醫院是一個國家的重要的基礎建設之一。救死護傷，是醫院職責，隨著信息技術的普及，網絡和計算機技術成為醫院這個生態圈的一個重要組成部分，為人民的就業帶來便捷。但是由于這些技術的引進，一個封閉的醫院數據生態系統，為外界提供了更多的入口，這些入口也成為很多網絡攻擊的目標。因此，對于醫院來說，除了做好本職的工作外，醫院的網絡安全工作也需要的得到重視。同時也被要求開展等級保護工作，針對數據重要性開展分級保護工作。

醫院的等級保護工作早2011年就開展了，在去年把互聯醫院平臺也列入了等級保護測評。具體的相關文件發布時間如下：

2011年

國家衛健委《衛生行業信息安全等級保護工作的指導意見》規定了三級醫院重要業務系統（可由各省衛健委自己定義）必須通過等保三級測評，二級醫院重要業務系統必須通過等保二級測評；

2016年

國家衛健委《2016 三級綜合醫院評審標準考評辦法 ( 完整版 )》規定了重要業務系統必須達到等保三級標準才滿足三級醫院評審標準中對于網絡安全的要求；

2018年

國家衛健委《國家健康醫療大數據標準、安全和服務管理辦法（試行）》規定了承載健康醫療大數據的平臺必須通過等級保護（未規定級別），一般引入大數據技術的醫院都是三級甲等醫院，基本以三級等保為主；

2018年

國家衛健委《互聯網醫院管理辦法（試行）》規定了承載互聯網醫院的平臺必須通過等保三級測評。

根據上述醫院開展等級保護的相關意見和管理辦法的規定來看，一般建議醫院這樣來定級。

醫院內部重要的信息系統，建議這些內網的數據信息系統開展等級保護三級測評，并且實現相關的等保建設和安全防護，具體的測評對象如下：

醫院信息系統（HIS）

實驗室（檢驗科）信息系統（LIS）

醫學影像信息系統（PACS）

電子病歷系統

與患者交流的其他服務系統

一些對外開放的信息系統或者網站，主要用于OA，建議這些信息系統實施等級保護二級工作，開展相關的測評和建設，具體的測評對象如下：

門戶網站

醫院資源（財務業務一體化）規劃系統（HRP）

其他涉及重要信息的業務系統

等級保護二級，一般每兩年至少開展一次測評，等級保護三級以上的系統，每年都需要開展測評，這是都所有行業的規定，因此醫院也需要按照這些規定開展測評工作。

醫療機構信息安全等級保護的需求背景

衛生醫療行業信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作，對于促進衛生醫療信息化健康發展，保障醫藥衛生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。

某某醫院三級等保建設拓撲

為貫徹落實國家信息安全等級保護制度，規范和指導全國衛生行業信息安全等級保護工作，按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安〔2009〕1429號）要求，衛生部結合衛生行業實際，特研究制定了《衛生行業信息安全等級保護工作的指導意見》（衛辦發〔2011〕85號）和《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》（衛辦綜函〔2011〕1126號）來指導衛生醫療行業的信息安全建設工作。

醫療機構信息安全等級保護的安全需求

任何的安全事件所導致的醫院業務系統宕機，都會降低患者的就醫滿意度同時醫院的信息數據泄漏問題影響很大損害了醫院的信譽，處理不當則可能會引起醫患糾紛、法律問題甚至社會問題。綜上所述，當前三甲醫院面臨的主要問題有以下幾個方面：

醫院信息系統互聯互通的實現，使得醫院信息系統面臨更多來自外部的威脅（邊界防護及邊界訪問控制）

安全意識的淡薄以及管理制度的不完善，面臨著來自內部的人為失誤或蓄意破壞、信息竊?。☉蔑L險）

三甲醫院擁有的患者信息、診療信息更加具有商業價值，漸漸得到灰色產業鏈的覬覦（應用風險）

安全事件造成的損失以及醫院信息系統恢復的成本（備份恢復）

缺乏安全技術人員以及安全管理制度（三級等保制度）

面對外部網絡威脅的恐慌，導致了醫院信息化發展的裹足不前

醫改對醫院信息共享、遠程醫療協助的政策導向，延伸出的信息安全保障

中新醫療機構信息安全等級保護解決方案特點

對于三甲醫院的信息系統而言，安全建設應該主要考慮以下幾個方面:

醫院信息安全建設將從事前預防，事中減損，和事后糾正三個方面提供全面的防護策略，全面提升提高醫院

安全防護能力；

重點防護對外WEB應用，降低數據泄露風險、支撐WEB可用性以及控制惡意訪問；

采用VPN技術保證醫院與分支醫療機構、醫院與上下級機構以及醫院與移動醫護工作者的的安全數據交換；

加強主動防御能力，通過全方位、多視角的風險分析，完善醫院信息系統漏洞，降低安全風險，提高信息系

統健壯性；

Bypass部署設計，一旦安全設備出現異常，將自動重啟系統或者啟用bypass，實現醫院業務零斷網；

提升醫院IT設備運維審計能力，最小化避免操作失誤以及蓄意破壞帶來的損失；

采用集中統一的安全管理形式，提高安全管理效率；

選用安全服務外包模式，彌補醫院專業安全技術人員的缺失，最大程度上減少醫院運營中斷和管理成本；

根據上級主管部門的政策指導，依據信息安全等級保護要求，對業務系統進行等級保護建設。