信息安全问题可能会引 发的安全事件….
• 昨天上午，杜先生在XX医院看病时遭遇系统瘫痪，无法正 常就医。该医院称，系统瘫痪系网络故障所致，目前已恢 复正常。
• 杜先生称，昨天上午9点多，他陪妻子到XX医院看病。在 诊室，值班医生告诉一位医院工作人员，他早上上班时， 电脑已不能正常进入系统。随后，杜先生陪妻子去取药， 药房也暂停服务，近20分钟后才恢复正常。11点多，杜先 生因临时有事去挂号台退号时，发现多人正在一旁排队等 待，工作人员告诉他，医院网络系统出故障，暂停服务。 杜先生等候近40分钟后，系统服务再次恢复正常。杜先生 称，许多患者因此花费更长的时间挂号、就诊、取药。
小时后系统基本恢复正常。
2012/3/24 网络故障
医院网络故障，导致系统瘫痪病人无法正常就医，目前已 恢复正常。
2011/10/29
信息系统故障
区社区卫生信息系统发生故障，导致39家社区卫生服务站 无法正常提供门诊取药服务。
2011/8/31 his系统瘫痪
电脑挂号系统突然整体瘫痪，患者无法挂号和交费，大约 一小时以后，系统恢复正常。
等级保护在北京市医疗行业的 应用实践
第一部分 安全动态与思考 第二部分 政策法规及标准
第三部分 信息安全建设方法探讨
信息系统的角色越来越重要
信息系统的任何风险将带来巨大 损失！
门诊大量排队..
业务科室投诉..
来自上级主管部门压力..
社会舆论/医疗机构声誉..
现象..
手术中途停顿..
经济损失..
法律诉讼.. ….
• 昨天下午，医院总值班室称，昨天医院网络故障，导致系 统瘫痪，目前已恢复正常。
北京市医院信息安全事件
医院名称 时间 故障
事件影响
XX医院 XX医院 XX医院 XX医院 XX医院 XX医院 XX医院
医院电脑系统出现故障，导致医院挂号窗口不能正常工
2012/3/30 信息系统故障 作，大量病人在大厅内排队等候，医院立即进行修复，半
《信息安全等级保护管理办法》 43号文：明确 五个安全等级，确立了等 级保护主要内容是定级、备案、系统建设整改、等级测评、监督检查。
两项重要内容：加强信息
标准化和安全体系建设。
简称为“35212”。
等级保护相关法规
1、1994年《中华人民共和国计算机信息系统安全保护条例 》（国务院147号令） 2、2003年《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27号） 3、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） 4、《信息安全等级保护管理办法》（公通字[2007]43号 5、《关于开展全国重要信息系统安全保护等级定级工作的通知》（公信安 [2007]861号） 6、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发 [2009]28号） 7、发改委、公安部、国家保密局会签文件《关于加强国家电子政务工程建设项 目信息安全风险评估工作的通知》（发改高技[2008]2071号） 8、《信息安全等级保护备案实施细则》（公信安[2007]1360号 9、《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736 号） 10、《关于开展信息安全等级保护安全建设整改工作的指导意见》(2009年10月)
2011/8/6
信息系统故障
因医院网络系统未及时更新，与市医保中心网络系统不同 步，致使部分药品及检测项目不能识别。
2011/6/9
信息系统故障
导致门诊部挂号、取药等多项工作因此停滞，数十人在大 厅等候。两个多小时后，系统恢复正常。
2011/3/31 网络故障
医院网络故障 上千挂号者苦等三小时时间。
医疗机构在大力发展医院信息系统建设的同 时，还需要关注和面对如此多的信息安全需 求、隐患和风险
我们怎么办 ？？
第一部分 安全动态与思考 第二部分 政策法规及要求
第三部分 信息安全体系建设探讨
思考
长期以来，在信息安全建设方面，存在着重技术轻管理、 重产品功能轻人为因素、缺乏整体性信息安全体系考虑等各 方面的问题。技术也许可以解决一部分问题，但却解决不了 根本。
国内的各卫生机构都认识到了信息系统故障对自身业务 的巨大影响，通过采取各种各样的安全保障措施来提高信息 系统的稳定运行的能力。
但是信息系统没有绝对的安全，只有建立统一的信息安 全管理体系，落实各项管理制度，制定合理的安全策略，采 取有效的防范措施 ,才能切实保障卫生信息系统的安全、稳 定、正常地运行，保障各项卫生业务的正常开展。
重要法规梳理 （）
《国家信息化领导小组关于加强信息安全保障工作的意见》 2003-27号文： 明确指出“实行信息安全等级保护”，这是我国第一个信息安全保障工作 的纲领性文件。
《关于信息安全等级保护工作的实施意见》 2004-66号文：等级保护是今 后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原 则、基本内容、工作职责分工、工作要求和实施计划。
区域卫生和电子病历信息化建 设，也带来了新的安全隐患和风险。 然而: （1）不能有效保护患者的隐私 （2）不能识别非法计算机使用合 法身份接入电子病例系统 （3）不能解决电子病例数据传输 到计算机设备上之后的数据泄露问 题
类似攻击已提前出现……
由于数据泄露所导致的身份信息和医疗信息的窃取会造成对患者的 财产和情感的伤害
“十二五”卫生信息化规划
• “3”意为建设国家级、 省级和地市级三级卫生信
35212
息平台; • “5”表示加强公共卫生、
医疗服务、新农合、基本
药物制度、综合管理5项

业务应用; • “2”意为建设健康档案
和电子病历两个基础数据
库; • “1”代表一个国家卫生
信息专网.; • 最终版本的卫生信息化
“十二五”规划又增加了
XX医院
2011/1/12
信息系统故障
医院门诊部电脑系统出现故障，大厅内的数十名病人无法 挂号。一小时后，电脑系统恢复正常。
2012年5月5日 新闻，从本月 起我国二级以 上医院设置警 务室…… 生活中有各种 各样想不到的 威胁， 医院中呢？
卫生部明确将建立电子病历、 电子健康档案等基础数据库和建立 完善安全体系作为卫生信息化“十 二五”的重要任务，协调推进信息 化建设和医疗信息的隐私保护.