醫(yī)院是一個國家的重要的基礎(chǔ)建設(shè)之一。救死護傷，是醫(yī)院職責，隨著信息技術(shù)的普及，網(wǎng)絡(luò)和計算機技術(shù)成為醫(yī)院這個生態(tài)圈的一個重要組成部分，為人民的就業(yè)帶來便捷。但是由于這些技術(shù)的引進，一個封閉的醫(yī)院數(shù)據(jù)生態(tài)系統(tǒng)，為外界提供了更多的入口，這些入口也成為很多網(wǎng)絡(luò)攻擊的目標。因此，對于醫(yī)院來說，除了做好本職的工作外，醫(yī)院的網(wǎng)絡(luò)安全工作也需要的得到重視。同時也被要求開展等級保護工作，針對數(shù)據(jù)重要性開展分級保護工作。

醫(yī)院的等級保護工作早2011年就開展了，在去年把互聯(lián)醫(yī)院平臺也列入了等級保護測評。具體的相關(guān)文件發(fā)布時間如下：

2011年

國家衛(wèi)健委《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》規(guī)定了三級醫(yī)院重要業(yè)務(wù)系統(tǒng)（可由各省衛(wèi)健委自己定義）必須通過等保三級測評，二級醫(yī)院重要業(yè)務(wù)系統(tǒng)必須通過等保二級測評；

2016年

國家衛(wèi)健委《2016 三級綜合醫(yī)院評審標準考評辦法 ( 完整版 )》規(guī)定了重要業(yè)務(wù)系統(tǒng)必須達到等保三級標準才滿足三級醫(yī)院評審標準中對于網(wǎng)絡(luò)安全的要求；

2018年

國家衛(wèi)健委《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法（試行）》規(guī)定了承載健康醫(yī)療大數(shù)據(jù)的平臺必須通過等級保護（未規(guī)定級別），一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級甲等醫(yī)院，基本以三級等保為主；

2018年

國家衛(wèi)健委《互聯(lián)網(wǎng)醫(yī)院管理辦法（試行）》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺必須通過等保三級測評。

根據(jù)上述醫(yī)院開展等級保護的相關(guān)意見和管理辦法的規(guī)定來看，一般建議醫(yī)院這樣來定級。

醫(yī)院內(nèi)部重要的信息系統(tǒng)，建議這些內(nèi)網(wǎng)的數(shù)據(jù)信息系統(tǒng)開展等級保護三級測評，并且實現(xiàn)相關(guān)的等保建設(shè)和安全防護，具體的測評對象如下：

醫(yī)院信息系統(tǒng)（HIS）

實驗室（檢驗科）信息系統(tǒng)（LIS）

醫(yī)學影像信息系統(tǒng)（PACS）

電子病歷系統(tǒng)

與患者交流的其他服務(wù)系統(tǒng)

一些對外開放的信息系統(tǒng)或者網(wǎng)站，主要用于OA，建議這些信息系統(tǒng)實施等級保護二級工作，開展相關(guān)的測評和建設(shè)，具體的測評對象如下：

門戶網(wǎng)站

醫(yī)院資源（財務(wù)業(yè)務(wù)一體化）規(guī)劃系統(tǒng)（HRP）

其他涉及重要信息的業(yè)務(wù)系統(tǒng)

等級保護二級，一般每兩年至少開展一次測評，等級保護三級以上的系統(tǒng)，每年都需要開展測評，這是都所有行業(yè)的規(guī)定，因此醫(yī)院也需要按照這些規(guī)定開展測評工作。

醫(yī)療機構(gòu)信息安全等級保護的需求背景

衛(wèi)生醫(yī)療行業(yè)信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作，對于促進衛(wèi)生醫(yī)療信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。

某某醫(yī)院三級等保建設(shè)拓撲

為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作，按照公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》（公信安〔2009〕1429號）要求，衛(wèi)生部結(jié)合衛(wèi)生行業(yè)實際，特研究制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》（衛(wèi)辦發(fā)〔2011〕85號）和《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》（衛(wèi)辦綜函〔2011〕1126號）來指導衛(wèi)生醫(yī)療行業(yè)的信息安全建設(shè)工作。

醫(yī)療機構(gòu)信息安全等級保護的安全需求

任何的安全事件所導致的醫(yī)院業(yè)務(wù)系統(tǒng)宕機，都會降低患者的就醫(yī)滿意度同時醫(yī)院的信息數(shù)據(jù)泄漏問題影響很大損害了醫(yī)院的信譽，處理不當則可能會引起醫(yī)患糾紛、法律問題甚至社會問題。綜上所述，當前三甲醫(yī)院面臨的主要問題有以下幾個方面：

醫(yī)院信息系統(tǒng)互聯(lián)互通的實現(xiàn)，使得醫(yī)院信息系統(tǒng)面臨更多來自外部的威脅（邊界防護及邊界訪問控制）

安全意識的淡薄以及管理制度的不完善，面臨著來自內(nèi)部的人為失誤或蓄意破壞、信息竊?。☉?yīng)用風險）

三甲醫(yī)院擁有的患者信息、診療信息更加具有商業(yè)價值，漸漸得到灰色產(chǎn)業(yè)鏈的覬覦（應(yīng)用風險）

安全事件造成的損失以及醫(yī)院信息系統(tǒng)恢復(fù)的成本（備份恢復(fù)）

缺乏安全技術(shù)人員以及安全管理制度（三級等保制度）

面對外部網(wǎng)絡(luò)威脅的恐慌，導致了醫(yī)院信息化發(fā)展的裹足不前

醫(yī)改對醫(yī)院信息共享、遠程醫(yī)療協(xié)助的政策導向，延伸出的信息安全保障

中新醫(yī)療機構(gòu)信息安全等級保護解決方案特點

對于三甲醫(yī)院的信息系統(tǒng)而言，安全建設(shè)應(yīng)該主要考慮以下幾個方面:

醫(yī)院信息安全建設(shè)將從事前預(yù)防，事中減損，和事后糾正三個方面提供全面的防護策略，全面提升提高醫(yī)院

安全防護能力；

重點防護對外WEB應(yīng)用，降低數(shù)據(jù)泄露風險、支撐WEB可用性以及控制惡意訪問；

采用VPN技術(shù)保證醫(yī)院與分支醫(yī)療機構(gòu)、醫(yī)院與上下級機構(gòu)以及醫(yī)院與移動醫(yī)護工作者的的安全數(shù)據(jù)交換；

加強主動防御能力，通過全方位、多視角的風險分析，完善醫(yī)院信息系統(tǒng)漏洞，降低安全風險，提高信息系

統(tǒng)健壯性；

Bypass部署設(shè)計，一旦安全設(shè)備出現(xiàn)異常，將自動重啟系統(tǒng)或者啟用bypass，實現(xiàn)醫(yī)院業(yè)務(wù)零斷網(wǎng)；

提升醫(yī)院IT設(shè)備運維審計能力，最小化避免操作失誤以及蓄意破壞帶來的損失；

采用集中統(tǒng)一的安全管理形式，提高安全管理效率；

選用安全服務(wù)外包模式，彌補醫(yī)院專業(yè)安全技術(shù)人員的缺失，最大程度上減少醫(yī)院運營中斷和管理成本；

根據(jù)上級主管部門的政策指導，依據(jù)信息安全等級保護要求，對業(yè)務(wù)系統(tǒng)進行等級保護建設(shè)。