医疗行业,作为关系国计民生的关键领域,其信息化标准在科技的推动下不断发展和完善。这些标准涵盖了电子健康记录(EHR)、医疗信息交换、数据安全和隐私保护等多个方面。保护患者隐私和医疗数据的安全在医疗信息化过程中至关重要,这是医疗行业信息化发展的核心要求。随着医疗行业的网络化成为不可逆转的趋势,其信息化标准正致力于促进医疗信息的安全、高效和可持续发展,以满足未来医疗行业快速发展的需求。
随着医疗信息化服务的普及,群众就医的便利性得到了显著提升,然而,这也使得患者隐私保护面临严峻考验。在互联网+医疗的浪潮下,医疗信息有可能成为交易的商品,如医疗信息泄露等问题频发。此外,针对医院的勒索、挖矿等信息安全事件也层出不穷,医院信息系统已成为不法黑客的攻击重点之一。在信息化时代不断发展的进程中,平衡好医疗数据的巨大社会效益与患者隐私保护之间的矛盾显得尤为关键。为了让数据以正能量的方式推动生命科学的发展,发挥其重要价值,我们必须加强医疗系统信息安全的防范能力。为此,国家卫健委及医疗相关机构已出台了大量医疗行业的网络安全标准规范,以应对这些挑战,确保医疗信息化的健康发展。
图:医疗行业部分典型的网络安全标准规范
二、医疗相关网络安全标准
(一)医疗卫生机构网络安全管理办法
2020年8月,为提升医疗卫生机构在网络安全方面的管理能力,国家卫生健康委、国家中医药局以及国家疾控局联合制定了《医疗卫生机构网络安全管理办法》。此办法共计六章三十四条,旨在确保网络安全与人民福祉紧密相连,强调网络安全教育、技术和产业的协同发展,促进发展与依法管理的和谐统一,以及安全可控与开放创新的并重。
办法坚持分等级保护的原则,并突出关键信息基础设施、网络安全等级保护第三级及以上网络以及重要数据和个人信息安全的重点保障。同时,积极采取防御策略,实施综合防护措施,利用人工智能、大数据分析等技术手段,强化安全监测、态势感知、通报预警和应急处置等核心工作。通过落实“实战化、体系化、常态化”的网络安全保护要求,以及“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施,全面提升网络安全防护水平。
此外,办法还强调“管业务就要管安全”的原则,并遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责”的责任分工,确保网络安全责任制的落实,明确各方在网络安全工作中的责任与义务。通过这些措施,旨在确保医疗卫生机构在网络安全方面能够得到有效管理,为人民群众提供更加安全、高效的医疗卫生服务。
(二)医院评级制度相关规范
医院评级制度是一系列规范,旨在评估和分类医院的服务质量和管理水平。这一制度通常由政府或相关机构制定,通过对医院的设施、设备、医疗技术、医疗质量、管理水平以及服务质量等方面进行综合评估,将医院划分为不同的等级。评审和评级作为督导医院持续改进工作的有力工具,发挥着重要作用。随着医院评级工作的不断推进,医疗信息化的要求也在不断细化和提升,从而推动了医疗信息化的高速发展。可以说,医院评级制度在促进医疗信息化方面起到了积极的推动作用。
图:中国医院评审/评级标准体系(部分)
(1)三级医院评审标准
为持续做好医院评审工作,保障医院评审标准与现行管理政策的一致性,充分发挥医院评审标准在推动医院加强内部管理、提升医疗质量安全水平等方面的作用,国家卫生健康委组织制定了《三级医院评审标准(2022年版)》及其实施细则。
其中与信息安全相关的规章制度如下:
(一百五十六)建立以院长为核心的医院信息化建设领导小组,有负责信息管理的专职机构,建立各部门间的组织协调机制,制订信息化发展规划,有与信息化建设配套的相关管理制度。
(一百五十七)医院信息系统能够系统、连续、准确地采集、存储、传输、处理相关的信息,为医院管理、临床医疗和服务提供包括决策支持类的信息技术支撑,并根据国家相关规定,实现信息互联互通、交互共享。
(一百五十八)落实《中华人民共和国网络安全法》,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。
(一百五十九)根据《中华人民共和国统计法》与卫生健康行政部门规定,完成医院基本运行状况、医疗质量安全、医疗技术、诊疗信息和临床用药监测信息等相关数据报送工作,确保数据真实可靠、可追溯。
