王逊

重庆市精神卫生中心 重庆 401147

前言

如今，我们已经进入了互联网时代，人们的生产生活离不开网络的支持。在此情况之下，保障网络安全和信息技术应用安全成为信息化发展环节的关键性问题。等保2.0的提出，进一步明确的网络安全等级保护的标准和要求，将会为各行各业的网络信息安全管理提供制度保障。

1 等保2.0概述

等保2.0即网络安全等级保护2.0制度，主要用于国家网络安全领域，是基本制度，更是国策。该制度脱胎于等保1.0制度，但对后者进行了进一步优化，不仅丰富了制度内涵，让网络安全等级保护的技术要义更为精确，还使网络安全框架的设计要求得到了统一。在等保2.0当中，安全扩展要求、安全通用要求和安全管理要求都属于其安全基本要求；其中，针对云计算、物联网等新型信息技术的安全管理要求是等保1.0中未涵盖的，属于安全扩展要求。

同时，等保2.0安全通用要求的技术要求定义被进一步明确，主要的技术细节部分包含安全物理环境、安全通信网络、安全计算环境、安全区域边界和安全管理中心[1]。在这一标准之下，对信息安全保护提出了新的技术要求。比如，为机房配备电子门禁系统和视频监控系统，合理划分机房管理区域，有效制定防静电、防雷电、防水监测，从而构建安全物理环境；提高网络设备的业务处理能力与带宽、应用密码保密技术和动态验证模式，让网络通信安全得以加强；基于密码技术鉴别身份，强化审计进程访问和操作安全，有效防御恶意攻击与未知外访，实现数据多元备份和完整保密储存、传输，进而优化安全计算环境；基于安全管理员配置安全策略，监测服务器、安全设备等组件状态，收集处理设备审计数据等，让安全管理中心的价值得以充分发挥。

2 医院信息安全管理的新要求

与等保1.0相比，等保2.0的安全通用要求管理细节有强有弱。所以，医院在开展信息安全管理时，也应该根据等保2.0提出的新要求而进行灵活调整。为此，医院管理人员应该对标等保2.0三级标准，基于等保1.0和现有安全管理方案，进一步开展优化，从而为提升医院等保测评效果提供辅助。

2.1 安全管理制度与机构

为了满足等保2.0安全通用要求中的管理要求，医院在开展信息安全管理时应该积极构建安全管理制度体系，从而让安全管理制度变得更具系统性和科学性，为安全管理工作的顺利开展提供制度保障。同时，在安全管理机构建设方面，医院也应该进行更为科学地规划。比如，建立专门的网络安全管理领导小组和逐级审批制度，明确安全管理人员岗位职责与工作内容；定期开展全面安全检查与审批信息更新，开展安全检查报告和结果通报等。

2.2 安全管理人员

在等保2.0实行以后，安全管理人员也面临着新的工作要求。在实践中，医院信息安全管理人员必须具备专业能力和敬业态度，无论是在职还是离职，都必须严守工作机密，保护医院信息安全。比如，强化入职前的政审以及专业技能考核，确保安全管理人员的能力、心理素质以及思想道德观念足以胜任本职工作；同时，还需要与安全管理人员签署保密协定，通过合同条款明确规定岗位工作权责，从而为确保安全管理人员工作尽职、保守机密奠定基础。当然，在安全管理人员工作环节，还应该不断提升安全意识，若有外部人员意图访问系统则必须严格检查他们的访问授权，若无授权则不允许访问且安全管理人员需立刻向上级汇报异常情况[2]。此外，开展人力资源管理时，相关工作人员也需要重视离职人员管理。比如，制定严谨的离职手续办理流程、与离职人员签署保密协定等，为避免因离职而泄密做好准备。

2.3 安全建设管理

在安全建设管理当中，医院应该做好整体安全保护方案的规划和设计工作，同时还应通过专家审核确定计划可行，从而为满足等保2.0要求做好准备。在实践中，相关工作人员应该开展更为全面的审核和监督工作。比如，应用第三方监理制度，全面审核监督服务供应商能力，基于选型测试结果确定外部产品供货渠道等。

2.4 安全运维管理

安全运维管理同样是医院信息安全管理的重要内容，等保2.0也对此方面工作提出了许多新的要求。比如，专门分析网络日志与报警信息；对变更性运维进行严格审批与管控；提高授权管理严谨性，保证内外连接均获得授权；定期开展安全检查，验证恶意代码攻击技术的应用有效性和网络安全性；完善变更处理程序，保证其申报、审批、管理、记录与反馈等程序的完整性和有序性；加强合同管理，与外包运维服务商签订内容明确、权责分明的运维管理协议。

3 结束语

总而言之，等保2.0的提出，有助于进一步提升国家网络安全，可以为推进信息化发展提供辅助。对于医院而言，等保2.0的实行为医院信息系统的等保测评提供了明确标准，能更为全面地开展医院信息技术应用评价，可有效提升医院的信息安全水平，从而为医院平稳运转奠定基础。