医疗设备信息安全全生命周期管理体系实践

李金刚，马振宇，衡反修（通信作者）

北京大学肿瘤医院·北京市肿瘤防治研究所 （北京 100142）

近年来，网络和数据安全成为信息化建设的重要方向。在医疗行业，对于医疗设备（特指与医院信息系统有数据接入的医疗设备）信息安全的管理，法律法规虽有提及，但大多较笼统，缺乏具有针对性的指导文件，难以具体落实。医疗设备型号众多、功能各异，信息安全层面的指导标准参差不齐[1]。在医院内部，信息部门虽作为医院网络数据安全的责任科室，但既不参与医疗设备采购流程，也并非医疗设备使用科室。管理体系的不健全导致医疗设备信息安全成为医院网络安全防护体系中的薄弱环节，许多在用医疗设备与互联网连接，暴露出医疗数据可能通过互联网泄露的风险[2]。本研究从北京大学肿瘤医院实际情况出发，对医疗设备连接互联网情况进行统计和分析，探讨建立医疗设备信息安全全生命周期管理体系，具有较好的推广借鉴意义。

1 医疗设备连网现状及原因分析

该院的医院信息系统为局域网，医疗设备普遍连接医院信息系统。通过走访、调查、数据提取核对，发现医疗设备除连接医院信息系统外，也存在连接院外网络的情况，连接院外网络的医疗设备共计17 台（套），见表1。对上述医疗设备连接互联网方式、连接互联网目的、医疗设备品牌类型统计显示（图1）：医疗设备连接互联网方式中，4G网卡占比65%，拨号上网占比30%，院内互联网占比5%；医疗设备连接互联网目的中，远程维护占比68%，远程巡检占比16%，远程监测占比11%，移动应用占比5%；医疗设备品牌类型中，国外品牌占比67%，国产品牌占比33%。

图1 医疗设备连接互联网多维度统计

表1 医疗设备连接多网络情况

结合该院实际情况，将上述医疗设备标记为风险设备，以GB/T 20984-2007《信息安全技术信息安全风险评估规范》[2]为参考，建立设备风险评估模型。该风险评估模型中主要包括资产价值、脆弱性、资产威胁3 个评估维度[3]。对比院内模型数据发现，风险设备在资产价值、脆弱性等方面相似性较高，而高运维量的设备资产威胁更高，运维量与资产威胁和风险等级成近似正比例关系。对比风险设备数据发现，13 台设备运维量低，提示风险等级相对较低；4 台设备运维量高，提示风险等级相对较高。分析风险设备互联网接入形式发现，大多数设备采用外接上网模块（4G 网卡、拨号上网）的形式，且均未配置安全防护措施；分析风险设备品牌发现，67%为国外品牌，设备数量占比大、数据违规出境风险较高。

经过溯源探究，造成以上情况的原因如下。（1）诊疗需求：医疗设备是医院的核心物质基础，诊疗过程中发生医疗设备宕机时，若不能及时排除故障，则会延误患者诊疗，引发患者投诉，增加医患矛盾。（2）高技术壁垒：近些年虽然越来越多的医院使用国产品牌医疗设备，政策层面也倾向于推荐国产品牌，但现阶段特别是大型医院的医疗设备仍以进口品牌为主，且对运维人员的技术需求极高。（3）监测安全风险：部分大型医疗设备涉及放射性危害或具有潜在辐射泄露等安全风险[4]，需实时进行状态监控，及时报警。

2 医疗设备信息安全全生命周期管理体系建设

通过分析问题发现，医疗设备在使用过程中确实存在连接互联网造成数据泄露的风险，但多为必要的业务需求。管理体系建设需按照实际情况，寻求安全与需求的平衡点，在安全的条件下最大限度保障业务需求。通过评估数据安全和业务需求的矛盾论证得到结论，应首要考虑数据安全，业务需求须以数据安全建设为前提。

