近日，山西省原平市某医院和忻州市某妇产医院因未履行网络安全等级保护制度，受到行政处罚。

　　经调查发现，两家医院因未履行网络安全等级保护制度，网络安全意识淡薄，未确定网络安全责任人，未制定网络安全应急事件预案，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，严重影响网站信息安全，同时该网站未办理等级保护备案手续。被处以行政警告处罚，并责令其限期整改。

　　然而，这并非个例。

　　2019年5月，重庆永川某私立医院服务器突然陷入瘫痪，医院业务全面“停摆”，重庆永川公安组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。

　　经过民警和技术专家调查核实，该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。医院未安装边界防护设备、未安装日志行为审计设备，未设置数据安全备份策略等其他网络安全技术措施，使医院业务在互联网上长期处于“裸奔”状态。

　　黑客通过互联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。

　　针对此案，公安部门按照公安部“一案双查”工作要求，对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处，并按照《中华人民共和国网络安全法》第五十九条之规定，对医院处以罚款一万元，对直接负责的主管人员处以罚款五千元的行政处罚。

　　2019年1月，河南安阳市某医院因未履行网络安全保护义务，造成业务系统被攻击破坏，正常工作无法开展。公安机关对网络攻击行为开展立案侦查的同时，依据《网络安全法》第五十九条之规定，对医院处以罚款五万元、直接负责人罚款五千元的行政处罚。

　　当前，医疗信息化的加速发展，给人们就医保健带来极大便捷，但同时也增加了医疗保健数据的泄漏的风险，医疗数据安全状态对整个社会的安全具有重大而深远的影响。近两年，医疗数据泄露事件不断发生，大量的患者信息泄露，带来的后果非常严重。

　　为进一步加强医院信息安全，各地加强网络安全等级保护制度。数据安全成为医院安全规划和建设的重点。

　　2019年5月，网络安全等级保护制度2.0标准正式发布。由于医疗行业的行业特殊性，在等保2.0发布之前，医疗行业就已经是等级保护测评的重点对象了。

　　等保制度2.0标准出台后，国家和主管单位均对医院信息网络安全建设提出了进一步的要求。加强数据安全成为医院安全规划和建设的重点。

　　对于等级保护建设，深圳南山医院网络技术科主任朱岁松表示，在国家出台网络安全等级保护2.0标准的背景下，医院在选择云端安全产品时，一定要更加审慎，提前考虑等保2.0标准的要求，这也是上云必须要解决的问题。

　　业内人士认为，开展医疗行业的等保测评以及加固网络安全等工作，需要加强技术和管理的结合，从内部网络安全防护做起，提高医护人员和医疗信息系统操作人员的网络安全意识和网络安全技术。

　　业内专家建议，加强等级保护制度建设。应通过提升网络安全技术和网络安全设备检测能力，增强防御外界攻击的能力。其外，积极引进网络安全人才或者寻找安全服务商合作，是加强医院自身的网络安全防护能力的非常关键。

　　（来源：发现忻州  县域卫生传媒）