400-067-1560
2022年4月24日,国家药监局发布了《国家药监局关于印发药品监管网络安全与信息化建设“十四五”规划的通知》,通知全国各省、自治区、直辖市及新疆生产建设兵团的药品监督管理局、局机关各司局、各直属单位严格按照《药品监管网络安全与信息化建设“十四五”规划》(以下简称为《规划》)进行开展站相关的建设工作的内容,可以称为国家医药行业的另一块网络安全建设工作内容。
一、 发展形式
原文:展望“十四五”和2035年远景目标,我国要实现从制药大国向制药强国的跨越式发展,这对于药品审评审批效率和药品安全风险管理能力提出了更高的要求。当前,药品监管信息化建设工作仍有诸多不足,信息技术和监管业务的融合创新能力有待增强,数据驱动与知识服务能力有待提升,信息资源统筹建设和运营管理有待优化,网络和信息安全保障仍需进一步加强。
解读:关于《规划》的主要提出展望“十四五”和2035年远景目标,中国要实现从制药大国向制药强国的跨越式发展,这对于药品审评审批效率和药品安全风险管理能力提出了更高的要求,其中重点提及要“完善网络安全防护与信息安全建设”。这说明网络安全工作在医疗以及医药行业的工作日益完善。从最初的三甲医院评审要求需要满足内部主要医疗系统的网络安全建设工作,到后续的“互联网医院”和“互联网医疗”开展网络安全等级保护工作,对于医疗监管方面的网络安全建设工作,也逐步将开始相关的建设目标。这说明网络安全工作,对于现在的医疗行业日益重要。
伴随着互联网技术的日新月异,从网络购药、网上问诊、网上挂号的生活已经日益的丰富到我们的生活当中。而伴随着像是《个人信息保护法》相关政策的出台,也证明了网络安全工作的日益重要性。如何对医药监管平台实现综合性的网络安全运营及网络安全保障成为未来医药监管平台的主要安全建设方向。
二、 网络安全与信息化重点任务
关于《规划》第三章第五节明确提出要“夯实网络安全综合保障能力”原文内容如下:
原文:健全网络安全管理制度,建立网络安全责任体系,落实网络安全管理主体责任,升级信息系统安全建设、安全测评、容灾备份等保障措施,完善电子政务内网和外网管理,形成各方协同配合的网络安全防范、监测、通报、响应和处置机制,构建涵盖物理、网络、数据、系统等全方位、多层次的安全防护体系。加强对网络视频会议、电视电话会议等服务保障能力。
解读:目前我国的医药监管平台主要依靠“药监云”实现对各区域间的医药监管的能力职责,但存在主要责任划分不清楚、办理流程不清晰、公众参与少的情况时常发生。为此,《规划》也提出了推动药品产业数字化、智能化转型升级;构建药品监管社会共治体系,提升公众对药品安全的参与度,使人民群众对药品质量和安全更加满意、更加放心的建设目标。但是伴随着这种受控人群逐步放开的情况,原有的监管云面向受众更广、对接企业、政务网的情况增多,导致情况对接日益复杂。
为了能够有效的解决这方面带来的挑战,应当主要加强监管平台及监管体系的网络安全防护工作,那么如何实现这样的防护能力,《规划》提出了应当形成各方协同配合的网络安全防范、监测、通报、响应和处置机制,构建涵盖物理、网络、数据、系统等全方位、多层次的安全防护体系,这一点也符合适合我国国情的WPDRRC安全保障模型,满足在围绕安全事件发生后的应急保障体系,将传统的被动防御策略,转变为现实。在围绕以上建设体系的主线上,也提出了以下的要求:
1. 加强网络安全保障管理
《规划》提出“落实网络安全管理主体责任,升级信息系统安全建设、安全测评、容灾备份等保障措施”的话术,表明医药监管平台在建设前、建设中以及后续的使用过程当中,要落实网络安全主体责任工作,加强网络安全责任制。严格管理企业的网络安全工作建设,其主要也是保障在发生安全事件时,能够时间的处置工作由专门的领导负责,并且按照《网络安全法》的相关要求,一般为单位法人及技术领导为主。信息系统的安全建设、安全测评、容灾备份保障措施,可以理解为国内权威的网络安全等级保护工作、网络安全风险评估工作。这意味着医药监管平台在继互联网医院、互联网医疗之后,迎来了安全测评的工作热潮。满足国家安全测评要求,也可成为评判医药监管平台是否满足安全保障管理要求的重要依据和手段。容灾备份也是系统的重要保障手段之一,值得一提的是容灾备份分为数据级备份和应用级备份,在这里应当为应用级备份,保障系统的安全和高可用性。
2. 推进数据安全保障建设
《规划》提出“按照《数据安全法》等法规要求,开展数据安全顶层设计和统筹管理,明确数据安全责任主体,健全数据安全管理工作机制,通过技术手段提升数据的存储安全、传输安全、访问安全和使用安全,确保数据的机密性、完整性和可用性。建立统一高效、协同联动的数据安全风险报告及研判处置体系。”可以理解为对医疗监管平台的主要数据的保护措施,往往医疗行业会涉及到众多隐私数据,比方说:个人信息数据、就诊数据等等,这些数据往往也决定了监管工作能否正常开展。并且,目前我国电信诈骗、钓鱼邮件的场景层出不穷,在这样的大环境下,不难理解,对数据安全的加强监管措施除了保障业务系统的可靠,也保障了民生的稳定。
3. 升级安全管理运维平台
除了《规划》当中所提及的升级安全管理运维平台外,对安全保障还提及了完善网络安全信任体系、完善安全管理运维中心、建设统一认证服务系统的安全保障建设要求,以上的规划要求,其实主要落实在目前的网络安全大环境上,医药监管平台在除了使用传统的信息技术以外,正在逐步开发像是云计算、区块链、人工智能等高新技术的支撑保障。并且区域间的联动,导致传统的网络区域日益模糊,机器算力逐步也呈现边缘化的趋势。那么面向新技术的挑战,以往的被动防御不适用于现有的场景,创建网络安全信任体系、完善完善安全管理运维中心、建设统一认证服务系统的安全保障建设的建设内容,也逐步转型向安全运营的核心能力创建。不难理解,日后具有核心安全保障能力的安全运营平台及服务,将成为安全保障的主流。
三、 结语
在《规划》当中,还提及了需要加强组织领导与政策支持、完善工作保障体系、加强信息化项目管理、实行绩效考核评价等有关于管理方面的信息化安全保障措施。通过该《规划》不难看出,国家日益重视网络安全建设和保障工作。安全保障工作将成为日后各行业不可缺少的安全能力。通过多重保障+安全运营+人员管理的安全防护体系,将成为我国网络安全防护的一道靓丽的风景线。
400-067-1560
公司地址: 北京市朝阳区东大桥8号院SOHO尚都北塔B座10层、20层 (北京总部)
联系电话:400-067-1560
Email:contact@hqsec.com离职员工背景调查(邮箱):hq-hr@hqsec.com
