伴随医院信息化建设的不断发展，信息系统及相关医疗器械软件在三甲医院中的角色也越来越重要，其所面临的安全挑战也不断涌现，患者隐私泄露、挂号系统中断以及木马病毒攻击直接威胁到医院运行秩序和信息系统安全。为进一步做好医院信息安全保护工作，原卫生部曾下发《卫生行业信息安全等级保护工作的指导意见》的通知，通知明确了三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。在去年国家卫健康委的相关专题新闻发布会，也明确对于健康信息也是上升到很高的级别要求来进行管理，下一步对于这些信息系统要求进行“等保”，从技术上加强安全保护。目前越来越多的卫健委和医疗机构已经将“三级等保”作为相关信息化或软件的招标中，对于产品和企业的必要条件。

上周四的199医创讲堂特别邀请了上海计算机软件技术开发中心资深技术顾问、中级等保测评师熊禄老师与大家分享与交流“医疗卫生领域中的信息安全等级保护”，以下为整理的相关分享内容。

网络信息安全的监管部门与政策法规

目前网络信息系统主要面临包括网络攻击、木马和病毒攻击、信息泄露、网络渗透攻击和被篡改等相关风险。

针对网络信息安全，主要有两个监管单位对此其主导作用，一个是中共上海市委网络安全和信息化领导小组办公室（网信办），另一个是公安局网络安全保卫总队（网安总队）。

在相关监管法规与政策方面，主要有以下四个方面：

1、新的《网络安全等级保护条例》，即等保2.0于2019年5月13日正式发布，将于今年12月1日起正式实施。在新的标准中对于传统的信息系统和技术网络的范围进行了扩展，进一步明确了网络运营者的要求和安全责任。

2、2019年6月13日国家网信办发布《个人信息出境安全评估办法（征求意见稿）》，根据意见稿，个人信息出境应进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。正式法规有望在两年内正式实施。

3、2017年6月国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会，四部门联合发布《网络关键设备和网络安全专用产品目录（第一批）》。目录明确网络产品、服务应当符合相关国家标准的强制性要求。同时，网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。同时，为了对网络产品和服务安全审查重点审查网络产品和服务的安全性、可控性，国家网信办还于2017年5月公布《网络产品和服务安全审查办法（试行）》。

4、监管部门部署全市态势感知平台，在《网络安全等级保护条例》二十一条中也明确落实网络安全态势感知监测预警措施。

请针对网络信息安全的日常检查

对于网络信息安全，相关企业应该明确企业法人是企业信息安全的第一责任人，相关分管领导是第二责任人，并以此来建立下至相关网络安全员的网络安全领导小组、网络安全指挥小组和网络安全实施小组等相应的管理组织架构。同时作为相关网络与信息化系统运营单位，在日常工作中会受到相关监管部门以下两个日常检查：

1、由网信办所主持的关键信息基础设施检查，该检查自2016起开始常态检查，每年会对重点单位进行抽查，检查依据为《网络安全法》、参考《关键信息基础设施保护条例及行业规范》等。关键信息基础设施包括所有医院信息化系统、民生信息化系统、涉及较多敏感信息的信息化系统等。检查重点关注内容包括：安全技术防护措施建设、管理制度建立与落实、重要数据和个人信息保护、风险发现与处置等。通过检查旨在通过抽查汇总挖掘同类系统和行业的共性问题，推动行业自查工作。

2、由公安局网安总队所主持的网络安全执法检查，该检查也是常态化检查，每年对所有单位进行检查。检查依据为《网络安全法》、《信息系统等级保护管理办法》及公安部151号令等。检查重点关注内容包括：安全责任落实、等级保护工作落实、安全技术防护措施建设、管理制度建立与落实、风险发现与处置等。通过检查旨在发现受检单位的安全问题，推动企业全面开展等级保护工作、落实安全责任、全面提高安全意识。

以上两个检查，如果发现相关系统有安全问题或漏洞，网信办和公安局网安总队是会有相应的处罚机制，相关处罚是会记入企业征信和企业法人个人征信，同时相关处罚性质属于有明确公示的行政处罚，将直接影响到企业后续包括IPO上市、融资融券等进展。

《网络安全法》

《网络安全法》不是一个独立的法律，是结合了包括《国家安全法》、《反恐法》、《刑法》、《保密法》和《治安管理处罚法》等中相关的条例与条款，同时由包括《计算机信息系统安全条例》、《互联网信息服务管理办法》、《个人信息安全规范》和《互联网群组信息服务管理规定》等相关法规来进行支撑，并配套包括《网络安全等级保护条例》、《关键信息基础设施保护条例》、《关键信息基础设施确定指南（试行）》、《个人信息和重要数据出境安全评估办法（征求意见稿）》和《网络关键设备和网络安全专用产品目录》等来具体实施。

《网络安全法》的意义在于从原来的法规上升到了法律，并明确网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取和篡改，具体措施包括制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月（日志留存）；采取数据分类、重要数据备份和加密等措施（数据安全）；法律、行政法规规定的其他义务。

