三甲医院网络安全违法案件案例:犯罪分子在医院弱电井房内加装VOIP设备
根据2026年7月9日,网信湖南报道:近期岳阳市公安局网安大队查处辖区三甲医院网络安全违法案件,对该院处以1万元罚款并责令整改,同步联合网信、卫健部门组织全市医疗机构警示约谈。
2026年6月,警方排查发现不法分子潜入医院弱电井加装VOIP设备,借用医院固话线路拨打诈骗电话,刑事案件仍在办理。同步核查确认医院存在多项网络安全管理问题:1.弱电井、机房无固定巡检流程,弱电井未分配管理人、常年不上锁,物理管控失效;2.未部署网络边界、通话线路异常监测类安全设备,无法及时发现外来设备私接、异常外呼行为。执法机关依据《网络安全法》第二十三条、第六十一条作出处罚,要求全市所有医疗机构开展弱电设施、通信机房专项自查。
案情回顾
2026年6月,岳阳公安网安部门工作发现,犯罪分子在辖区内某甲医院的弱电井房内加装VOIP设备,借此远程操控医院固话对外拨打诈骗电话,目前该案正在侦办中。对于该医院网络安全防护不到位的情况,岳阳公安网安部门同步开展核查,发现该医院网络安全管理存在多项重大漏洞:对机房、弱电井房无巡查巡检制度,弱电井房未明确安全管理责任人且未上锁,未采取网络边界监测、线路异常通话监测等技术防护措施。
对于上述问题,岳阳市公安机关依据《网络安全法》对该医院不履行网络安全保护义务的情形处以罚款1万元、责令改正,并会同市委网信办、市卫健委召开医疗行业警示约谈会,要求全市各级医疗机构全面开展弱电井、通信机房安全自查,切实履行网络安全主体责任。
案例简评
1.很多医院合规工作重心都放在医院信息系统、患者隐私数据防护上,忽略弱电井、楼层配线间这类线下基础设施,认为属于后勤管理范畴,不属于网络安全。但监管口径明确,通信管线、弱电设施属于网络基础设施,物理管理漏洞属于未履行等保法定安全义务。
2.医院本身没有参与诈骗,但因管理缺位给不法分子提供可乘之机,依法需要承担行政责任。该案例说明,网络安全风险不止来源于线上攻击,线下物理点位管理疏漏同样会触发处罚,还会衍生电信诈骗、内网入侵等次生风险。
3.多部门联合约谈是常规行业风险提示手段,监管后续会常态化抽查医疗机构弱电、机房物理安防,不再只检查线上业务系统。基层门诊、分院线路点位分散,更容易出现同类管理漏洞,需同步覆盖自查。
物理安全自查要点
1.完善物理点位管理制度。给全部弱电井、通信机房分配专属责任人,所有井房门上锁;制定月度巡检表,记录门锁、线路、新增设备情况,留存巡检台账备查。
2.补充线路监测防护手段。对接运维团队,加装线路异常接入、高频陌生外呼监测功能,出现陌生设备接入、大批量外呼时及时告警处置。
3.优化等保及自查清单。把弱电井、户外管线、楼层配线间纳入日常安全自查、等保测评检查项,避免只核查服务器、业务系统造成管控盲区。
4.一线人员培训。对后勤、物业、运维人员开展简单培训,明确非工作人员不得私自开启弱电井,发现不明设备、陌生人员接触线路第一时间上报。
法条链接:
1.《中华人民共和国网络安全法》第二十三条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
2.中华人民共和国网络安全法》第六十一条
网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处一万元以上五万元以下罚款;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。