关键字
三级等保、等保2.0、集成平台
之前在《“543”评审中对集成建设要求有哪些,集成平台又该如何实现?》一文中提到,互联互通测评和电子病历评审中都对信息系统的安全等级保护提出了要求,那么标准要求中提到的“等级保护三级”指的是什么意思?等保2.0时代下网络安全等级保护标准又对医院集成平台又提出了哪些要求?
等保2.0的相关概念和背景
“等保2.0”是行业内对《中华人民共和国网络安全法》(以下简称《网络安全法》)提出的等级保护标准的通俗称呼。2017年8月,公安部评估中心根据网信办和信安标委的意见,将等级保护的5个基本要求分册合并,形成了《信息安全技术 网络安全等级保护基本要求》这一标准(GB/T 22239-2019,替代 GB/T 22239-2008)。该标准于2019年5月10日发布,并于同年12月1日正式实施,标志着“等保2.0”时代的到来。
等保2.0与等保1.0时期相比,主要有以下几个核心差异点:
法律效应提升
等保1.0的法律效应主要基于1994年发布的《中华人民共和国计算机信息系统安全保护条例》和2008年的《信息安全技术信息系统安全等级保护基本要求》。该版本为我国信息系统安全保护提供了早期的法规基础,但其法律层级较低,更多依赖于行业规范和指导文件,具有一定的指导性和参考性,但强制性较弱。
来源:智医盟
相比之下,等保2.0自2019年12月1日起正式施行,与2017年实施的《网络安全法》直接挂钩,法律效应显著增强,使网络安全等级保护制度从行业性规范上升为国家法律框架内的强制性要求。
《网络安全法》第二十一条明确规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改 ”,进一步巩固了该制度的法律地位。《网络安全法》第三十一条也提到“......关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”
等保2.0在制度设计上确保了与国家法律的高度一致性,特别是《网络安全法》中的相关条款,进一步巩固了网络安全等级保护的法律地位。
安保技术应用广度和深度的增强
在技术应用层面,等保2.0相比等保1.0在广度和深度上有了显著的增强,特别是在可信计算技术的应用上。等保1.0主要集中于物理主机、应用、数据和传输的安全保护,而可信计算技术并未被明确强调或具体纳入标准。随着技术的发展,等保2.0不仅扩展了适用范围,涵盖了云计算、物联网、工业控制和大数据等新兴领域,还增加了风险评估、安全监测等新要求,技术维度上也从物理安全等变为安全物理环境、安全通信网络等,更加细化和系统化。这些都推动了更高等级的安全防护需求,而可信计算技术就是其中的关键技术之一。
可信计算技术的核心在于通过硬件和软件的结合,确保计算环境的可信性。它能够验证系统的初始状态,监控运行过程中的关键操作,并确保数据的完整性与安全性,防止未授权的修改和恶意攻击。在等保2.0的框架下,“可信验证”不仅作为单独的条款列出,在安全通信网络、安全区域边界、安全计算环境等要求中,也都提到了相应的可信验证策略。
与之相呼应的是,医疗行业中的《医院信息互联互通标准化成熟度测评》也对“可信验证能力”提出了具体要求,明确要求“设有安全管理中心,具有可信验证能力,并对设备运行状态进行监测”。
我们常说“三级等保”是什么?
“三级等保”的全称是“网络安全等级保护第三级”,它是网络安全等级保护制度中的一个级别,用于标识那些需要受到较高程度安全保护的信息系统,也是对非银行机构的最高等级要求。
来源:《网络安全等级保护定级指南》(GB/T 22240-2020) “4.1 安全保护等级”
(一级到五级,保护程度依次由低到高)
同时,《网络安全等级保护定级指南》(GB/T 22240-2020) 在“4.3定级要素与安全保护等级的关系”中给出了定级要素与安保等级之间的关系,如下图所示:
来源:《网络安全等级保护定级指南》(GB/T 22240-2020)
为什么医院要过三级等保,依据何在?
医院作为处理大量敏感个人健康信息的机构,其信息系统必须符合网络安全等级保护的要求。根据国家卫健委的相关指导意见和评审标准,如《卫生行业信息安全等级保护工作的指导意见》、《三级综合医院评审标准考评办法》、《互联网医院管理办法(试行)》等,医院核心信息系统至少应达到等保三级,以满足网络安全和数据保护的要求。
此外,互联互通测评和电子病历评审要求中也对包括集成平台在内的系统信息安全等级保护提出了要求。电子病历评审要求“完成信息安全等级保护定级备案与测评、医院重要信息安全等级保护不低于第三级”而互联互通测评中则提出了“核心业务系统(含平台)完成等级保护三级定级备案与测评”的要求。由此可见,集成平台等核心系统达到“等保三级”已成为医院信息化建设中的阶段性目标之一。
三级等保中对医院集成平台的要求有哪些?
在三级等保的实际测评中,针对集成平台相关的安全要求,主要关注的是标准GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中的“8.1.4安全计算环境”,其中包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护共11项要求。
那么对于上述要求,集成平台该如何应对?之后的文章中,我们将进一步探讨集成平台该如何适配等保三级中提出的要求,以及医院在备战等保三级时集成平台会遇到的常见问题,敬请期待。
(未完待续)
Odin文章评论: