本站小編為你精心準備了疾控行業信息技術外包服務網絡安全參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：基于新的網絡安全形勢，在分析疾病預防控制領域信息技術外包服務存在的安全風險基礎上，以網絡安全相關的法律法規為標準，梳理各個環節的安全風險控制點，進而基于底線風險思維，提出信息技術外包服務網絡安全的管理模型，以供衛生健康相關部門在實際工作中不斷完善制度并督促持續改進，有側重地對信息技術外包活動實施安全管控，降低網絡安全風險，共享外包收益。

關鍵詞：疾病預防控制；信息技術；網絡安全；外包服務

0引言

全球的IT服務外包已經有近40年的發展歷程。據統計，主要的信息技術服務領域包括IT咨詢、系統集成、數據信息、應用開發、網路運行、戰略咨詢等[1]。國外很多醫院都采取外包形式減輕自身在不同業務中的壓力；隨著醫療信息化的快速發展，中國基于信息技術的服務外包得到了迅速發展，也將成為新形勢下醫院信息化建設的主要手段，尋求IT運維服務外包，可以及時更新和解決信息化建設中的需求，許多醫院收到了良好效果，外包業逐漸成為發展趨勢[2-3]。

1IT外包服務發展狀況

1.1發展基礎

疾病預防控制行業的信息化起步較早，早期的信息系統多是以能夠滿足基本業務應用為前提，由行業內部的人員開發、運維的單機版系統，各方面的管理要求相對薄弱。2003年，SARS暴發以后，依托國家公共衛生應急反應機制體系建設，以傳染病及突發公共衛生事件報告為龍頭，逐步在疾病預防控制體系內部建立并全面應用了基于“網絡直報”模式的中國疾病預防控制信息系統。經過近20年的不斷發展，數據中心現已初具規模，為疾病預防控制提供信息服務。2018年4月，國務院辦公廳印發《關于促進“互聯網+醫療健康”發展的意見》，“互聯網+公共衛生”是其重要內容[4]。隨著信息化支撐政府行使公共服務職能的程度不斷增加，各地正在建設省統籌區域全民健康保障信息化平臺，部分省份已初見成效，為IT外包服務發展奠定了基礎。

1.2IT外包服務的發展現狀

疾病預防控制信息化建設涉及業務范圍廣，用戶體系復雜，難度和要求高，而且普遍缺乏專業的人才隊伍。2019年全民健康信息化調查結果顯示，省級衛生健康委信息化主管部門人員的專業背景以醫學類專業為主，占50.6%，在“區域信息化建設障礙”涉及的12項限制條件調查中，部門人力資源不足占第2位[5]。近年來，隨著大數據、區塊鏈及云計算等新興技術的快速發展，醫療衛生行業信息化發生了巨大的變化，越來越多的醫療衛生部門更專注業務發展，隨之而來的是信息技術外包服務模式的快速發展，解決了醫療衛生行業IT管理過程中一系列瓶頸問題。國家衛生健康委統計信息中心編著的《（2019）全民健康信息化調查報告——區域衛生信息化與醫院信息化》調查表明，25個應用信息系統第三方承建商建設比例均高于90%[5]。

2主要風險

盡管IT外包服務發揮了專業優勢，提高了信息化的效率，但同時也隱藏著巨大的網絡安全風險。首先，IT外包服務引發的內部安全威脅是管理不規范，缺乏有效的監管機制，IT企業服務人員不按照規定擅自操作，網絡安全遭受威脅；其次，主要是IT企業服務人員利用權限非法訪問數據庫系統，竊取數據信息，或者對一些記錄進行篡改，甚至修改日志系統，導致網絡安全事件發生。IT外包機構的人員利用掌握數據的便利，為自己謀取利益的事件屢見不鮮。如：2011年，上海市衛生局外包公司的工作人員利用開發維護出生系統數據庫的便利，非法下載了約14萬條新生兒出生信息并出售獲利；2009年，深圳福彩中心外包公司的工作人員通過自編木馬軟件入侵福彩中心銷售系統，惡意篡改中獎數據并偽造3305萬大獎[6]等。公共衛生數據匯集了海量特定人群的健康數據，包含大量個人隱私信息，具有很高的商業價值，數據安全面臨著越來越多的挑戰。數據一旦泄露，不僅對個人造成健康風險和損失，而且直接影響政府的公信力，后果嚴重。

3網絡安全管理

3.1標準規范

國際上通常使用ISO27001《信息安全管理體系》為部門信息技術外包服務的安全管理提供參考，國內研制和的相關標準規范，主要為《信息安全技術政府部門信息技術服務外包信息安全管理規范》（GB/T32926—2016）。另外，《中華人民共和國網絡安全法》《信息安全技術—網絡安全等級保護基本要求》（22239—2019），以及《信息技術服務外包第1部分：服務提供方通用要求》（GB/T33770•1—2017）等法律法規及標準規范中，也對涉及外包軟件開發和外包運維管理部分提出了明確的安全要求?！秶倚畔⒒I導小組關于加強信息安全保障工作的意見》（中辦發〔2003〕27號）為服務外包使用單位和提供商建立信息安全保障體系提供了全面指導；《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》（國發〔2012〕23號），以及《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》（公網安〔2020〕1960號）再次突出落實信息安全等級保護，完善信息安全認證認可體系，強調嚴格政府信息技術服務外包的安全管理。作為國家衛生健康委推薦的行業關鍵信息基礎設施責任單位，中國疾病預防控制中心（以下簡稱“中國疾控中心”）具有多年的信息技術外包服務管理實踐，在充分理解國內外的技術標準規范，以及國家衛生健康委頒布的相關行業管理要求的基礎上，結合當前疾控領域業務特點（縱向貫通，強調業務協同；橫向提供多方位服務）總結中國疾控中心開展信息化工作的現狀，以行業關鍵信息基礎設施牽頭，帶動覆蓋疾控全行業及中心下屬各直屬二級法人單位，提出了適合本行業的網絡安全管理體系設計思路，見圖1。

