《医疗卫生机构网络安全管理办法》发布，首部垂直行业领域管理办法

发布日期：2022-09-06

自2016年《网络安全法》颁布后，各行业纷纷出台适用于垂直行业领域的网络安全管理办法。据不完全统计，目前已有电力、水利、金融、医疗等十余个行业发布网络安全专项管理办法，如：《电力行业网络安全管理办法（修订征求意见稿）》《水利网络安全管理办法 (试行)》《证券期货业网络安全管理办法（征求意见稿）》

近日，国家卫生健康委、国家中医药局、国家疾控局三部门联合发布了《医疗卫生机构网络安全管理办法》（以下简称《管理办法》），是我国目前垂直行业领域内首部正式发布的网络安全管理办法。

《管理办法》是依据《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等法规标准制定，旨在加强医疗卫生机构网络安全管理，防范网络安全事件发生，推动整个行业的安全健康有序发展。

随着电子病历、互联网医疗、AI医疗影像等应用的普及，医疗数字化浪潮袭来。然而，数字化技术的使用同样也带来新的安全风险。近年来，医疗系统遭遇网络攻击的事件时有发生，数据泄露也屡见不鲜。《2021年度高级威胁态势研究报告》显示，2021年全球高级威胁攻击事件中，医疗部门是攻击的重点目标。

《管理办法》指出，各类医疗机构应坚持分等级保护、突出重点。重点保障关键信息基础设施、网络安全等级保护第三级（以下简称第三级）及以上网络以及重要数据和个人信息安全。并要求落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。

随着高质量发展纵深推进，全国卫生健康领域迎来重要机遇期，信息化发挥着关键的支撑作用，在此过程中产生的医疗健康数据不仅是重要的生产要素，更是国家基础性战略资源，因此网络安全的重要性日益凸显。在此背景下，《管理办法》的发布，进一步规范了医疗卫生机构网络和数据安全管理、促进“互联网+医疗健康”发展，加快推动卫生健康行业高质量发展进程。

对于医疗卫生机构而言，该《管理办法》落实也将面临一些挑战。开展网络安全等级测评和安全自查将作为医疗卫生机构的法定义务，由于本办法自实施之日即生效，对于部分医疗卫生机构而言，需要一定的时间并组织人力物力立即开展自查工作。对于正在进行的网络设施和信息系统建设提出了更高的要求，需要在新建时即满足本办法的要求（包括新建信息化项目的网络安全预算不低于项目总预算的5%的要求），可能需要对相关在进项目的工作内容进行补强调整。

根据等保2.0“安全计算环境”部分，要求通信过程必须保护数据传输的机密性、完整性，并实现身份鉴别。GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》也规定了信息系统在网络和通信安全层面，涉及到通信的主体（通信双方）、信息系统与网络边界外建立的网络通信信道，应采用密码技术（HTTPS协议）保护通信信道传输安全。建议医疗卫生机构及相关集成商在信息系统建设中，可以应用沃通SSL证书、沃通国密SSL证书为网络通信实现数据传输加密，保护传输数据安全、鉴别通信主体身份，满足法规标准要求。