医院信息安全调查报告.pdf

医院信息安全调查报告 中国医院协会信息 专业 委员会 2019 年 3 月 版权所有 中国医院协会 1 / 26 目录 一、 调查背景 . 2 二、 调查基本情况 . 3 （一） 调查工作依据 . 3 （二） 调查对象 . 4 （三） 调查方式 . 5 （四 ） 调查内容 . 5 （五） 调查分布 . 6 三、 调查结果 . 6 （一） 近三年医院信息化重点建设内容 . 6 （二） 等级保护工作开展情况 . 7 （三） 操作系统级安全措施 . 9 （四） 应用系统级安全措施 . 10 （五） 数据安全措施 . 10 （六） 网络安全防范措施 . 11 （七） 渗透测试工作开展情况 . 12 （八） 信息安全工作重点 . 13 （九） 信息安全产品采购计划情况 . 14 （十） 信息产品采购选型决策情况 . 15 （十一） 医院信息化近三年预期投入情况 . 16 （十二） 2018 年建设医疗信息安全投入额度 . 17 （十三） 信息安全合作厂商选择条件因素 . 18 （十四） 信息安全产品厂商能力需求情况 . 19 （十五） 信息安全培训情况 . 19 （十六） 网络安全应急演练情况 . 20 四、 现存问题分析 . 21 （一） 不同医院网络安全等级保护工作推进差异较大 . 21 （二） 网络安全专职人员偏少，需加强培训 . 22 （三） 网络安全投入有待增加 . 23 （四） 对网络安全和数据安全重视程度需要普及 . 23 五、 相关政策建议 . 23 （一） 有效化解医院网络信息安全主要矛盾 . 24 （二） 医院网络信息安全投入亟待增加； . 24 （三） 医院网络信息安全人才亟待培养 . 24 （四） 医院网络信息安全管理能力亟待提升 . 25 （五） 医院网络信息安全测评意识亟待加强 . 25 2 / 26 一、 调查 背景 当前，伴随信息技术的飞速发展，信息化和网络化建设已经成为我国社会经济活动的基础保障，面对日益增加的安全风险，网络安全建设工作上升为国家战略高度。在医疗健康领域，随着医院信息化的普及和深入，信息系统成为医院运营核心技术支撑，特别是深化医药卫生体制改革以来，医院业务从院内走向院外，从封闭走向开放，医院信息系统面临着前所未有的新风险。在医院业务持续性方面，医院信息系统面临的病毒、木马、网络泄露等安全威胁风险越来越高，网络信息安全责任重大。在医疗数据安全方面，患者信息隐私保护以及数据完整性安全建设 亟需 得到加强。 医疗 行业的数据安全形势日趋严峻。 国家行业管理部门高度重视医疗机构网络和信息安全工作，2011 年，国家卫生健康委员会（原国家 卫生部 ）印发了 卫生行业信息安全等级保护工作的指导意见 ， 要求医疗卫生机构依据国家信息安全等级保护制度，遵循相关标准规范，进行信息安全等级保护定级备案、建设整改和等级测评等工作。 2014年， 国家卫生健康委员会（原国家卫生计生委） 发布 人口健康信息管理办法（试行） ，对人口健康信息安全和隐私保护工作提出要求。 2017 年 6 月 1 日开始实施的中华人民共和国网络安全法，明确将国家网络安全等级保护 制度上升为法律要求。 2018 年 6 月，公安部发布网络安全等级保护条例（征求意见稿），将网络安全等级保护扩展到云计算、大数据、物3 / 26 联网、移动互联网以及公共新领域，推动网络安全等级保护进入“ 2.0”时代。作为国家卫生健康行业信息化建设的重要保障和重要组成部分，医疗行业网络信息安全工作迈入了新的发展阶段。 为了掌握我国医院信息安全建设现状，评估信息安全工作水平，发现信息安全薄弱环节， 为 医院 制定 信息安全建设规划 提供帮助 ，中国医院协会信息 专业 委员会 (原信息管理专业委员会，以下简称 CHIMA)2018 年底开始对我国部分医院信息安全建设情况进行了调查，通过数据清理和汇总分析，编写了 CHIMA 2019 医院信息安全调查报告，供医疗行业管理部门、医疗机构和信息安全厂商提供决策依据。 本次调查没有采用 随机 分层抽样的方法，数据由各医院自愿参加填写。限于 CHIMA 的资源与经验，本次调查报告存在着许多不足、缺陷，希望得到业内同行与广大读者的批评指正。 二、 调查基本情况 （一） 调查工作依据 此次 调查 工作参考依据如下： 中华人民共和国网络安全法 国家网络空间安全战略 网络安全等级保护条例（意见征求稿） 4 / 26 信息安全技术 网络 安全保护等级定级指南 （ GA/T 1389 2017） 信息安全技术 网络安全等级保护基本要求（送审稿） 个人信息保护法 （专家意见稿） 信息安全技术个人信息安全规范 全国医院信息化建设标准与规范 （二） 调查对象 本次调查 受访 者共计 400 人， 以医院 信息化工作者 为主，占总受访人群 的 86.75%。 其中，主管信息院领导为 38 人，占比9.5%；信息部门 主管 158 人，占比 39.5%；信息部门员工 144 人，占比 36%。另外， HIT 企业 人员占 10%， 其 他 6%。 5 / 26 （三） 调查方式 本次调查采用问卷 调查 形式 ，在全国范围内 通过网络调查的方式 开展了为期一个月的医疗卫生机构信息安全调查。 本次调查采用 公开 问卷， 各 省、市、自治区 卫生行政部 门 、医院 和 CHIMA CIO俱乐部组织自愿参加、电话跟踪的调查方法。 （四） 调查内容 本次调查内容包括：调查对象基本情况、近三年信息化建设情况、等级保护制度落实情况、信息安全建设投入和产出情况，以及信息安全工作计划和采购意愿等调查内容。 主管信息院领导9%信息部门主管39%信息部门员工36%H I T 企业人员10%其它6%调查对象职业分布6 / 26 （五） 调查分布 本次调查共回收有效问卷 400 份，医院样本总数为 389 家，覆盖了 29 个省、直辖市（包含中国台湾省） ，医院占总参与 调查机构 的 97.25%。其中：三甲医院为 259 家， 在受访医院中 占66.58%；三级医院（除三甲医院）共有 50 家，占比 12.85%；二级医院有 38 家，占比 9.77%；一级医院社区卫生服务中心 4家，占比 1.03%；非公立医院 38 家，占比 9.77%。 三、 调查结果 （一） 近三年医院信息化重点建设内容 近 些 年 ， 新的 IT 技术的发展和应用，加速了 医院信息化 的发展 和相关产品技术的创新 ，但 不同医院信息化建设 发展 阶段有差别，医院信息化建设重点各有 不同 。 本次 调查 显示， 在近三年医院信息化建设重点内容的调查排名前三位的是， 重点建设患者服务系统（挂号 APP、自助机等）7 / 26 的医院为 226 家， 占比 58.10%， 重点建设医院管理系统（ HRP、BI、财务系统等）的医院为 212 家， 占比 54.50%， 重点建设 HIS以外的业务系统（ EMR、 LIS、 PACS、超声等）的医院为 203 家 ，占比 52.19%。 由此可看出，随着医院以患者为中心服务理念的逐步落地，患者服务系统已成为近年来及下一步医院信息化建设的 首要 重点之一。同时， 医改政策的实施和 医院 绩效考核的加强 推动越来越多医院将建设重点转向医院管理系统（ HRP、 BI、财务系统）等，助推医院实现精细化管理。 随着医院 HIS 系统的普遍应用，EMR、 LIS、 PACS等系统的建设也提 到 了大部分医院的日程中来。 （二） 等级保护工作开展情况 随着信息技术的不断发展，特别是云计算、 4G/5G、 物联网等新技术的不断涌现和应用，在带给医疗行业快速、便捷的同时，也让 安全风险变得没有边界 ，开展等级保护工作面临着越1 5 . 6 8 %3 0 . 5 9 %3 5 . 4 8 %4 9 . 8 7 %5 2 . 1 9 %5 4 . 5 0 %5 8 . 1 0 %0 . 0 0 % 1 0 . 0 0 % 2 0 . 0 0 % 3 0 . 0 0 % 4 0 . 0 0 % 5 0 . 0 0 % 6 0 . 0 0 % 7 0 . 0 0 %其他区域卫生信息平台办公系统（ OA 、 院内网、企业邮箱等）H I S 系统建设H I S 以外的业务系统（ E M R 、 L I S 、 P A C S ）医院管理系统（ H R P 、 BI 、 财务系统等）患者服务系统（挂号 A P P 、 自助机等）近三年医院信息化重点建设内容8 / 26 来越多的新情况、新问题。 国家卫生主管部门对医疗机构的信息安全等级保护工作提出了严格要求。 通过 等级保护测评工作，发现 医院系统内、外部存在的安全风险和 隐患，提高信息系统的信息安全防护能力，降低 系统被各种攻击的风险，能够更加有效的保障医疗信息安全。 通过此次 调查 发现， 至少有一个系统 通过等保三级测评的受访医院共计 195 家，占比 50.13%；通过等保二级测评的受访医院共计 40 家，占比 10.28%；有实施等保工作规划的医院有106 家，占比 27.25%；没有开展等保工作规划的医院有 48 家，占比 12.34%。 调查发现 ，目前等级保护测评在医院的普及率 还 不高，仍有很大进步空间。等级保护有助于对系统安全进行重新梳理，提高工作人员的安全意识和处理安全事件的能力。因此，医院在信息化建设中适当提高对等级保护的侧重，有助于保障医院通过等保三级测评 , 5 0 . 1 3 %通过等保二级测评 , 1 0 . 2 8 %有实施等保工作规划 , 2 7 . 2 5 %未开展 , 1 2 . 3 4 %等级保护工作开展情况9 / 26 信息系统持续稳定运行。 （三） 操作系统级安全措施 在对操作系统级安全措施的 调查 中发现，上线网络版病毒软件的医院共计 314 家， 占比 80.72%； 上线桌面管理软件的医院共计 226 家， 占比 58.10%； 上线软件防火墙的医院共有 194家， 占比 49.87%； 未采用任何措施的医院仍有 7家 ，占比 1.80%。 由此可看出，目前医院对操作系统级的安全防护方式 仍以网络版防病毒软件为主 ， 但有少部分医院 甚至没有采取操作系统安全防护。随着 勒索 病毒、黑客 等网络 攻击手段的不断变化，医院在操作系统防护方面应适当增加一些新的安全技术 ，多重防护 。 1 . 8 0 %9 . 5 1 %1 9 . 2 8 %2 4 . 9 4 %4 9 . 8 7 %5 8 . 1 0 %8 0 . 7 2 %0 . 0 0 % 1 0 . 0 0 % 2 0 . 0 0 % 3 0 . 0 0 % 4 0 . 0 0 % 5 0 . 0 0 % 6 0 . 0 0 % 7 0 . 0 0 % 8 0 . 0 0 % 9 0 . 0 0 %未采用其他单机版反病毒软件系统镜像快速回复软件防火墙桌面管理软件网络版防病毒软件医院采用的操作系统级安全措施