存在的问题

随着社会的快速发展，互联网技术的应用范围不断扩大，与此同时，黑客入侵、恶意软件、病毒泛滥、数据信息泄露等网络安全攻击事件也越来越多[3]。作为国家医疗行业行政管理和科学研究以及为政府机关提供决策支持的医疗事业单位，其网络安全建设和管理尤为重要。分析医疗行业网络安全面临的严峻形势，目前医疗事业单位网络安全管理工作主要存在以下几方面的问题。

1.1 制度不健全

2018年，国务院办公厅印发了《关于促进“互联网+医疗健康”发展的意见》，提出了促进互联网与医疗健康深入融合发展的一系列政策措施，其中加强行业监管和安全保障，对强化医疗质量监管，保障数据安全等方面提出了具体要求。由国务院直属多部门共同负责，要求各地区、各有关部门及时出台配套政策措施，明确责任，严格执行信息安全和健康医疗数据保密规定，完善各项信息保护制度，定期开展信息安全隐患排查以及监测预警等工作[4]。2019年，国家卫生健康委员会和国家中医药管理局联合印发了《关于落实卫生健康行业网络信息与数据安全责任的通知》，要求行业内各部门要制定相关规章制度和标准规范，建立行业监测预警、巡查抽查制度和网络安全事件处置机制等[5]。

从中国信息安全测评中心对我国医疗行业信息系统的网络安全测评结果来看，绝大多数医疗信息系统都存在监管不力、制度不完善、安全管理机构职责不明、人员安全意识淡薄等问题[6]。这些都表明了医疗行业事业单位在网络安全管理制度方面存在漏洞，严重影响了网络安全工作的有效实施，同时在应对网络安全突发事件时，缺乏有效的应急处理机制，甚至会造成严重的网络安全事件[7]。

1.2 技术及管理人才短缺

在网络安全管理工作中，人员的储备和管理十分重要。近年来，国家对网络安全高度重视，医疗行业的网络安全是我国网络安全的重要组成部分。例如，某医疗行业事业单位因自身人才短缺等原因，在信息系统日常维护中，不能做到全面排查，及时发现并改正问题，导致未能及时发现信息系统的漏洞，未进行及时修复，被恶意利用，引发安全事件[8]。

医疗事业单位大多缺乏专职的网络安全管理人员和技术人员，工作人员一般不具备专业知识，在日常工作中无法对网络系统进行定期检查和维护，面对突发网络安全事件时，无法进行有效处理，而且在业务系统的建立及管理工作中参与度有限，影响了医疗事业单位网络安全管理的规划和日常技术管理工作[9-10]。

1.3 培训教育不及时

网络安全意识以及安全技能等方面的培训可以提高网络安全管理人员的能力，有些单位却忽略了对职工网络安全意识的培养，职工能够参与并接触到的网络安全培训机会非常少，从而导致许多职工的网络安全知识匮乏或网络安全意识淡薄。因此，在完善网络安全制度建设的同时，也应通过培训，不断提高工作人员安全意识，降低因人员误操作或无意识中泄露隐私数据而带来的安全风险。

1.4 管理及应对措施不到位

腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示，2018年全国有247家三甲医院检测出了勒索病毒。2019年初，某省几十家互联互通医院同时感染GlobeImposter 3.0变种勒索病毒而被加密，在众多感染该病毒的机构中，医疗事业单位占一半，这使之遭遇了巨大的经济损失[6]。可见，医疗行业的网络安全管理缺乏经验和整体思路，在职人员的网络安全维护技术水平也相对薄弱。监测预警和应急处置是加强网络安全工作的重要内容，尤其是当涉及到关键信息、基础设施、重要系统时，必须进行专业的实时监测，建立立体化的监测预警体系，并能第一时间发现并处置问题。而在实际工作中，会因从业人员网络安全管理知识和经验不足、防护措施不到位、缺乏必要的网络安全防御设备等问题导致被动应对，未能提前做好动态管理及相应的主动防御。

2 网络安全管理建议

2.1 完善组织管理，建立健全管理制度

于2020年6月1日起实施的《中华人民共和国基本医疗卫生与健康促进法》提出，因医疗卫生机构的医疗信息安全制度、保障措施不健全，导致医疗信息泄露，或者医疗质量管理和医疗技术管理制度、安全措施不健全的，对直接负责的主管人员和其他直接责任人依法追究法律责任[11]。2016年印发的《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》强调，强化安全管理责任，有效保护个人隐私和信息安全、建立安全防护、系统互联共享、公民隐私保护等软件的评价和安全审查制度[12]。2018年印发的《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》中也提到，责任单位应当建立健全相关安全管理制度、操作规程和技术规范，落实“一把手”责任制，加强安全保障体系建设，强化统筹管理和协调监督，保障健康医疗大数据安全[13]。以上法律文件均从不同角度强调了医疗行业网络安全的重要性，因此任何医疗事业单位都应当建立健全网络安全规章制度，通过制度的约束和严格的管理辅助日常工作。(1)组织制定信息安全管理制度和规范；(2)成立信息化和网络安全领导小组，组建专门的信息化和网络安全队伍，研究网络安全管理及发展机制；(3)对网站、信息系统的开发、运维、升级改造等进行安全把控，保障本单位的信息化工作安全有序开展。

