8.李斌-互联网时代的医疗卫生行业信息安全保障分析报告.pdf

互联网时代的医疗卫生行业信息安全保障 报告人：黄伟庆 2014年7月 一、安全体系 二、重点问题 三、趋势展望 安全体系 1、美国的医疗信息的安全法律体系  医疗保险便携性和责任法案 （HIPPA-Healthcare Insurance Portability and Accountability Act ） • 保证健康保险流通性，降低医疗欺诈行为，保证健康信息 的安全及隐私，并强制卫生信息标准。 • 要求 “涵盖实体”实施的具体程序和安全保障，以保护 “电子保护的健康信息”（ePHI ）安全和隐私。 安全体系 • HIPAA （Title II ）的简化管理（Administrative Simplification ）条 款要求美国卫生和公众服务部（HHS）建立一套国家标准，以面 向电子医疗保健信息的处理和面向供应商、健康计划和雇主。关 注医疗保健信息的安全和隐私保护。要求HHS针对电子医疗保健 信息的安全性建立国家标准。 • 最终采取HIPAA标准为安全保障标准，于2003年2月20 日正式发 布。最终规则定义了一套管理、技术和物理安全保障措施，要求 机构必须实施，并不断评估，以保证电子医疗信息的机密性。每 个保障措施包括标准。这些标准详细描述了所需求的或涉及到的 实施规范。这些规定旨在降低成本和医疗保健的管理负担，使医 疗保健尽可能标准化，通过电子传输的行政和财务工作减少目前 正在执行的手工和纸质工作。 安全体系 安全体系 安全体系 2、国内医疗信息安全体系 • 2003年， 《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发[2003]27号）明确要求我国信息安全保障工作实行等级保 护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等 级保护的管理办法和技术指南”。 • 2004年9月发布的《关于信息安全等级保护工作的实施意见》 （公 通字[2004]66号）进一步强调了开展信息安全等级保护工作的重要 意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、 基本要求和实施计划，部署了实施信息安全等级保护工作的操作办 法。 • 2011年，信息安全等级保护已列入 《三级综合医院评审标准》中信 息化规范建设的重要考核依据与指标。 • 2011年12月份，卫生部发布 《卫生部办公厅关于全面开展卫生行业 信息安全等级保护工作的通知》，要求卫生行业 “全面开展信息安 全等级保护工作”。 安全体系 从目前来看，各区域的主管部门均要求医疗机构在其信息系统中尽快落实等 级保护的相关措施。譬如，上海市卫生局信息中心和上海市信息安全测评认 证中心联合制定了 《医疗机构信息系统安全等级保护基本要求》，对各级医 疗信息系统的定级和实施进行指导。 HIS安全要求 技术要求 管理要求 物 网 主 应 数据 安 安 人 系 系 理 络 机 用 安全 全 全 员 统 统 安 安 安 安 及 管 管 安 建 运 全 全 全 全 备份 理 理 全 设 维 恢复 制 机 管 管 管 度 构 理 理 理 安全体系  技术模型 参考国际标准化组织（ISO）制定的开放系统互联标准（OSI ）标准和TCP/IP 标准对信息系统技术组成的构造方法，结合HIS系统业务应用分类，给出HIS 系统的技术模型。 应用系统 综合业务 临床业务 行政管理 ……