前言

近日，國家衛(wèi)生健康委辦公廳發(fā)布《醫(yī)院智慧管理分級評估標(biāo)準(zhǔn)體系（試行）》（國衛(wèi)辦醫(yī)函【2021】86號），為后疫情時代我國廣大醫(yī)療機(jī)構(gòu)進(jìn)行“三位一體”的智慧醫(yī)院建設(shè)提出進(jìn)一步政策指引和要求。

背景

《關(guān)于進(jìn)一步完善預(yù)約診療制度加強(qiáng)智慧醫(yī)院建設(shè)的通知》（國衛(wèi)辦醫(yī)函【2020】405號）明確提出要建立醫(yī)療、服務(wù)、管理“三位一體”的智慧醫(yī)院系統(tǒng)。第一是面向醫(yī)務(wù)人員的“智慧醫(yī)療”：開展以電子病歷為核心的信息化建設(shè)，包括電子病歷、影像、檢驗系統(tǒng)等多系統(tǒng)間的互聯(lián)互通，《關(guān)于印發(fā)電子病歷系統(tǒng)應(yīng)用水平分級評價管理辦法（試行）及評價標(biāo)準(zhǔn)（試行）的通知》（國衛(wèi)辦醫(yī)函【2018】1079號）將醫(yī)院電子病歷系統(tǒng)應(yīng)用水平劃分為9個等級；第二是面向醫(yī)院的“智慧管理”：主要為提升醫(yī)院管理精細(xì)化、智能化水平，《醫(yī)院智慧管理分級評估標(biāo)準(zhǔn)體系（試行）》（國衛(wèi)辦醫(yī)函【2021】86號）從功能和效果兩個方面進(jìn)行評估，評估結(jié)果分為0級至5級；第三是面向患者的“智慧服務(wù)”：主要通過預(yù)約診療、信息體系、自助一體機(jī)等，提升患者就醫(yī)體驗。

標(biāo)準(zhǔn)解讀

本次發(fā)布的標(biāo)準(zhǔn)從醫(yī)院智慧管理的功能和效果兩個方面進(jìn)行評估，網(wǎng)絡(luò)安全管理作為獨(dú)立的業(yè)務(wù)項目進(jìn)行評估，評估要點(diǎn)包括基礎(chǔ)設(shè)施、安全管理、安全技術(shù)和安全監(jiān)測。評估結(jié)果分為0級至5級，不同級別的安全要求及對應(yīng)解讀措施如下：

0級評估要求

無基礎(chǔ)設(shè)施與網(wǎng)絡(luò)安全管理要求。

1級評估要求

（1） 具有相關(guān)計算機(jī)、信息系統(tǒng)、信息安全管理制度；

（2） 醫(yī)院內(nèi)部有局域網(wǎng)，部門間網(wǎng)絡(luò)互相聯(lián)通；

（3） 客戶端及重要服務(wù)器具備防病毒措施。

政策解讀及建議

（1） 深入梳理醫(yī)院安全業(yè)務(wù)，對醫(yī)院的安全工作與安全措施進(jìn)行整體規(guī)劃、設(shè)計與評估，編寫形成相關(guān)的安全制度、規(guī)范、操作文檔；

（2） 對醫(yī)院整體網(wǎng)絡(luò)進(jìn)行分區(qū)分域設(shè)計，不同區(qū)域間進(jìn)行網(wǎng)絡(luò)安全隔離，對特別重要的網(wǎng)絡(luò)區(qū)域間采用物理安全隔離措施；

（3） 至少采用終端防病毒措施，建議綜合采取終端防病毒和網(wǎng)絡(luò)防病毒協(xié)同部署。

2級評估要求

（1）具有網(wǎng)絡(luò)安全領(lǐng)導(dǎo)組織機(jī)構(gòu)，負(fù)責(zé)統(tǒng)籌規(guī)劃醫(yī)院網(wǎng)絡(luò)安全相關(guān)事宜；

（2）具有獨(dú)立的信息機(jī)房，主要服務(wù)器、存儲等設(shè)備集中部署在信息機(jī)房內(nèi)；

（3）管理信息系統(tǒng)具備清晰的權(quán)限管理，能夠?qū)崿F(xiàn)訪問控制到個人的細(xì)粒度管理。

政策解讀及建議

（1）成立以醫(yī)院院長為核心的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，具體工作由醫(yī)院信息科牽頭施行，對醫(yī)院網(wǎng)絡(luò)安全建設(shè)有中長期規(guī)劃，每年有固定的網(wǎng)絡(luò)安全建設(shè)預(yù)算；

（2）根據(jù)《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）》要求進(jìn)行機(jī)房及相關(guān)軟硬件系統(tǒng)建設(shè)。

3級評估要求

（1）信息機(jī)房有高可靠不間斷電源、空調(diào)，具備專門的消防設(shè)施；

（2）全部投入應(yīng)用的管理信息系統(tǒng)列入管理清單，全部信息系統(tǒng)完成等級保護(hù)定級、備案，定為三級及以上的信息系統(tǒng)每年進(jìn)行等保測評；

