东莞台心医院徐上海:信息安全建设三方面规划
2012年进入医疗行业前,在制造行业中工作时,IT即信息科设置在公司的一个偏僻的小房间,而转入医疗行业后,信息科空间设置在医院建筑的中心位置,空间面积是所有科室中最大的。这样的转变让我认识到医疗行业信息化工作的重要性、担子的沉重性。
因离开企业多年,这些年随着工业互联网、两化融合概念、市场环境发生了很大的改变,制造行业对IT的依赖程度也发生了很大的变化,信息科在制造行业的地位也许会有很大的提升。
以下是我在多年信息化工作实践中,对于信息安全的一些体会和经验总结。包括对于国际、国内及我们身边安全形势的认知,以及我们如何面对这些安全形势、风险和挑战。另外如何在企业各个业务部门找到一个切入点,把信息化融入到业务流程中,发挥信息工具的优势。此外,还有我针对医疗行业信息化历史和现状,如何进行工作优化和提升的一些思考。
信息安全的严峻形势
自勒索软件出现之后,网络安全的重要性随之提升。自2017年《网络安全法》出台,后续又不断出台新的法律,如《中华人民共和国数据安全法》,《中华人民共和国人个信息保护法》,立法之后每年国家、省、市不定期开展进行攻防演练,市网安部门定期进行网络安全监管。信息安全的问题,我认为最大的问题是我们人的问题,这个人不仅仅是我们信息人,更多的是信息工具的使用人(用户),如果我们用户无安全意识,或安全意识淡薄,那我们的信息安全建设、硬件设备投入、软件系统的投入以及资金投入都不能够做好信息安全建设和保障。
近几年国家陆续出台了《个人信息保护法》以及《数据安全法》,以前的立法从酝酿到发布都要四年时间,但是这几部法律从讨论至发布仅用两年多时间就发布了,这说明了加强信息安全的紧迫性。在这个形势下,我们要对自己企业的风险做一个详细的分析,怎样争取资金,争取老板的支持,争取员工以及各个部门主管的支持,这就需要我们对企业的资源、财务能力、组织以及面临的情况进行分析。信息系统建设,必须从规划阶段就把安全建设融入进去,这样能够把安全建设的成本降到最低,把节约出来的成本,用于后续运营管理中的安全建设。
在信息安全建设过程中有几个事项需要重点注意:要加强制度建设和落实,完善组织架构,注重员工安全的培训;技术方面,我们加强网络边界安全、PC的安全、服务器的安全、 4G网络发展带来的移动端的安全;随着工业4.0的普及,工控系统的网络安全风险其实更严重;还有数据库管理员、软件开发人员,往往只关注软件的功能可用性,可靠性、很少考虑软件系统的安全性。
信息安全建设三方面规划
一、基础保障:建体系,搭围墙——建立信息安全组织、向高层要网络安全政策,向员工完善信息安全意识培训内容。自己做好网络安全,如边界安全建设、数据中心软硬件、策略配置。二、纵深防御:梳理数据资产、建立好保险柜,保护好企业的数据资产——加强数据库、数据文件等资产的安全防护管理,加强策略配置,堵内网安全漏洞。三、加强运营保障、主动出击加强安全运营管理:建立安全运营中心、定期开展应急演练、对软件开发和数据库管理加强安全的白盒或黑盒测试。如果经费充裕,尽量实现运维的自动化,解放信息管理人员的双手,把时间用于自我能力的提升。
基础保障的项目建设阶段,除了终端、内外部边界、数据中心的建设,还有制度建设方面要查漏补缺,注重木桶效应中最弱的部分。基础设施建设外,建立条件建立情报中心、资产管理和软件工程的服务中心,形成全面的管理。做好规划后,在询商时,我们可以根据资金预算做分析,哪些工作包是内部团队能够实现的,哪些工作包需要外包。然后对管理技术和自身价值两方面进行平衡,保证把钱用到刀刃上,在信息项目建设中能够提升信息人员的技能。
员工培训,对管理层高层管行政管理部门以及外部的供应商,外面执法机构对我们的要求融合着信息安全的体系,我们通过多种渠道,如做些宣传手册,包含一些日常的工作及生活中常遇到的信息安全事例。同时还可以进行应急演练或知识竞赛,或者借助日常生活如资金被盗以及网贷事件等机会给他们灌输信息安全的知识。针对IT人员,要引导他们在日常工作中加强信息安全的学习和培训 ,鼓励他们考些信息安全方面的证书,形成信息安全的学习氛围。