3.2依據服務周期的安全管理模型

參考《信息安全技術政府部門信息技術服務外包信息安全管理規范》（GB/T32926—2016），在明確服務外包信息安全管理角色和責任的同時，按照外包服務的生命周期，將管理活動劃分為4個階段：規劃準備、機構和人員選擇、運行監督、改進完成，作為信息技術服務外包安全管理的參考，見圖2。分階段、有側重地對信息技術外包服務活動采取適當的控制措施實施管理，主要包括信息安全組織、通信和操作管理、人力資源安全、訪問控制、物理和環境安全、服務獲取、管理和保持、信息安全事件管理和業務連續性管理。

3.3安全管理體系

針對疾控機構信息技術外包服務面臨的安全挑戰和客觀問題，結合自身實際情況，按照國家法律法規及相應標準逐條對標，落實安全管理要求。主要從外包服務商、外包人員、外包軟件、外包建設、外包運維5個維度開展信息技術服務外包管控工作，并通過梳理各個環節的網絡安全風險控制點，對照管控要求，建立監督檢查機制。

3.4IT外包服務的檢查與落實

針對中國疾控中心IT外包服務網絡安全的風險控制點，制定了相應的檢查與績效考核評估辦法。通過檢查與考核來評估安全制度的落實情況，找出其中的不足，完善制度并督促持續改進。在實施過程中，由于服務委托方與外包服務商之間存在明顯的技術能力不對稱，很多信息技術外包服務，特別是針對應用開發的代碼、數據庫設計，以及公有云租賃服務等缺乏有效的監管手段。除對外包服務商加強規范管理外，委托方選擇引入有資質的第三方，采取諸如基于源代碼的安全審計、代碼托管等手段，也可以有效地對外包服務商實施監管。針對當前需求很強烈的公有云租賃服務，中國疾控中心在信息技術外包服務網絡安全框架的基礎上，強化了對公有云租賃的網絡安全風險控制點的管控要求。根據服務的生命周期，按照云安全責任邊界、入云安全管理、部署安全管理、運行安全管理、退云安全管理幾個階段梳理網絡安全風險控制點。從云服務商的安全資質、人員背景、云平臺的可用性、云供應鏈管理、被監管程度、中心云租戶入/退云時重要數據與應用的管理、日常運維管理等多個業務層面提出了云租賃服務的網絡安全關鍵控制要求，有效保障了云租賃外包服務的開展。

4討論

4.1充分發揮外包服務優勢

IT服務外包有利于控制和減少機構成本、使用新的技術與經驗增強靈活性、提高工作效率、減少不確定性、消除累贅業務及提高可信度等[7]。隨著國家“健康中國2030”規劃綱要和“數字中國”戰略的實施，衛生健康信息化不斷向縱深發展，大數據、5G、云計算、移動互聯等新技術不斷涌現，對信息技術及信息系統管理的要求與日俱增。同時，衛生健康信息化人才隊伍建設滯后、人才短缺，以及現有人員的培訓不足等，直接制約了衛生健康信息化建設工作的可持續開展[8]。加強IT外包的有效管理，不僅可以緩解醫療人員不足的矛盾，保障網絡和信息系統的平穩及安全運行，而且可以提升業務部門對信息化建設的滿意度[9]。

4.2把控外包服務的安全底線

隨著信息技術外包服務模式的迅猛發展，網絡安全的管控可謂重中之重，如何確保醫療衛生健康信息和數據的安全，規范地建立起有效的網絡安全框架，是信息技術外包服務過程中的最大挑戰。外包服務的網絡安全管理是IT外包服務的底線，基于風險思維，綜合疾病預防控制機構的實際情況，研究可量化、規范的IT外包服務安全管理體系，逐步落實外包安全管理關鍵措施，全面提升信息技術服務外包安全管理水平，有效杜絕因信息技術服務外包發生信息安全事件。

5結語

通過對疾病預防控制領域或體系信息系統集成、運行維護、安全測評等信息技術外包服務內容及過程的梳理，目前亟需建立信息技術外包服務的網絡安全管理模型及規范，解決行業內外包服務機構背景復雜、服務人員流動性大、內部管理不規范等問題帶來的網絡安全風險，落實信息技術外包服務的規范化安全管理，實現行業信息技術外包服務網絡安全管理整體水平的有效提升。在此框架下，將繼續研究衛生健康行業的安全管理機制，切實指導不同層級衛生健康部門有側重地對信息技術外包活動實施安全管理工作，降低網絡安全風險，共享外包收益。

作者:傅罡 張英杰 宋慶華 趙梓辰