（3）重要管理信息系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路采用冗余設(shè)計；

（4）重要管理信息系統(tǒng)具備應(yīng)急預(yù)案并定期進(jìn)行演練，當(dāng)出現(xiàn)系統(tǒng)故障時，可恢復(fù)關(guān)鍵業(yè)務(wù)；

（5）實(shí)現(xiàn)實(shí)名制上網(wǎng)管理、能夠?qū)徲嬁蛻舳说纳暇W(wǎng)行為。

政策解讀及建議

（1）物理機(jī)房滿足等保三級要求；

（2）業(yè)務(wù)系統(tǒng)滿足等保三級要求；

（3）重要系統(tǒng)路由交換設(shè)備堆疊部署、應(yīng)用安全網(wǎng)關(guān)設(shè)備主備部署、部署負(fù)載均衡系統(tǒng)對業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)提供高可用保障、服務(wù)器及網(wǎng)絡(luò)設(shè)備建議選用冗余電源；

（4）編寫應(yīng)急預(yù)案并定期進(jìn)行安全應(yīng)急演練；

（5）互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)。

4級評估要求

（1）具有完整的網(wǎng)絡(luò)安全制度體系，包括管理策略、管理制度、管理規(guī)范、記錄表單等；

（2）重要管理信息系統(tǒng)每日至少進(jìn)行一次完整數(shù)據(jù)備份，同時每年定期進(jìn)行數(shù)據(jù)還原演練；

（3）管理信息系統(tǒng)實(shí)現(xiàn)分域管理，系統(tǒng)之間進(jìn)行數(shù)據(jù)交互時進(jìn)行授權(quán)認(rèn)證；

（4）設(shè)有獨(dú)立的網(wǎng)絡(luò)安全崗位，定期組織安全培訓(xùn)；

（5）明晰信息系統(tǒng)權(quán)限清單并定期梳理信息系統(tǒng)賬戶權(quán)限。

政策解讀及建議

信息科具有獨(dú)立的網(wǎng)絡(luò)安全崗位，組建或采用外包的方式選用專業(yè)的安全運(yùn)營團(tuán)隊進(jìn)行醫(yī)院網(wǎng)絡(luò)安全運(yùn)營。明確工作分工，定期進(jìn)行資產(chǎn)梳理、互聯(lián)網(wǎng)暴露面檢查等各種專業(yè)安全工作。

5級評估要求

（1）重要數(shù)據(jù)實(shí)現(xiàn)不同地點(diǎn)容災(zāi)（不能在同一建筑物內(nèi)）；

（2）能夠?qū)W(wǎng)絡(luò)設(shè)備、安全管理設(shè)備、服務(wù)器等硬件的操作行為進(jìn)行審核并記錄，操作行為記錄保存六個月以上；

（3）能夠?qū)π畔⑾到y(tǒng)運(yùn)行進(jìn)行實(shí)時安全監(jiān)測，具備基本網(wǎng)絡(luò)安全態(tài)勢感知能力，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)安全攻擊行為并進(jìn)行有效處置；

（4）每年定期對互聯(lián)網(wǎng)上暴露的信息系統(tǒng)進(jìn)行滲透測試和漏洞掃描，發(fā)現(xiàn)的問題及時整改落實(shí)；

（5）在互聯(lián)網(wǎng)上運(yùn)行的管理信息系統(tǒng)重要數(shù)據(jù)進(jìn)行加密傳輸、加密存儲，使用的加密算法符合國家法律法規(guī)要求。

政策解讀及建議

（1）對于只有一個院區(qū)的醫(yī)院，在院區(qū)內(nèi)不同建筑物內(nèi)建設(shè)主備數(shù)據(jù)中心。對于擁有多個院區(qū)的醫(yī)院，最好在不同地理區(qū)域的院區(qū)內(nèi)分布設(shè)置主備數(shù)據(jù)中心，保障重要數(shù)據(jù)不同地點(diǎn)容災(zāi)；

（2） 部署日志審計系統(tǒng)，有條件的醫(yī)院可建設(shè)基于大數(shù)據(jù)技術(shù)的安全運(yùn)營管理平臺進(jìn)行統(tǒng)一日志收集分析；

（3） 部署態(tài)勢感知系統(tǒng)；

（4） 邀請專業(yè)安全廠商專家對系統(tǒng)定期進(jìn)行滲透測試，可部署漏洞掃描系統(tǒng)設(shè)置定期漏洞掃描任務(wù)或邀請專業(yè)安全廠商專家對系統(tǒng)定期進(jìn)行漏洞掃描；

（5） 對互聯(lián)網(wǎng)開放的業(yè)務(wù)系統(tǒng)使用HTTPS加密協(xié)議對外提供服務(wù)，數(shù)據(jù)存儲采用加密存儲方式。

合規(guī)整改建議