疾控行业信息技术外包服务网络安全范文

摘要：基于新的网络安全形势，在分析疾病预防控制领域信息技术外包服务存在的安全风险基础上，以网络安全相关的法律法规为标准，梳理各个环节的安全风险控制点，进而基于底线风险思维，提出信息技术外包服务网络安全的管理模型，以供卫生健康相关部门在实际工作中不断完善制度并督促持续改进，有侧重地对信息技术外包活动实施安全管控，降低网络安全风险，共享外包收益。

关键词：疾病预防控制；信息技术；网络安全；外包服务

0引言

全球的IT服务外包已经有近40年的发展历程。据统计，主要的信息技术服务领域包括IT咨询、系统集成、数据信息、应用开发、网路运行、战略咨询等[1]。国外很多医院都采取外包形式减轻自身在不同业务中的压力；随着医疗信息化的快速发展，中国基于信息技术的服务外包得到了迅速发展，也将成为新形势下医院信息化建设的主要手段，寻求IT运维服务外包，可以及时更新和解决信息化建设中的需求，许多医院收到了良好效果，外包业逐渐成为发展趋势[2-3]。

1IT外包服务发展状况

1.1发展基础

疾病预防控制行业的信息化起步较早，早期的信息系统多是以能够满足基本业务应用为前提，由行业内部的人员开发、运维的单机版系统，各方面的管理要求相对薄弱。2003年，SARS暴发以后，依托国家公共卫生应急反应机制体系建设，以传染病及突发公共卫生事件报告为龙头，逐步在疾病预防控制体系内部建立并全面应用了基于“网络直报”模式的中国疾病预防控制信息系统。经过近20年的不断发展，数据中心现已初具规模，为疾病预防控制提供信息服务。2018年4月，国务院办公厅印发《关于促进“互联网+医疗健康”发展的意见》，“互联网+公共卫生”是其重要内容[4]。随着信息化支撑政府行使公共服务职能的程度不断增加，各地正在建设省统筹区域全民健康保障信息化平台，部分省份已初见成效，为IT外包服务发展奠定了基础。

1.2IT外包服务的发展现状

疾病预防控制信息化建设涉及业务范围广，用户体系复杂，难度和要求高，而且普遍缺乏专业的人才队伍。2019年全民健康信息化调查结果显示，省级卫生健康委信息化主管部门人员的专业背景以医学类专业为主，占50.6%，在“区域信息化建设障碍”涉及的12项限制条件调查中，部门人力资源不足占第2位[5]。近年来，随着大数据、区块链及云计算等新兴技术的快速发展，医疗卫生行业信息化发生了巨大的变化，越来越多的医疗卫生部门更专注业务发展，随之而来的是信息技术外包服务模式的快速发展，解决了医疗卫生行业IT管理过程中一系列瓶颈问题。国家卫生健康委统计信息中心编著的《（2019）全民健康信息化调查报告——区域卫生信息化与医院信息化》调查表明，25个应用信息系统第三方承建商建设比例均高于90%[5]。

2主要风险

尽管IT外包服务发挥了专业优势，提高了信息化的效率，但同时也隐藏着巨大的网络安全风险。首先，IT外包服务引发的内部安全威胁是管理不规范，缺乏有效的监管机制，IT企业服务人员不按照规定擅自操作，网络安全遭受威胁；其次，主要是IT企业服务人员利用权限非法访问数据库系统，窃取数据信息，或者对一些记录进行篡改，甚至修改日志系统，导致网络安全事件发生。IT外包机构的人员利用掌握数据的便利，为自己谋取利益的事件屡见不鲜。如：2011年，上海市卫生局外包公司的工作人员利用开发维护出生系统数据库的便利，非法下载了约14万条新生儿出生信息并出售获利；2009年，深圳福彩中心外包公司的工作人员通过自编木马软件入侵福彩中心销售系统，恶意篡改中奖数据并伪造3305万大奖[6]等。公共卫生数据汇集了海量特定人群的健康数据，包含大量个人隐私信息，具有很高的商业价值，数据安全面临着越来越多的挑战。数据一旦泄露，不仅对个人造成健康风险和损失，而且直接影响政府的公信力，后果严重。

3网络安全管理

3.1标准规范

国际上通常使用ISO27001《信息安全管理体系》为部门信息技术外包服务的安全管理提供参考，国内研制和的相关标准规范，主要为《信息安全技术政府部门信息技术服务外包信息安全管理规范》（GB/T32926—2016）。另外，《中华人民共和国网络安全法》《信息安全技术—网络安全等级保护基本要求》（22239—2019），以及《信息技术服务外包第1部分：服务提供方通用要求》（GB/T33770•1—2017）等法律法规及标准规范中，也对涉及外包软件开发和外包运维管理部分提出了明确的安全要求。《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）为服务外包使用单位和提供商建立信息安全保障体系提供了全面指导；《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号），以及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960号）再次突出落实信息安全等级保护，完善信息安全认证认可体系，强调严格政府信息技术服务外包的安全管理。作为国家卫生健康委推荐的行业关键信息基础设施责任单位，中国疾病预防控制中心（以下简称“中国疾控中心”）具有多年的信息技术外包服务管理实践，在充分理解国内外的技术标准规范，以及国家卫生健康委颁布的相关行业管理要求的基础上，结合当前疾控领域业务特点（纵向贯通，强调业务协同；横向提供多方位服务）总结中国疾控中心开展信息化工作的现状，以行业关键信息基础设施牵头，带动覆盖疾控全行业及中心下属各直属二级法人单位，提出了适合本行业的网络安全管理体系设计思路，见图1。