医院原有采购流程和信息安全建设是两个独立的控制线。信息安全管理部门多在设备正式运行过程阶段才介入，风险评估、安全要求、运维整改等信息安全工作滞后于设备上线流程。建立医疗设备信息安全全生命周期管理体系，应保证以医疗设备为中心，将信息安全纳入医疗设备采购流程、人员管理、运行维护、报废流程4 个维度（图2），建立医疗设备入院前、在院中、出院前的信息安全管理模式，具体如下。（1）采购流程注重信息安全前置审核，设备申请、产品介绍会、产品对比、评审论证、安装调试、设备验收阶段均须实施信息安全风险审核，前置排查信息安全隐患，及时预警，风险评估不合规的设备拒绝接入医院信息系统。（2）从使用人员、管理人员、维保人员3 个管理角度进行信息安全宣教和约束，要求各方人员签署信息安全承诺书，承诺不进行违规操作，同时明确各方人员责任和违规处置措施。（3）运行维护阶段持续时间最长，期间运维公司及人员均有可能发生变动，也是最易存在信息安全隐患的阶段。运维公司及人员在设备运维过程中，应注意避免外接设备、核心数据传输出院，系统数据备份、运行维护、系统升级需保留操作记录，运维人员涉及数据安全的操作应在网络安全员监督下进行。（4）设备报废阶段需注意数据和网络访问信息处理，信息部门须第一时间断开报废设备网络连接，清除网络访问记录，并登记信息安全台账，附带存储设备需进行数据擦除。

图2 医疗设备信息安全全生命周期管理体系

医疗设备信息安全全生命周期管理体系建设具体从制度建设、强化人员管理、安全运行维护、调整采购和报废流程4 个方面入手。（1）制度建设：院内网络安全和信息化领导小组召开医疗设备信息安全工作组专项会议，明确网络安全和信息化领导小组下设医疗设备信息安全工作组，负责具体落实医疗设备信息安全管理工作，全院信息化须由信息部门统一规划、统一建设、统一管理，拟定《医疗设备互联网接入申请表》《医疗设备连接互联网入网规定》《医疗设备信息安全承诺书-院内科室》《医疗设备信息安全承诺书- 公司》《信息安全评估表》《医疗设备信息安全验收报告》，建立健全相关信息安全机制[5]。（2）强化人员管理：医疗设备使用科室及人员、医疗设备厂商、运维人员均需熟知并签署医疗设备信息安全承诺书，承诺设备使用过程中自觉保护数据安全；明确责任划分方法，即谁使用谁负责、谁审批谁负责，一旦出现信息安全事故，及时追责[6]。（3）安全运行维护：医疗设备接入互联网必然会带来数据泄露风险[7]，可通过调整互联网接入监管及审批流程，合理降低互联网接入频次，增加现场运维频次以取代远程巡检和远程维护，也可通过2G 短信发送监测信息以取代互联网实时监控。《中华人民共和国数据安全法》第二十七条规定：利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。依此要求，对必须实时接入互联网的设备，医疗设备厂商在要求接入互联网时，应要求厂商主动提供数据接收系统的信息系统安全等级保护备案证明，且该备案证明等级不应低于医疗设备所连接医院信息系统备案证明等级；而医院作为使用单位，也应主动告知医疗设备连接互联网存在的数据安全风险，厂商须定期向医院汇报数据传输日志，全程接受医院监管[8]。运行维护期间，厂商须每年提供信息安全等级保护系统测评报告，医院备案存档。（4）调整采购和报废流程：向科室申请、产品介绍、评审、采购、安装、验收、运行维护、报废等流程加入信息安全评估环节[9]，见图3。科室申请时使用《信息安全评估表》进行事前评估。在产品介绍中加入信息安全项，例如厂商是否提交《医疗设备信息安全承诺书》。信息部门根据设备类型在评审环节派专人参会，与厂商或服务商进行直接沟通，详细了解相关情况。设备验收时，医学工程处须填写《医疗设备信息安全验收报告》，信息部门根据实际信息安全情况打分，评分对应4 类风险级别（无风险、低风险、中风险、高风险），评分情况体现在纸质验收文档中，可辅助医疗设备采购科室、使用科室最终决策。设备使用维护过程中，使用科室需接受设备信息安全培训，并签署《医疗设备信息安全承诺书》，信息部门担任安全顾问。科室提出设备报废申请时，信息部门在第一时间进行擦除数据、清除网络访问信息、记录信息安全台账工作。