(2)医院信息互联互通标准化成熟度测评方案概述
医院信息互联互通标准化成熟度测评(以下简称:医院测评)是互联互通测评的重要组成部分,通过对各医疗机构组织建设的以电子病历和医院信息平台为核心的医院信息化项目进行标准符合性测试以及互联互通实际应用效果的评价,构建了一套科学的、系统的医院信息互联互通标准化成熟度分级评价技术体系、方法和工具。医院信息互联互通测评旨在促进卫生健康信息标准的采纳、实施和应用,推进医疗卫生服务与管理系统的标准化建设,促进业务协同,为医疗卫生机构之间标准化互联互通和信息共享提供技术保障。
定性评价主要根据医院信息互联互通标准化成熟度测评中的定性指标,通过文件审查、现场验证、现场确认和演示答疑等形式对测评对象在实际生产环境中的运行情况进行验证测评和打分,根据最终得分确定医院信息互联互通标准化成熟度级别。
定性指标主要包括以下3部分:
①技术架构评审
医院信息平台技术架构评审主要采用专家评审的方式进行评价,通过审核相关技术文档、现场讲解答疑等形式对测评指标进行评分。
②基础设施建设评审
基础设施建设评审主要采用专家评审的方式进行评价,通过审核相关技术文档、现场讲解答疑等形式对测评指标进行评分。
③互联互通应用效果评审
互联互通应用效果评审主要采用文件审查、现场验证、现场确认和演示答疑等定性审核方法,分别对申请机构提交医院信息平台相关技术文档和实际生产环境,按照相关指标要求由测评专家组确认并打分。
测评采用定量测试和定性评价相结合的方法,评估结果分为七个等级,从低到高依次为一级至五级甲等,不同等级对应不同的信息化建设水平和成熟度。国家卫健委的要求三级医院要求满足互联互通4级以上。互联互通测评评分要求如下图:
图:互联互通评分要求
图:互联互通等级划分
互联互通测评中网络安全相关要求,针对关键点总结如下:
三级等保是互联互通测评的关键。四级乙等评审指标要求核心业务系统(HIS、LIS、PACS、EMR、CDR等)需完成等保三级定级备案与测评。按照三级等保要求投入安全建设,可覆盖较多测评指标。
网络安全部分多为三级/四级乙等的评审指标,说明网络安全是医院信息化建设的基础,应全面考量、今早建设、尽早完善。
应用安全和数据安全是医院信息化建设的提升方向。在建设过程中应注重应用厂商对接及新技术应用。
安全管理制度建设是网络安全建设必不可少的环节。应注重:
(1)设立明确的网络安全领导小组;
(2)做好人员管理和人员培训;
(3)管理过程留痕,形成报告和方案。
(三)互联网医院管理办法(试行)
为贯彻落实《国务院办公厅关于促进“互联网+医疗健康”发展的意见》有关要求,进一步规范互联网诊疗行为,发挥远程医疗服务积极作用,提高医疗服务效率,保证医疗质量和医疗安全,国家卫生健康委员会和国家中医药管理局组织制定了《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》、《远程医疗服务管理规范(试行)》。
其中关于网络安全及房屋设备设施相关要求如下:
(1)用于互联网医院运行的服务器不少于2套,数据库服务器与应用系统服务器需划分。存放服务器的机房应当具备双路供电或紧急发电设施。存储医疗数据的服务器不得存放在境外。
(2)拥有至少2套开展互联网医院业务的音视频通讯系统(含必要的软件系统和硬件设备)。
(3)具备高速率高可靠的网络接入,业务使用的网络带宽不低于10Mbps,且至少由两家宽带网络供应商提供服务。鼓励有条件的互联网医院接入互联网专线、虚拟专用网(VPN),保障医疗相关数据传输服务质量。
(4)建立数据访问控制信息系统,确保系统稳定和服务全程留痕,并与实体医疗机构的HIS、PACS/RIS、LIS系统实现数据交换与共享。
(5)具备远程会诊、远程门诊、远程病理诊断、远程医学影像诊断和远程心电诊断等功能。
(6)信息系统实施第三级信息安全等级保护。
三、总结
医疗行业是一个庞大的信息汇聚网络,只要医院的服务器和终端依然与网络相连,我们的信息系统和数据就始终面临着潜在的风险。由于网络的存在是一个长久不变的事实,因此医院安全始终是一个不容忽视的永恒主题。正因如此,医疗行业的网络安全问题绝对不容忽视,相关的网络安全规范也在不断地更新与完善中。
