按照国家网络安全法的要求,二级公立医院达到等保二级标准,医院高度重视,统筹安排部署,积极推进二级网络等级保护测评工作。
2019年12月底,经政府采购公开招标方式由符合资质的等级保护测评机构,确认对我院的核心网络系统(HIS、LIS、PACS)以及门户网站进行二级测评。
等保测评公司中标后,积极对我院的网络进行巡查、检测,掌握现有的网络安全基本部署情况。首先是机房情况,主要是安全物理环境,包括位置、访问控制、防雷击、防火防盗等。再通过登录服务器、核心交换机、安全设备了解现目前我们配置的边界防护、访问控制、入侵防范、安全审计、身份鉴别等情况。再通过查看各种制度,了解安全管理方面的情况 ;最后通过交谈以及查看一些合同文件,了解我院安全建设方面的情况,比如定级和备案、安全方案设计、产品采购和使用等。3月,向遂宁市公安局网安大队递交了等保备案证明,4月,等保公司测评人员现场通过对我院网络系统基本安全保护状态的分析后,对我院核心业务系统(HIS、LIS、PACS)的初次测评结果为差,并根据问题的严重性,划分了不同的风险等级,同时针对高风险问题提出整改建议,保障医院核心业务系统(HIS、LIS、PACS)符合第二级安全等级保护要求。
在收到整改问题的明细清单后,我们认真分析,根据整改建议,积极找寻整改措施,于6月10日邀请我们现有的安全设备、服务器、核心交换机厂家以及等保测评技术人员一同到医院筹谋,并根据等保测评人员现场对我院核心业务系统进行了全方位的漏洞扫描结果,结合初次测评发现的问题,要求厂家现场逐一处理,并得到测评人员的肯定。同时,各个厂家的技术人员也再次对信息科工作人员做了网络安全的培训。
等级保护测评工作预计在今年10底前完成,后期我院将根据网络安全的相关要求进一步完善软硬件设备设施,保障医院网络安全、数据安全,逐步向医院网络安全等保测评三级靠拢。