图3 医疗设备全生命周期信息安全防护流程

3 应用效果

医疗设备全生命周期管理体系自2021 年10 月上线以来，受到各科室鼓励和好评，解决了医技科室、临床科室面临的高科技化医疗设备信息安全难把控的问题。根据2021 年10 月至2022 年6 月统计数据，全院共计268 台（类）设备完成信息安全评估和使用指导；医院各科室签署《医疗设备信息安全承诺书》21 份、厂商签署《医疗设备信息安全承诺书》34 份；解决医疗设备违规外接互联网问题13 起，规范化处理医疗设备用网安全问题3 起；参与产品介绍会信息安全审查7 次、评审论证会8 次、医疗设备全流程信息安全评估11 次；拟定医疗设备信息安全验收报告12 份。其中，约20 次协助临床科室参与设备信息安全评估选型，将安全风险降到可控范围内。与该管理体系上线前相比，有效解决医疗设备信息安全问题16 起，有效规避信息安全风险46 起。

4 讨论

北京大学肿瘤医院自实施医疗设备信息安全全生命周期管理体系以来，填补了医院多年来关于医疗设备信息安全管理的空白。通过设置医疗设备信息安全工作组，医疗设备信息安全管理有了主管监管部门，医疗设备联网在制度、管理、使用层面均设置细则条款，将医疗设备与信息系统终端纳入同质化数据安全管理。

对医疗设备而言，网络安全和便捷维护始终互为矛盾。从网络安全法律法规角度出发，任何医疗设备都不应以牺牲安全为代价开展业务，这是不可逾越的红线；从实际业务需求方面来看，也不能过度追求网络安全而放弃医疗设备为医院带来的治疗效益，需要时刻把握其中的平衡，以数据安全为前提最大限度保障医疗设备治疗业务正常开展。通过制订个性化联网策略，在满足医疗设备用网需求的同时，保证不跨越数据安全红线。

通过要求各厂商签署《医疗设备信息安全承诺书》、各科室签署《医疗设备信息安全承诺书》，将医院做好医疗设备信息安全管理的理念传达到了每个部门。同时，对医院而言，管理制度的落实也依靠各部门发挥自身作用，否则即使有制度，也无实际效用可言。

科室申请、产品介绍、评审、采购等环节加入信息安全评估后，也大大减小了使用科室、采购部门的压力，对于信息安全的把控，有专业人员现场指导。同时医疗设备联网使用需求的交流也更加专业、明确。验收上线、报废下线环节在专业网络安全人员的指导下进行，每台设备做好信息安全台账登记，责任到人，有效减少数据被人为泄露的可能性。

在医院内部，网络安全、数据安全工作不分科室、不分人员，以医院网络安全防护体系整体建设为共识，以医院整体为单位，自上而下落实制度、各科室互相协作，才能建立真正的信息安全屏障；而新制度、新体系在建立初期总会遇到障碍，无论是对科室还是厂商，运维便捷性的降低必然会引起“不适”，解决这些问题，需坚持原则，晓之以情、动之以理。

新体系的建立，也对信息部门提出了更高的要求，作为医院网络安全的责任部门，需要主动承担责任，加强监督管理；也要完善宣教工作，促进整体网络安全意识的提升；同时注重自身专业素质的提升，由于医疗设备种类、品牌、型号众多，专业性强，功能各异，必须不断学习和了解医疗设备的相关知识，切实开展管理工作，真正发挥管理作用。

5 结论

医疗设备信息安全全生命周期管理体系的建立，较好地解决了医疗设备信息安全问题，一方面实现了设备入院前、在院中、出院前的信息安全全流程保障，使医疗设备信息安全管理步入正轨；另一方面，管理体系的建立过程，也全方面促进了医院各科室信息安全防护意识的提升，通过摸排、指导等交流工作，大范围普及了医院网络和数据安全的规章要求，同时使各部门、职工充分意识到数据安全人人有责。

2022 年3 月，国家药品监督管理局医疗器械技术审评中心发布《医疗器械网络安全注册审查指导原则（2022 年修订版）》[4]，强调了医疗设备更应加强信息安全管理。强有力的约束指导文件，对各品牌、种类设备进行信息和数据安全标准统一约束，将引导医疗设备信息安全管理更加规范有序。

医疗设备信息安全全生命周期管理体系的建立，明确加强各方人员管理约束，切实解决了医疗设备信息安全管理不规范问题，弥补了医院信息安全、数据安全建设的漏洞，对医院网络安全防护体系建设具有重大意义。