《网络安全法》对于网络安全等级保护制度（第二十一条）、网络产品和服务的合规性（第二十二条）、用户实名制（第二十四条）、网络安全事件应急预案（第二十五条）、网络安全认证、检测、风险评估（第二十六条）、关键信息基础设施的重点保护（第三十一条）、用户信息保护制度（第四十二条）、用户发布信息管理（第四十七条）等都有明确的规定，相关责任对于企业和相关责任人也有相应的处罚机制。

信息安全技术网络安全等级保护（等保）

信息安全技术网络安全等级保护（等保）是指对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护，要求做到按需保护、适度保护、分等级保护和管理。

信息安全等级保护从1994年《中华人民共和国计算机系统信息系统安全保护条例》（国务院147号令）开始提出实行，并明确由公安部会同有关部门制定具体办法。随着相应技术手段的提升，至2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。2004年《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）明确信息安全等级保护制度是一项基本制度。2007年《信息安全等级保护管理办法》（公通字[2007]43号）中明确由公安部牵头，国家保密局、国家密码管理总局等共同组织信息安全等级保护工作，公安机关承担监督、检查和指导工作，并在后续陆续出台了包括《关于开展全国重要信息系统安全等级保护定工作的通知》、《信息安全等级保护备案实施细则》、《关于开展信息系统等级保护安全建设整改工作的指导指导意见》、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》、《公安机构信息安全等级保护检查工作规范（试行）》等相关实施办法和指南。

等保是实行评分制，会有大概近300-400个评分项，每个评分项按0-5分进行评分，并且每项有不同的权重，最终得分来评判是否达到相应的等保等级要求，一般二级要求是75分以上，三级要求是80分以上，涉及到大型互联网企业或提供IDC（互联网数据中心）服务企业要求是90分以上。

等保的意义和目标

等保意味着网络安全合规的底线。

满足法律法规中对于网络安全等级保护、应急、评估的要求

全面评估机构内部现有的安全措施和存在的安全风险

提高安全配置基线水平和安全防范意识

为安全建设规划提供技术支撑，为完善安全管理体系提供依据

发生网络安全事件，能更好的向监管部门和社会公众交代

全面落实等级保护工作目标在于通过安全防护措施的完善，新防御技术的引入，实现安全防护目标。

等保定级和要求

*三级等保要求每年至少复测一次。

等保2.0

今年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于2019年12月1日开始实施。与等保1.0相比，主要有以下四个方面的变化：

医疗卫生领域的等保趋势

2011年12月，原卫生部曾下发《卫生行业信息安全等级保护工作的指导意见》的通知，通知明确了三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。

上海市卫生健康委员会于今年1月，发布《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》（沪卫计信息[2019]2号）。在通知中明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级，具体包括：

一、核心信息系统范围涵盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等；

二、区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、区域临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。

三、满足如下条件之一的信息系统：

1、承载公民个人信息的信息系统；

2、承载核心业务信息（包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等）的信息系统；

3、与核心业务系统发生双向数据交换或业务协同的信息系统（包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等）；

4、承载国家法律法规需要落实敏感信息保护的信息系统；

5、承载医院对外形象宣传的信息系统或医院重要信息（包含但不限于医院门户网站、统一登录平台、移动OA、移动APP等）；

6、与其他按照三级等级保护要求运行维护的信息系统发生双向数据交换或业务协同的信息系统。

等保已经成为医疗卫生领域在信息化建设中的一个必然趋势，由于医疗相关数据的特殊性和敏感性，三级等保也已经成为医疗卫生信息系统建设的一个是最低要求。对于医疗器械软件和信息化的企业需要特别注意，以上相关规定虽然是针对医疗和卫生机构，但相关机构在进行相关系统和项目的采购时，已经开始将等保要求作为相关服务机构和供应商的硬指标。信息化发展的趋势和软件生命周期的管理来看，在相关项目的规划阶段就需要将信息安全考虑进去，因此目前医疗卫生领域对于相关软件和信息化企业一方面要求具备相应的等保能力，另一方面要保证相关项目在实施中能够达到等保资质验收。

等保已经成为医疗卫生领域衡量相关软件和信息化企业的信用化安全能力的重要指标，也成为相关项目招标和采购中的一个必条件。面对等保的趋势，医疗软件和信息化企业在加强自身信息安全能力的同时，更应该尽早准备，提前布局相关产品的等保资质，构筑竞争门槛。

医疗软件和信息化企业，面对等保要求，你准备好了吗？

医疗软件和信息化一站式创新服务平台

助推医疗器械软件产品上市进程

为更好地帮助医疗软件与信息化产品相关企业的规范化发展，推进相关产品的上市进程， 医科创联携手上海计算机软件技术开发中心等权威机构共同推出医疗软件和信息化一站式创新服务平台，为相关企业提供以下专业服务：

软件测评：医疗器械软件预评估、医疗器械软件注册检测、政府项目的验收测评、产品性能测评等；

医疗器械软件注册：注册路径规划与咨询、体系建设、临床验证、注册申报等；

等保（信息安全技术网络安全等级保护）备案：等保定级、等保规划、差距分析、等保测评、等保备案等；

资质认证与资源对接：双软认证、相关政府项目申报辅导、投融资对接、创新资源对接等。

【凡本网注明来源非大健康Pai的作品，均转载自其它媒体，目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。】