就当前而言,三级医院都必须建设互联网医院。但互联网医院的建设又要符合一定的条件,根据广东省第二人民医院信息科主任连万民的说法,申请开展互联网医院建设的各家医院需要提交相应的材料,材料包括:①互联网医疗监管平台接入申请表;②互联网医院信息系统《信息系统安全等级保护任务告知书(回执)》《信息系统安全等级保护备案证明》;③系统部署拓扑图;④如与第三方机构合作建立互联网医院的,需提交合作协议。合作协议中应明确互联网医院信息系统网络信息安全、隐私保护等责任划分。 同时,根据《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》,承载互联网医院的平台必须通过等保三级测评。也就是说,如果医院要开展互联网医院的建设,三级等保为必须。 互联网医院等级保护如此重要,今天就跟大家说一下互联网医院三级等保认证的获得方式。如果想更省心更快速通过三级等保认证,文章最后还有青莲网络一站式等级保护解决方案的介绍。青莲网络是等保标准制定的参与者之一,自2018年开始就为各单位提供等级保护一站式服务。此前,为了让一家互联网医院拿到牌照,青莲网络在一个月内就帮助该医院通过认证。绝对不容错过哦! 根据等保2.0标准,要想获得三级等保认证,互联网医院需要按照以下流程落实等级保护工作:定级、备案、安全建设、等级测评、监督检查。 ①定级:确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,主管单位审核,公安机关备案审查。 ②备案:持定级报告和备案表等材料到公安机关网安部门进行备案。 ③安全建设:以《基本要求》中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改。 ④等级测评:委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。 ⑤监督检查:向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。 一、互联网医院等级保护定级备案 定级依据是《信息系统安全等级保护定级指南》。定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。 定级之后,就可以准备备案材料进行备案。备案所需材料主要是《信息安全等级保护备案表》,互联网医院必做三级等保,第三级以上信息系统同时提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。 备案材料准备好之后,需提交属地公安机关网安部门审核。对符合等级保护要求的,在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的10个工作日内通知备案单位予以纠正。 在这一阶段,青莲网络提供的等保服务为:协助企业开展定级备案,包括但不限于联系专家评审,填写、准备备案材料,并提交公安机关审核。 二、互联网医院等级保护加固整改 等保整改指企业根据等级保护建设要求,对信息和信息系统进行网络安全升级,对定级对象当前不满足要求的进行建设整改,包括技术层面的整改,也包括管理方面的整改。 一般来说,企业需要整改的比较常见的系统安全问题包含以下三类: ①安全管理制度不完善或缺失问题 整改建议:1、向测评机构或者做得好的单位借鉴一些成熟的安全管理制度,然后根据自己单位的实际情况进行细化,变为自己的安全管理制度体系;2、请测评机构或相关单位进行专门的安全制度体系建设。 ②漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类问题 这类问题的整改我们统称为安全服务整改建设,整改需要做到:把安全设备配置合适合规的策略,主机及应用做应有的加固,关闭不必要的端口,对高危漏洞进行打补丁,合理划分不同网络区域等等。 整改建议:1、企业可以让自己的技术人员解决这些问题,同时寻找系统集成商、软件开发商协助解决;2、寻找有实力的测评机构或安全服务商来解决这些问题。 ③设备缺失或不足问题 设备缺失或不足问题主要指什么呢?比如根据等级测评报告,企业的信息系统没有入侵检测设备或者防火墙里不带有入侵检测功能,但又必须满足这个条件,企业就需要新增入侵检测设备。当然,由于实际情况不同,企业需要新增的设备有优先级的不同,一些设备需要当下就立即新增,一些设备则可以后续再慢慢新增。 整改建议:根据实际情况,制定设备新增计划,省时省力省钱。 在这一阶段,青莲网络提供的等保服务为:针对定级备案系统所在的系统环境进行调研,以分析信息系统当前风险状况,明确等级保护整改需求和重点。同时提供等级保护安全整改与加固服务,包括重要信息系统相关的网络结构化设计,网络安全、服务器主机、数据库系统、中间件系统等设备的采购及部署,产品集成实施、主机安全基线配置、应用及数据库安全配置、主机及应用打补丁、安全审计策略配置、应用代码整改等内容。 三、互联网医院等级测评 等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。 等级测评需要具备一定的资质,测评机构至少得具备信息安全等级测评推荐证书。等保测评网在全国有几十家等保合作单位,可帮助企业寻找合适的测评机构,同时,我们的技术人员将全程协助测评机构测评工作的开展。