一(one)、 項目建設背景

近年來(Come)針對醫院等醫療系統的(of)網絡安全風險和(and)網絡攻擊一(one)直處于(At)活躍狀态且呈現持續上(superior)升态勢，整個(indivual)醫療行業信息安全形勢不(No)容樂觀。其中，在(exist)我(I)國(country)多地(land)醫院持續檢測出(out)勒索病毒，有些醫院出(out)現患者信息被盜等情況。相關檢測報告顯示，僅在(exist)全國(country)三甲醫院中，今年就有數百家醫院檢出(out)了(Got it)勒索病毒，全國(country)各地(land)均有三甲醫院“中招”。

2017年6月1日，《中華人(people)民共和(and)國(country)網絡安全法》正式頒布施行，該法第二十一(one)條明确規定“國(country)家實行網絡安全等級保護制度”。網絡運營者應當按照網絡安全等級保護制度的(of)要(want)求，履行安全保護義務。

2019年5月13日，等級保護2.0系列标準正式發布，标志着等級保護2.0的(of)真正到(arrive)來(Come)。

XXXX醫院信息化工作(do)經過多年的(of)發展，信息技術已得到(arrive)了(Got it)廣泛的(of)應用(use)，主要(want)業務系統如HIS，PACS，LIS，RIS，EMR等都己實施并應用(use)，爲(for)醫院發展和(and)業務應用(use)提供了(Got it)較爲(for)良好的(of)支撐。

同時(hour)，随着數字化醫院評審标準的(of)完善以(by)及醫院等級保護測評政策要(want)求的(of)落實，醫療衛生(born)系統圍繞HIS、EMR、LIS、PACS等核心業務系統深入開展信息安全等級保護工作(do)，并在(exist)此基礎上(superior)指引後續信息化安全建設方向。

通過對醫院信息化現狀調研、分析，結合等級保護2.0版在(exist)安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人(people)員、安全建設管理、安全運維環境十個(indivual)方面的(of)要(want)求，協助醫院逐步完善信息安全組織、落實安全責任制，開展管理制度建設、技術措施建設，落實等級保護制度的(of)各項要(want)求，使得醫院信息系統安全管理水平提高，安全保護能力增強，安全隐患和(and)安全事故減少，有效保障信息化健康發展。

爲(for)了(Got it)落地(land)以(by)上(superior)建設目标，保證信息系統的(of)安全、穩定、可靠運行，我(I)們(them)對照《二級綜合醫院評審标準實施細則》、《電子病曆評審》、《河南省數字化醫院建設指南》、《河南省數字化醫院評審标準》等要(want)求，對XXXX醫院整體信息系統進行了(Got it)統一(one)梳理和(and)信息安全防範體系規劃，旨在(exist)保證醫院信息系統各組成部分能夠高效協同，對業務與應用(use)提供強有力支撐；同時(hour)還需要(want)确保在(exist)總體方案規劃下的(of)分步實施。

二、 醫療行業相關信息安全政策分析

2.1、《網絡安全法》

沒有網絡安全就沒有國(country)家安全，沒有信息化就沒有現代化。《網絡安全法》是(yes)我(I)國(country)第一(one)部網絡安全領域的(of)法律，是(yes)保障網絡安全的(of)基本法。對網絡運營者，提出(out)了(Got it)更高的(of)要(want)求，同時(hour)增加了(Got it)對違法個(indivual)人(people)的(of)追責。

醫療機構作(do)爲(for)信息化的(of)受益者，同時(hour)，更肩負了(Got it)捍衛信息系統安全的(of)職責。

其中第21條明确規定：國(country)家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的(of)要(want)求，履行下列安全保護義務，保障網絡免受幹擾、破壞或者未經授權的(of)訪問，防止網絡數據洩漏或者被竊取、篡改。

醫療機構如果未通過相對應的(of)等級保護級别，一(one)旦發生(born)網絡安全事故，将被處以(by)警告和(and)限期整改的(of)處罰。同時(hour)對直接責任人(people)罰款還有限期整改的(of)處罰。

醫療機構在(exist)利用(use)信息技術提升整體運營效率的(of)同時(hour)，也會留存大(big)量的(of)患者隐私數據，并且爲(for)了(Got it)方便患者通過網絡查詢部分數據，還會連通内外網，這(this)就會涉及到(arrive)信息發布和(and)隐私數據的(of)洩露的(of)問題。

第47條，這(this)一(one)條是(yes)涉及到(arrive)網絡信息安全方面的(of)一(one)條内容，網絡運營者應該加強用(use)戶發布信息管理的(of)内容的(of)監控，禁止發布或者傳輸信息。如果發現的(of)話應該予以(by)立即的(of)停止傳輸，這(this)實際上(superior)相當于(At)網絡運營者有阻止違法信息組織這(this)樣的(of)一(one)個(indivual)義務。

與之對應的(of)法則就是(yes)第68條，網絡運營者如果沒有停止傳輸采取消除的(of)措施，輕則整改警告，重則罰款，最嚴重可以(by)達到(arrive)暫停相關業務、停業整頓、關閉網站，吊銷相關營業資質，對直接責任人(people)會處以(by)罰款等相應的(of)處罰。對于(At)信息的(of)發布者也适用(use)于(At)本法則。

綜上(superior)，醫療機構作(do)爲(for)信息系統的(of)建設者、使用(use)者、信息的(of)發布者，必須對信息安全足夠重視，一(one)旦違法相關法律條文，醫療機構和(and)直接責任人(people)都将被追責。

同時(hour)，網絡安全法也充分肯定了(Got it)等級保護制度以(by)評促建的(of)思路，這(this)就爲(for)等級保護2.0的(of)順利實施奠定了(Got it)法律的(of)基礎。

2.2、等保2.0

  等保2.0分爲(for)技術、管理兩大(big)部分。

1）技術部分可以(by)通過新增安全設備，調試、整改現有網絡設備的(of)方式實現。

2）管理部分則需要(want)制定較爲(for)完備的(of)安全管理體系、明确安全責任人(people)等行政手段進行約束，以(by)安全服務的(of)形式進行交付。

2.2.1、技術要(want)求

 2.2.2、管理要(want)求

 通過提供安全管理制度、安全管理機構、安全管理人(people)員、安全建設管理、安全運營管理五個(indivual)部分入手，提供安全服務，幫助客戶完善等級保護提出(out)的(of)相關管理要(want)求。