2.2 加强人员储备及管理

保障网络安全的所有环节都需要人来参与，从管理到实操，人是最关键的因素之一。人员储备应该包括负责顶层设计的管理人员、实际操作的技术人员以及维护人员等。

医疗事业单位大多没有足够的专业人员来建立自己的网络安全管理团队，这种情况必须考虑扩充人才队伍，主要由两部分人员组成：(1)内部人员。为本单位长期聘用人员，服从单位的各项制度管理；(2)外部人员。为向本单位提供服务的外单位人员，如软硬件维护和技术支持人员、网络安全顾问等。

2.3 提高思想认识

对于医疗事业单位尤其是网络专业技术人员数量有限的科研机构来说，加强网络安全培训、知识普及和业务交流是提升工作人员思想认识和基础知识水平的有效途径，可以通过以下几种方式进行：(1)加强网络安全等级保护和关键信息基础设施保护的政策宣贯；(2)强化培训教育、业务交流等方式，推动网络安全人才教育培训体系建设，达到强化全体职工网络安全理念、提高网络安全意识等目的；(3)通过组织网络安全应急演练，开展网络攻防演习等活动，提高技术工作人员的实战能力。

3 构建监测预警与应急处置体系

2005年颁布的《国家突发公共事件总体应急预案》提出，应建立我国应急预案体系的基本框架。并明确指出，各单位要做好网络安全事件的日常预防工作，制定完善应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，提高网络安全事件的应对能力[14]。

3.1 监测预警

《中华人民共和国网络安全法》要求，国家层面建立统一的监测预警、信息通报和应急处置机制，各单位也应当建立自己的网络安全监测预警体系，以便尽早发现事件的隐患，及时上报并采取有效措施，避免信息数据泄露等事件发生[15]。

建立监测预警体系一般分为预警分级、预警监测、预警研判和发布、预警响应、预警解除5个部分。(1)预警分级可由高到低用不同颜色表示事件的级别和严重程度。(2)预警监测主要是对远期预警信息的监测，建立相关网络信息与数据安全事件预警和监控系统，并结合第三方监测信息，及时发现并上报网络安全威胁或事件发生的迹象和趋势。(3)建立预警信息专家研判队伍，完善预警上报及发布的流程和规范。由专家对监测信息进行研判，如需要立即采取防范措施的，应及时向有关部门和单位发布预警信息；如涉及重大网络安全事件的，应立即向上级主管单位报告。发布预警信息应当包含类别、级别、起始时间、影响范围、警示事项、应采取的措施和时限等要求。(4)在收到预警信息后，应立即进入预警状态，并按照相关应急预案开展相关工作。(5)当获得上级部门或者本单位相关管理部门授权后，发布预警解除信息。

3.2 应急处置

应急处置要求在网络安全事件应急响应过程中建立跨部门联动的应急处置体系，需要行政管理部门、业务管理部门以及技术支持部门的通力配合。应急处置体系一般分为发现网络安全事件、先期处置、基本响应、分级响应、扩大应急、应急结束等环节。(1)当发现网络安全事件时，应第一时间上报至本单位的信息安全领导小组办公室，信息安全领导小组办公室统筹协调，组织技术团队核实事件的真实性，并做好相关信息的保密工作。(2)当核实为真实事件后，上报至上级行政主管部门，同时组织相关专家和技术团队对事件进行研判并确定事件等级，做好信息通报工作。(3)根据专家研判结果，启动相应级别的应急方案。一般可将事件基本分成高级、中级、低级等级别，可结合本单位实际情况增加分级级别。级别不同，应急响应的时间也有所区别。同时成立现场应急指挥部，相关部门进入应急状态，并及时将有关信息上报至上级行政主管单位。(4)根据事件级别，应急响应也可分级别响应，通常跟事件分级相对应。应急响应过程和具体执行步骤需要根据级别的不同分别设定。(5)扩大应急状态通常指在应急处置过程中，如果事态有所发展，事件级别应由原先专家研判的级别提升至更高级，并及时启动高级响应的相关预案。(6)当网络安全事件应急处置完成，次生、衍生危害基本消除，风险得到控制，即宣告应急处置工作结束。如为高级别事件，应由领导小组办公室向上级行政主管部门提出申请，经批准后通报应急结束。

4 小结

医疗事业单位在日常网络安全管理中存在不足，应根据国家出台的相关政策及法律法规，建立检测预警与应急处置体系。当前，我国医疗行业信息化非常快速，传统医疗与新兴技术的深度融合促进了医疗卫生行业的服务水平，但所面临的网络安全风险也逐渐加大。医疗行业掌握了大量的、可利用的信息，但整体应对网络安全的防护水平不高以及应对网络安全防护的能力较弱。因此，医疗事业单位网络安全工作需要管理部门的组织协调、沟通，并以强大的技术团队作为支撑，不断加强顶层设计，提升管理和技术能力，以有效推进网络安全管理工作的持续发展。