上海市信息安全测评认证中心今天披露,从今年2月本市成立首家公立互联网医院开始,该中心已完成全市近50家互联网医院的等保测评。
上海市卫生健康委员会副主任赵丹丹在今天上午举行的2020年网络安全宣传周上海地区活动医疗分论坛“新疫情时代智慧医院网络安全建设”上指出,公共卫生行业的信息包含公民个人信息与公共敏感信息,关乎社会的平稳运行。
而对于在今年按下“加速键”的互联网+医疗来说,对外开放的医疗信息也增加了其网络安全风险。
寻求开放与安全的平衡点
“信息存在的价值就是流通和利用。”上海市疾病预防控制中心信息所所长夏天说,开放给公共卫生网络安全带来了危险和挑战,其中最大的风险是数据风险:“伪造、盗用数据、泄露个人敏感信息、黑客攻击等威胁时有发生。”
华山医院信息中心主任黄虹以复诊病人的线上配药为例,说明了医疗数据安全的重要性。“整个开药流程需要确认病人和医师的身份、管理医师电子签名的使用、确保处方不会外传,以及配送过程中保障药品的安全等,任何一个环节出现问题,都将造成严重后果。”黄虹说。
除了医院内部信息难管理,互联网+医疗多与第三方平台合作为用户提供医疗服务。上海市信息安全测评认证中心总工程师李宏达指出,第三方平台的网络安全监管缺失也大大提高了互联网+医疗的网络安全危险系数。
层层加密,全面管控,让数据“拿不走”
夏天介绍,市疾控中心目前从数据分级分类、数据访问控制、数据审计评估和数据安全防护四方面保障疾控信息网络安全,核心目标是让数据“拿不走”。“例如,将敏感信息与非敏感信息分开处理,敏感数据进入数据安全区,‘只进不出’,非敏感信息归入办公区,‘可进可出’。”夏天解释道。
李宏达则从“合规、全面、及时”三方面提出网络安全保障建议。“首先是明确数据安全责任,不仅明确单位内部各部门责任,还要与服务商和供应商签订保密协议或安全责任书。”李宏达表示,其次要排查各出入端口,对其进行全面和周期性的安全检查,对数据进行全周期的追踪和管理;最后是做好应急预案,有问题及时修补漏洞。
“与其用‘乘风破浪’形容互联网+医疗,不如用‘任重道远’更为恰当。”上海市卫生健康信息中心主任谢桦认为,除了从技术上保护公共卫生网络安全,还应推动相关法律规范和伦理的完善。