IT外包服务及云租赁的网络安全风险管控 - CHINC 2021中华医院信息网络大会（公开）.pdfVIP

IT外包服务及云租赁的网络 CHINC 2021中华医院信息网络大会 安全风险管控 讲师姓名 ： 傅 罡 • 傅 罡 • 中国疾病预防控制中心网络和信息安全管理处处长 • 全国公共安全基础标准化技术委员会（SAC/TC351） 应急管理标准工作组（WG3）委员； • 中国卫生信息与卫生医疗大数据学会慢病防治与管理 CHINC 2021中华医院信息网络大会 专业委员会副主委 • 中国卫生信息与卫生医疗大数据学会公共卫生信息专 业委员会常委 ； • 原卫生部网络信息安全专家组成员 ； • 《中国卫生信息管理杂志》编委 目录 背景 IT外包服务的基本思路 CHINC 2021中华医院信息网络大会 外包软件开发安全风险管控 云租赁的网络安全风险管控 背景 ◼ 根据2019年一项调查显示，省级卫生健康委信息化主管部门人员的专业背景以医学类专业为 主，占50.6% CHINC 2021中华医院信息网络大会 ◼ 在 “区域信息化建设障碍”涉及的12项限制条件调查中，部门人力资源不足占第2位。 ◼ 国家卫健委统计信息中心2019全民健康信息化调查报告显示 ，涉及的25个应用信息系统，第 三方承建商建设比例均高于90% 背景 ◼ GB∕T 22239-2019 信息安全技术网络安全等级保护基本要求（三级为例） CHINC 2021中华医院信息网络大会 背景 ◼公安部 【2020】1960号文 关于 《贯彻等保和关保保护制度指导意见》 ◆ ( 三 ) 科学开展安全建设整改 ➢ “网络运营者可将网络迁移上云，或将网络安全服务外包，充分利用云服务商和网 CHINC 2021中华医院信息网络大会 络安全服务商提升网络安全保护能力和水平。应全面加强网络安全管理，建立完善 人员管理、教育培训、系统安全建设和运维等管理制度，加强机房、设备和介质安 全管理，强化重要数据和个人信息保护，制定操作规范和工作流程，加强日常监督 和考核，确保各项管理措施有效落实。” 背景 ◼公安部 【2020】1960号文 关于 《贯彻等保和关保保护制度指导意见》 ◆ ( 五 ) 加强供应链安全管理 ➢ “网络运营者应加强网络关键人员的安全管理，第三级以上网络运营者应对为其提 CHINC 2021中华医院信息网络大会 供设计、建设、运维、技术服务的机构和人员加强管理，评估服务过程中可能存在 的安全风险，并采取相应的管控措施。网络运营者应加强网络运维管理，因业务需 要确需通过互联网远程运维的，应进行评估论证，并采取相应的管控措施。网络运 营者应采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务，第三 级以上网络运营者应积极应用安全可信的网络产品及服务。” IT外包服务的基本思路 国际标准 ISO27001 行业监管要求 国家卫生健康委相关 网络安全监管要求 CHINC 2021中华医院信息网络大会 国家标准 网络安全方法论