安全資訊

醫院是一個(gè)國家的重要的基礎建設之一。救死護傷，是醫院職責，隨著(zhù)信息技術(shù)的普及，網(wǎng)絡(luò )和計算機技術(shù)成為醫院這個(gè)生態(tài)圈的一個(gè)重要組成部分，為人民的就業(yè)帶來(lái)便捷。但是由于這些技術(shù)的引進(jìn)，一個(gè)封閉的醫院數據生態(tài)系統，為外界提供了更多的入口，這些入口也成為很多網(wǎng)絡(luò )攻擊的目標。因此，對于醫院來(lái)說(shuō)，除了做好本職的工作外，醫院的網(wǎng)絡(luò )安全工作也需要的得到重視。同時(shí)也被要求開(kāi)展等級保護工作，針對數據重要性開(kāi)展分級保護工作。

醫院的等級保護工作早2011年就開(kāi)展了，在去年把互聯(lián)醫院平臺也列入了等級保護測評。具體的相關(guān)文件發(fā)布時(shí)間如下：

2011年

國家衛健委《衛生行業(yè)信息安全等級保護工作的指導意見(jiàn)》規定了三級醫院重要業(yè)務(wù)系統（可由各省衛健委自己定義）必須通過(guò)等保三級測評，二級醫院重要業(yè)務(wù)系統必須通過(guò)等保二級測評；

2016年

國家衛健委《2016 三級綜合醫院評審標準考評辦法 ( 完整版 )》規定了重要業(yè)務(wù)系統必須達到等保三級標準才滿(mǎn)足三級醫院評審標準中對于網(wǎng)絡(luò )安全的要求；

2018年

國家衛健委《國家健康醫療大數據標準、安全和服務(wù)管理辦法（試行）》規定了承載健康醫療大數據的平臺必須通過(guò)等級保護（未規定級別），一般引入大數據技術(shù)的醫院都是三級甲等醫院，基本以三級等保為主；

2018年

國家衛健委《互聯(lián)網(wǎng)醫院管理辦法（試行）》規定了承載互聯(lián)網(wǎng)醫院的平臺必須通過(guò)等保三級測評。

根據上述醫院開(kāi)展等級保護的相關(guān)意見(jiàn)和管理辦法的規定來(lái)看，一般建議醫院這樣來(lái)定級。

醫院內部重要的信息系統，建議這些內網(wǎng)的數據信息系統開(kāi)展等級保護三級測評，并且實(shí)現相關(guān)的等保建設和安全防護，具體的測評對象如下：

醫院信息系統（HIS）

實(shí)驗室（檢驗科）信息系統（LIS）

醫學(xué)影像信息系統（PACS）

電子病歷系統

與患者交流的其他服務(wù)系統

一些對外開(kāi)放的信息系統或者網(wǎng)站，主要用于OA，建議這些信息系統實(shí)施等級保護二級工作，開(kāi)展相關(guān)的測評和建設，具體的測評對象如下：

門(mén)戶(hù)網(wǎng)站

醫院資源（財務(wù)業(yè)務(wù)一體化）規劃系統（HRP）

其他涉及重要信息的業(yè)務(wù)系統

等級保護二級，一般每?jì)赡曛辽匍_(kāi)展一次測評，等級保護三級以上的系統，每年都需要開(kāi)展測評，這是都所有行業(yè)的規定，因此醫院也需要按照這些規定開(kāi)展測評工作。

醫療機構信息安全等級保護的需求背景

衛生醫療行業(yè)信息安全工作是我國衛生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作，對于促進(jìn)衛生醫療信息化健康發(fā)展，保障醫藥衛生體制改革，維護公共利益、社會(huì )秩序和國家安全具有重要意義。

某某醫院三級等保建設拓撲

為貫徹落實(shí)國家信息安全等級保護制度，規范和指導全國衛生行業(yè)信息安全等級保護工作，按照公安部《關(guān)于開(kāi)展信息安全等級保護安全建設整改工作的指導意見(jiàn)》（公信安〔2009〕1429號）要求，衛生部結合衛生行業(yè)實(shí)際，特研究制定了《衛生行業(yè)信息安全等級保護工作的指導意見(jiàn)》（衛辦發(fā)〔2011〕85號）和《衛生部辦公廳關(guān)于全面開(kāi)展衛生行業(yè)信息安全等級保護工作的通知》（衛辦綜函〔2011〕1126號）來(lái)指導衛生醫療行業(yè)的信息安全建設工作。

醫療機構信息安全等級保護的安全需求

任何的安全事件所導致的醫院業(yè)務(wù)系統宕機，都會(huì )降低患者的就醫滿(mǎn)意度同時(shí)醫院的信息數據泄漏問(wèn)題影響很大損害了醫院的信譽(yù)，處理不當則可能會(huì )引起醫患糾紛、法律問(wèn)題甚至社會(huì )問(wèn)題。綜上所述，當前三甲醫院面臨的主要問(wèn)題有以下幾個(gè)方面：

醫院信息系統互聯(lián)互通的實(shí)現，使得醫院信息系統面臨更多來(lái)自外部的威脅（邊界防護及邊界訪(fǎng)問(wèn)控制）

安全意識的淡薄以及管理制度的不完善，面臨著(zhù)來(lái)自?xún)炔康娜藶槭д`或蓄意破壞、信息竊?。☉蔑L(fēng)險）

三甲醫院擁有的患者信息、診療信息更加具有商業(yè)價(jià)值，漸漸得到灰色產(chǎn)業(yè)鏈的覬覦（應用風(fēng)險）

安全事件造成的損失以及醫院信息系統恢復的成本（備份恢復）

缺乏安全技術(shù)人員以及安全管理制度（三級等保制度）

面對外部網(wǎng)絡(luò )威脅的恐慌，導致了醫院信息化發(fā)展的裹足不前

醫改對醫院信息共享、遠程醫療協(xié)助的政策導向，延伸出的信息安全保障

中新醫療機構信息安全等級保護解決方案特點(diǎn)

對于三甲醫院的信息系統而言，安全建設應該主要考慮以下幾個(gè)方面:

醫院信息安全建設將從事前預防，事中減損，和事后糾正三個(gè)方面提供全面的防護策略，全面提升提高醫院

安全防護能力；

重點(diǎn)防護對外WEB應用，降低數據泄露風(fēng)險、支撐WEB可用性以及控制惡意訪(fǎng)問(wèn)；

采用VPN技術(shù)保證醫院與分支醫療機構、醫院與上下級機構以及醫院與移動(dòng)醫護工作者的的安全數據交換；

加強主動(dòng)防御能力，通過(guò)全方位、多視角的風(fēng)險分析，完善醫院信息系統漏洞，降低安全風(fēng)險，提高信息系

統健壯性；

Bypass部署設計，一旦安全設備出現異常，將自動(dòng)重啟系統或者啟用bypass，實(shí)現醫院業(yè)務(wù)零斷網(wǎng)；

提升醫院IT設備運維審計能力，最小化避免操作失誤以及蓄意破壞帶來(lái)的損失；

采用集中統一的安全管理形式，提高安全管理效率；

選用安全服務(wù)外包模式，彌補醫院專(zhuān)業(yè)安全技術(shù)人員的缺失，最大程度上減少醫院運營(yíng)中斷和管理成本；

根據上級主管部門(mén)的政策指導，依據信息安全等級保護要求，對業(yè)務(wù)系統進(jìn)行等級保護建設。