東軟發布2017年醫療行業信息安全調查報告

近日，東軟對外發布《數據至上，業務安全——2017年醫療行業信息安全調查報告》，該報告是針對醫療行業的執業單位發起的信息及網路安全方面的調查.

至頂網CIO與應用頻道 05月19日 北京消息：近日，東軟對外發布《數據至上，業務安全——2017年醫療行業信息安全調查報告》（簡稱報告）。該報告是針對醫療行業的執業單位發起的信息及網路安全方面的調查，旨在獲取國內醫療執業單位的信息安全管理情況和建設需求，以便為執業單位、主管部門、專業服務公司和系統開發集成公司等提供有價值的專業分析和發展建議。

醫療行業涉及民生安全，國內外曾經發生多次嚴重的醫療信息泄漏事件，引起各國的高度重視，相繼頒布相關規範和標準，包括美國的HIPAA（健康保險攜帶及責任法案），國際標準化組織（ISO）發布的ISO17090:2008《衛生信息-公共要素信息結構》等。

在我國，衛生部於2009年發布《互聯網醫療保健信息服務管理辦法》，於2016年廢止，新版《互聯網醫療保健信息服務管理辦法》仍在修訂當中。另外一面，我國的安全界與衛生醫療界從未懈怠對醫療信息安全的努力，醫療信息安全論壇和會議層出不窮，相關言論百花齊放，安全供應商的醫療行業信息安全解決方案各有千秋。由此可見，我國醫療行業在信息安全領域依然具有很大的挑戰，需要國家給予關注和支持。

在此背景下，東軟為促進醫療行業業務安全的發展，聯合網路安全行業權威調研機構安全牛，面向100家醫療執業單位、907家三甲醫院網站、4663個醫療互聯網資產樣本進行調查，覆蓋東北、華北、華東、華南、西北和西南等區域。之後，經過大量信息採集與分析，並結合東軟長期以來在信息安全諮詢、網路安全體系架構設計和信息化建設過程中廣泛獲取的情報和工程經驗，共同編製了該報告。

調查結果顯示，全國三甲綜合醫院總體安全水平存在較大差異。在基礎物理和網路環境方面，38%的單位有自動電力調度，16%的單位有異地災備中心。在4663個全國醫療執業單位互聯網資產樣本的風險檢測中，風險排名前五位的依次是：域名信息泄露、惡意代碼、異常流量、殭屍網路、IP被封。

在信息資產管理上，78%的單位選擇了部分管理，13%的單位選擇了全面管理，9%的單位選擇了無意識管理。從外部威脅來看，65%的醫療執業單位認為網路被攻擊，對外通信中斷為最重大的安全風險；其次竊取患者身份、病例或治療信息排名第2位。從內部威脅來看，68%的單位認為員工安全意識薄弱是目前最大的挑戰，系統以及數據管理存在漏洞排名第2位，內容人員系統訪問許可權混亂位居第3位。

在移動醫療風險控制領域，近50%的受訪單位選擇依賴外包商的安全開發能力來保證應用安全，42%的受訪單位已經採購第三方的安全測評來保證應用安全，而40%的受訪單位認為已經加強了移動應用的日常安全性檢測來保證移動醫療的安全。

本次調查還發現，醫療行業的信息安全需求和實踐近些年來呈現快速發展的趨勢。在安全治理方面，53%的單位目前正在做安全機構和組織上的調整，42%已經調整完畢；28%的單位在醫療業務中已經融入了安全控制；76%的單位制定面對安全應急事件的流程、組織和系統；60%以上的單位高管認為數據泄露後給單位造成極高的聲譽損失、合規成本、法律成本和財務成本；57%的單位未來有追加信息安全建設預算的規劃。

在當前的信息安全建設需求方面，近半數的機構認為，安全管理制度、業務流程安全、資料庫安全、安全審計、應用審計、網路安全架構、主機安全和密碼安全等方面亟待建設和完善。目前很多醫療機構已經採取行動實現主動安全防禦，其中計劃性的網路、系統和許可權漏洞巡檢所佔比重最大，此外也開展了災難恢復/業務連續性計劃、計劃性的全員意識培訓、在軟體開發中同步保證其安全、自動化的安全事態偵測預警相應系統以及安全績效體系等。面對新技術發展趨勢，醫療機構將面臨新的挑戰，受訪單位的安全期望前三位依次是：76%的受訪單位認為保證複雜的醫療事務大數據安全，60%認為保證智慧化醫療流程、結果、「物-物交互」的安全，57%認為需要標準化的安全控制指南。

經過20多年的醫療信息化建設和網路安全業務探索和實踐，東軟認為，醫療機構在應對醫療數字化風險時，首先要優先滿足業務需求，其次是最大限度地預防和控制安全風險。鑒於醫療行業的特殊的業務屬性，醫療機構需要依據標準化、系統化的安全控制指南，聯合國內擁有醫療行業信息安全服務經驗的廠商，共同進行系統架構的整體設計和運維管理，從源頭上解決醫院信息安全風險，確保醫院業務的順利開展。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！