等級保護測評費用:受各種原因影響��,不一樣的省份��、地區(qū)�,收費規(guī)范都不一樣,并且測評費用還受測評新項目總數(shù)的影響�����,假如企業(yè)必須測評的新項目多���,必須支出的測評費用當然也更高一些����。一般來說�����,二級等保測評費用在6萬以上����,三級等保測評費用在9萬以上����。且企業(yè)特別注意,測評費用一般不包含整改費用����。
醫(yī)療行業(yè)是勒索軟件威脅的關鍵目標。患者的單體數(shù)據(jù)具有很高的價值�,病歷和藥物成為數(shù)據(jù)泄露的主要內(nèi)容,因此建立安全的網(wǎng)絡架構尤為重要��。
2007年��,公安部等四部門發(fā)布了《信息安全》[k管理措施(以下簡稱.0)��,為信息安全建設提供了框架標準的具體要求�。根據(jù)相關政策文件,原衛(wèi)生部于2011年發(fā)布了《衛(wèi)生行業(yè)信息安全》等級保護《工作指引》明確指出�,三級甲等醫(yī)院核心業(yè)務體系必須通過三級安全評估。近年來���,隨著云計算��、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展�����,以往的安全結構面臨著越來越多的挑戰(zhàn)��,醫(yī)療機構中的各種信息安全事故時有發(fā)生�。面對嚴峻的網(wǎng)絡安全形勢�����,
2019年5月,信息安全技術網(wǎng)絡安全等級保護基本要求:.0)正式發(fā)布醫(yī)療行業(yè)帶來了新的安全規(guī)范和要求���。
等保2.0增加了顯著的新的變化和建設要求�����,主要體現(xiàn)在以下四個方面:
(1)覆蓋對象的變化��。新規(guī)范中的對象不僅包括傳統(tǒng)對象�����,還增加了大數(shù)據(jù)平臺���、物聯(lián)網(wǎng)���、移動互聯(lián)網(wǎng)等新興事物的主體���。
(2)安全要求的變化。安全擴展的邊界更側(cè)重于考慮大數(shù)據(jù)技術和互聯(lián)網(wǎng)技術等便利技術同時產(chǎn)生的安全風險��。
(3)分類結構的變化。等保2.0定義了兩個技術部分和管理部分���。技術部分側(cè)重于物理環(huán)境���、通信網(wǎng)絡、網(wǎng)絡邊界�、計算和整體框架;管理部分包括管理系統(tǒng)�����、管理機構�、管理人員、施工跟蹤和連續(xù)運行維護
(4)強調(diào)云連接的安全性�����。它不僅需要以前的基礎設施和公共云的安全性�,還需要增加虛擬化等私有云的安全內(nèi)容,甚至涉及云服務提供商資格和云計算環(huán)境等制度性強制性審計要求����。
某三級專科醫(yī)院�,主要診斷和治療心肺疾病�。它一直非常重視信息安全��。根據(jù)以往的要求�����,醫(yī)院的核心業(yè)務系統(tǒng)和門戶系統(tǒng)于2018年6月通過了等保1.0安全評估����。醫(yī)院為等保2.0合求的新變化,結合現(xiàn)有的醫(yī)院基礎����,進行了全面的頂層設計,制定了新的整改方案��,升級主要體現(xiàn)在三個關鍵方面���。
2.1.擴大覆蓋范圍�,擴大新場景
醫(yī)院信息系統(tǒng)在原有的基礎上進行了分類和擴展��,增加了特定的技術領域�����,并將其重新劃分為兩個范圍:傳統(tǒng)應用和新應用�����。傳統(tǒng)應用是指支持醫(yī)院所需的基本業(yè)務系統(tǒng)�,包括醫(yī)療業(yè)務系統(tǒng)(HIS)、實驗室系統(tǒng)(LIS)����、放射檢查系統(tǒng)(RIS)、行政辦公系統(tǒng)和物流運維系統(tǒng)�����。新應用是指圍繞人機交互系統(tǒng)��、數(shù)據(jù)分析平臺����、云數(shù)據(jù)存儲平臺等特定新技術的應用。
2.2.細化分類結構���,確保標準化
醫(yī)院依據(jù)等保2.0中的基本要求�����、設計要求和評價要求產(chǎn)生了相應的分類結構�。在相應的分類結構下,綜合考慮安全�����、流程��、系統(tǒng)和人員的相關要求���,通過合規(guī)檢查加強管理規(guī)范�����,配置安全設備阻擋內(nèi)外攻擊�����,設置防御策略保護數(shù)據(jù)�,提高應急處理能力���,形成安全通信網(wǎng)絡的保護體系結構�����,安全區(qū)域邊界��、安全計算環(huán)境和安全管理中心����。
2.3.嵌入式可信計算��,全過程管理
醫(yī)院加強了使用可信計算技術的要求����,并在1~4級提出了可信建模空間����。可信驗證完全包含在同等保險評估的水平中���,并逐步提出每個環(huán)節(jié)的主要信任鏈實體內(nèi)容����?�;谙到y(tǒng)指導程序、系統(tǒng)程序����、重要配置參數(shù)和通信應用程序的可信設備傳輸數(shù)據(jù)流,涵蓋應用程序的所有收集和執(zhí)行鏈接��,并將最終驗證結果形成審計記錄發(fā)送到安全管理中心�,方便醫(yī)院信息管理人員動態(tài)感知鏈接相關細節(jié)。加強醫(yī)院獨立可控的可信應用�����,實現(xiàn)網(wǎng)絡中的全閉環(huán)��,實時安全動態(tài)監(jiān)控�。
醫(yī)院信息系統(tǒng)按等保2.0以安全管理平臺為中心,圍繞標準的合規(guī)要求�,建立了安全計算環(huán)境、安全區(qū)域邊界����、安全網(wǎng)絡通信的三重防御系統(tǒng),設計了內(nèi)外網(wǎng)絡信息交互的安全可信互連模型���,確保整改后的安全應用交互和數(shù)據(jù)傳輸����。
