安徽省发布《医院网络安全管理规范》

　　医院网络安全管理规范

　　11月26日，安徽省市场监督管理局批准发布由安徽医科大学第一附属医院牵头的《医院网络安全管理规范》(标准号：DB34/T 4304-2022)，并于当日生效。

　　本标准基于《信息系统安全等级保护》基础上，对部分执行、检查的管理规范进行细化，明确了安全运维涵盖资源运行保障与安全访问保障。对运维对象分为终端、网络、数据中心以及动力环境，分别制定了较详细的安全运维管理要点与规范，尤其明确要求了执行与检查的相关管理要求，有更明确的操作指导性。本标准适用于二级以上医院网络安全运维工作。

　　本标准主要内容包括基本要求、对象、沟通与协同、安全事件处置、应急处理。基本要求中，对机构、人员、经费、规划、制度上明确了要求，为网络安全提供资源与管理的保障。将涉及网络安全的对象根据管理要点不同分为终端、网络、数据中心、机房环境四大块，并制定不同的管理要点与规范，主要从配置、资源与感染监控、人工巡检、备份恢复等维度明确了执行流程、检查流程的要求。安全事件包括直接或间接影响系统运行、数据泄露的所有事件。安全事件的处置过程中，包括事件本身的操作、记录、检查、考核的要求。同时也应该建立通畅的沟通协同机制，在沟通与协同中强调使用人员与维护人员，维护人员之间的协同机制与工具的保障要求。最后标准强调了安全演练的重要性，对安全演练的完整性进行了规范，包括安全演练中要明确目标，明确执行流程、做好相关记录，以及做好总结要改进。

　　该标准主要聚焦在安全运维的具体执行与检查流程的管理上，对于各个医院的具体网络安全管理工作有比较明确的指导。

　　下一步，将会同安徽省医院行业协会积极做好相关标准的宣传培训和应用推广工作，持续拓展标准应用广度和深度。诚挚欢迎各级地方政府、行业组织、软件企业、信息服务商、科研院校等有关单位积极参与相关标准的测试验证与应用推广工作，以标准为引领推动我国医院信息化的快速发展。

　　来源：安徽省医院协会信息专委会