3.2依据服务周期的安全管理模型

参考《信息安全技术政府部门信息技术服务外包信息安全管理规范》（GB/T32926—2016），在明确服务外包信息安全管理角色和责任的同时，按照外包服务的生命周期，将管理活动划分为4个阶段：规划准备、机构和人员选择、运行监督、改进完成，作为信息技术服务外包安全管理的参考，见图2。分阶段、有侧重地对信息技术外包服务活动采取适当的控制措施实施管理，主要包括信息安全组织、通信和操作管理、人力资源安全、访问控制、物理和环境安全、服务获取、管理和保持、信息安全事件管理和业务连续性管理。

3.3安全管理体系

针对疾控机构信息技术外包服务面临的安全挑战和客观问题，结合自身实际情况，按照国家法律法规及相应标准逐条对标，落实安全管理要求。主要从外包服务商、外包人员、外包软件、外包建设、外包运维5个维度开展信息技术服务外包管控工作，并通过梳理各个环节的网络安全风险控制点，对照管控要求，建立监督检查机制。

3.4IT外包服务的检查与落实

针对中国疾控中心IT外包服务网络安全的风险控制点，制定了相应的检查与绩效考核评估办法。通过检查与考核来评估安全制度的落实情况，找出其中的不足，完善制度并督促持续改进。在实施过程中，由于服务委托方与外包服务商之间存在明显的技术能力不对称，很多信息技术外包服务，特别是针对应用开发的代码、数据库设计，以及公有云租赁服务等缺乏有效的监管手段。除对外包服务商加强规范管理外，委托方选择引入有资质的第三方，采取诸如基于源代码的安全审计、代码托管等手段，也可以有效地对外包服务商实施监管。针对当前需求很强烈的公有云租赁服务，中国疾控中心在信息技术外包服务网络安全框架的基础上，强化了对公有云租赁的网络安全风险控制点的管控要求。根据服务的生命周期，按照云安全责任边界、入云安全管理、部署安全管理、运行安全管理、退云安全管理几个阶段梳理网络安全风险控制点。从云服务商的安全资质、人员背景、云平台的可用性、云供应链管理、被监管程度、中心云租户入/退云时重要数据与应用的管理、日常运维管理等多个业务层面提出了云租赁服务的网络安全关键控制要求，有效保障了云租赁外包服务的开展。

4讨论

4.1充分发挥外包服务优势

IT服务外包有利于控制和减少机构成本、使用新的技术与经验增强灵活性、提高工作效率、减少不确定性、消除累赘业务及提高可信度等[7]。随着国家“健康中国2030”规划纲要和“数字中国”战略的实施，卫生健康信息化不断向纵深发展，大数据、5G、云计算、移动互联等新技术不断涌现，对信息技术及信息系统管理的要求与日俱增。同时，卫生健康信息化人才队伍建设滞后、人才短缺，以及现有人员的培训不足等，直接制约了卫生健康信息化建设工作的可持续开展[8]。加强IT外包的有效管理，不仅可以缓解医疗人员不足的矛盾，保障网络和信息系统的平稳及安全运行，而且可以提升业务部门对信息化建设的满意度[9]。

4.2把控外包服务的安全底线

随着信息技术外包服务模式的迅猛发展，网络安全的管控可谓重中之重，如何确保医疗卫生健康信息和数据的安全，规范地建立起有效的网络安全框架，是信息技术外包服务过程中的最大挑战。外包服务的网络安全管理是IT外包服务的底线，基于风险思维，综合疾病预防控制机构的实际情况，研究可量化、规范的IT外包服务安全管理体系，逐步落实外包安全管理关键措施，全面提升信息技术服务外包安全管理水平，有效杜绝因信息技术服务外包发生信息安全事件。

5结语

通过对疾病预防控制领域或体系信息系统集成、运行维护、安全测评等信息技术外包服务内容及过程的梳理，目前亟需建立信息技术外包服务的网络安全管理模型及规范，解决行业内外包服务机构背景复杂、服务人员流动性大、内部管理不规范等问题带来的网络安全风险，落实信息技术外包服务的规范化安全管理，实现行业信息技术外包服务网络安全管理整体水平的有效提升。在此框架下，将继续研究卫生健康行业的安全管理机制，切实指导不同层级卫生健康部门有侧重地对信息技术外包活动实施安全管理工作，降低网络安全风险，共享外包收益。

作者:傅罡 张英杰 宋庆华 赵梓辰