一、背景

随着大数据、云计算、物联网在医疗行业的应用不断深入，虽然越来越多的医疗卫生机构提供在线问诊、智能问药、药品快递到家等服务，很大程度上减少了接触传染的风险，增强了就医的便捷性，提高了优质医疗资源的利用效率。

二、标准

面对医疗行业网络安全复杂严峻的形势，国家相关部门高度重视医疗行业的网络安全工作，相继推出一系列政策法规要求落实网络安全等级保护制度。

2011年国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统（可由各省卫健委自己定义）必须通过等保三级测评，二级医院重要业务系统必须通过等保二级测评；

2016年国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求；

2018年7月国家卫健委《互联网医院管理办法（试行）》规定了承载互联网医院的平台必须通过等保三级测评。

2018年9月国家卫健委《国家健康医疗大数据标准、安全和服务管理办法（试行）》规定了承载健康医疗大数据的平台必须通过等级保护（未规定级别），一般引入大数据技术的医院都是三级甲等医院，基本以三级等保为主；

2020年3月2日国家医疗保障局、国家卫生健康委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》，要求互联网医保服务有关数据的网络安全工作，防止数据泄露。

三、互联网医疗行业等级保护测评调研

据中国医院协会信息管理专业委员会（CHIMA）发布的《2017-2018 年度中国医院信息化调查报告》显示，调查的484家医院中，仅有 36.16%通过了等级保护测评，明显低于金融、电信、能源等领域。在CHIMA《2018-2019 年度中国医院信息化调查报告》中，参与调查的 839 家医院中仅有43.95%通过了等级保护测评，其中三级医院比例明显大于三级以下医院，三级以下医院中75%未开展过等级保护测评。

四、以下重要卫生信息系统安全保护等级原则上不低于三级：

1.核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等；

2.区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。

3.满足如下条件之一的信息系统：

1）承载公民个人信息的信息系统；

2）承载核心业务信息（包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等）的信息系统；

3）与核心业务系统发生双向数据交换或业务协同的信息系统（包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等）；

4）承载国家法律法规需要落实敏感信息保护的信息系统；

5）承载医院对外形象宣传的信息系统或医院重要信息（包含但不限于医院门户网站、统一登录平台、移动OA、移动App等）；

6）与其他按照等级保护要求运行维护的信息系统发生双向数据交换或业务协同的信息系统。

五、常规化风险评估及等级测评

医疗机构在完成定级备案工作后，由信息安全管理部门牵头进行安全建设整改工作，可以自行开展安全评估，或者委托第三方单位开展安全评估工作，依据等级保护标准对评估结果进行差距分析，查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况，安排当年的等级测评工作，按照要求定级为三级及以上的系统每年开展一次测评，选择公安部推荐目录中的等级保护测评机构开展安全测评。

医疗机构应按照要求常规化风险评估、等级测评工作，做到定期排查系统安全隐患，对于不符合要求项，信息系统运营、使用单位及时开展安全整改。一般现场测评工作需要1周左右时间，测评完成后对未达到安全保护等级要求的问题进行整改，整改时间及程度依据系统安全现状及经费决定，不涉及购买设备、网络架构大变动小规模系统需要2周左右时间，总体测评及出具最终符合公安机关要求的测评报告需至少一月时间。

六、强化纵深防御能力

从网络整体架构出发，完善医疗机构网络安全建设，配备并配置必要的网络安全设备，形成纵深防御能力，确保系统中无高风险问题，其次再逐渐修正一些中低风险问题。鉴于医疗行业数据的重要性，做好数据备份、数据加密存储和传输工作，保障医疗数据的安全。

如需等保测评服务，可后台私信联系。陆陆科技整合云安全产品的技术优势，联合优质等保咨询、等保测评合作资源，提供等保项目的一站式服务，全面覆盖等保定级、备案、建设整改以及测评阶段，高效通过等保测评，落实网络安全等级保护工作。