三甲医院实施国家信息安全等级保护制度

三甲医院信息安全等级保护的实施与应用摘要：随着我国经济水平的不断提升，电子信息技术突飞猛进，在极大程度上推动了医疗事业的发展进步,为保证患者就诊安全性，保护医院的信息安全，必须根据相关信息安全规定，从三级综合医院评估标准出发，强化三甲医院的信息安全等级保护情况，以增强三甲医院临床工作的信息化水平，优化医院信息系统数据安全管理措施，保护相关数据信息的安全性。

关键词：三甲医院；信息安全；等级保护随着医疗技术水平的发展，信息技术在医院被广泛应用，医院信息系统安全等级保护方式的应用价值日益突出，但是由于我国缺少专业的信息安全等级保护的专业人才，缺少安全等级保护意识，导致医院信息系统信息安全情况受到严重威胁，所以我国医院、政府等部门，对信息技术的安全应用重视程度不断增强，医院信息管理人员的安全管理责任意识也不断提升，在开展三甲医院信息安全管理过程中，已经开始落实相关政策法规[1]，并积极查找医院信息安全管理中存在的问题，不断制定了对应的解决方案，这就使得信息安全等级保护措施的应用成为医院信息管理的主要方式。

一、信息安全等级保护制度信息安全等级保护制度，指的是从信息的重要性出发，合理对信息及其载体进行分类保护，以达到有效整合信息内容，处理信息问题，保护信息隐私的目的，实行信息安全等级保护的过程中，所保护的医院信息大都涉及国家相关机密级部分公民的个人隐私。

此外，信息安全等级保护也对信息内容保存、信息传输过程进行管理，能够依照等级的不同合理对文件中的信息进行分类处理。

在信息内容保存的过程中，能够有效跟进处理各种信息内容，降低信息泄露及丢失的可能性，还能够积极的处理多种信息安全突发事件，优化解决措施，以此最大程度保证信息安全，合理处理信息安全事故，以达到长久保存有效信息的目的。

当前，科技手段不断进步，网络技术突飞猛进，社会各行各业均会存储业内需要的信息资源，所以信息安全等级保护制度也逐渐受到人们的青睐，使得信息安全等级保护制度逐渐向科学化、制度化、系统化、精细化和先进化转变[2]，所以三甲医院应加强对信息安全保护的重视程度，合理应用信息安全等级保护制度，提升信息安全等级保护质量。

2023年医院信息系统安全等级保护工作实施方案一、背景介绍医院信息系统的安全等级保护工作是为了保护医院的信息系统和数据，防止信息泄露、篡改和丢失。

随着信息化建设的不断发展，医院信息系统的安全保护工作变得尤为重要。

为了提高医院信息系统的安全性，我们制定了以下2023年医院信息系统安全等级保护工作实施方案。

二、工作目标1. 提高医院信息系统的安全性，确保患者信息和医疗数据的保密性、完整性和可用性。

2. 建立健全医院信息系统安全管理体系，提升信息系统安全管理水平。

3. 加强医院信息系统安全防护能力，有效防范各类网络攻击和安全威胁。

4. 完善灾备恢复机制，提高信息系统的可靠性和可恢复性。

三、工作内容1. 完善信息安全管理制度制定医院信息安全管理制度，包括信息安全政策、安全管理规范、风险管理制度等，对医院信息系统的安全管理进行全面规范。

2. 提升人员安全意识开展信息安全培训，加强医院员工对信息安全的知识和认识，提升他们的信息安全意识，防范人为疏忽和错误导致的信息安全风险。

3. 加强设备安全管理实施网络设备安全配置，包括防火墙、入侵检测系统等，加强对网络设备的安全管理和监控。

4. 加强访问控制建立健全的权限管理制度，对员工和患者的访问进行严格控制，确保只有合法授权的人员能够访问相关系统和数据。

5. 强化数据保护建立完善的数据备份和恢复机制，定期进行数据备份，并进行备份数据的安全存储和加密，以便在数据丢失或受损时能够快速恢复。

6. 加强网络安全监测和处置能力建立网络安全监测和事件响应机制，及时发现和处置网络安全事件，防范各类网络攻击和恶意行为。

7. 完善灾备恢复机制建立医院信息系统的灾备恢复机制，包括备份数据的存储和恢复方案、灾难恢复演练等，确保医院信息系统在灾难发生时能够快速恢复正常运行。

四、工作计划1. 制定医院信息安全管理制度，确保2023年底前全部实施和落地。

2. 每年对全体员工进行信息安全培训，提高其信息安全意识。

信息安全与网络管理Information Security and Network Management
确定信息系统安全保护等级的一般流程如下。

确定作为定级对象的信息系统；确定业务信息安全受到破坏时所侵害的客体；根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度；确定业务信息安全保护等级；确定系统服务安全受到破坏时所侵害的客体；根据不同的Information Security and Network Management
信息安全与网络管理
据《信息系统安全等级保护基本要求》，落实信息安全责任制，建立并落实各类安全管理制度，开展系统建设管理、人员安全管理和系统运维管理等工作，落实物理、网络、主机、应用和数据安全等安全保护技术措施。

建立医院信息系统综合防护体系，提高医院信息系统整体安全保护能力。

图1 系统安全等级测评实施流程图
（上接第53页）康复训练，有利于患者骨骼关节功能的恢复。

Information Security and Network Management
信息安全与网络管理。

三甲医院实施国家信息安全等级保护制度
Document number：NOCG-YUNOO-BUYTT-UU986-1986UT
国家信息安全等级保护制度
一、医疗卫生行业的信息化系统安全建设目标如下：
实施国家信息安全等级保护制度，实行信息系统操作权限分级管理，保障网络信息安全，保护患者隐私。

推动系统运行维护的规范化管理，落实突发事件响应机制，保证业务的连续性。

二、医疗卫生行业的信息化系统安全建设需求如下：需要加强信息系统的安全保障和患者隐私保护，具体要求如下：
有信息系统安全措施和应急处理预案。

信息系统运行稳定、安全，具有防灾备份系统，实行网络运行监控，有防病毒、防入侵措施。

实行信息系统操作权限分级管理，信息安全采用身份认证、权限控制（包括数据库和运用系统）、病人数据使用控制、保障网络信息安全和保护病人隐私。

有安全监管记录，定期分析，及时处理安全预警，持续改进安全保障系统。

三、有信息安全应急演练需要加强信息系统运行维护，具体要求如下：
1.有信息网络运行、设备管理和维护、技术文档管理记录。

2.有信息系统变更、发布、配置管理制度及相关记录。

3.有信息系统软件更新、增补记录。

4.有信息值班、交接班制度，
5.有完整的日常运维记录和值班记录，及时处置安全隐患。

6.有信息系统运行事件（如系统瘫痪）相关的应急预案并组织演练，各部
门各科室有相应的应急措施，保障全院运营，尤其是医疗工作在系统恢
复之前不受影响。

7.有根据演练总结开展持续改进的方案和措施。

8.有完善的监控制度与监控记录，及时处理预警事件，定期进行信息系统运行维护评价和改进方案，并组织落实。

三级医院信息安全管理制度制度名称版本号制定部门1.目的为了保证我院计算机系统正常运行和安全运行，根据《中华人民共和国计算机信息系统安全保护制度》和国家法律法规，结合我院信息系统的安全工作实际情况，特修订本制度。

2.适用范围本制度适用于医院各部门、科室和职工。

3.名词定义3.1信息安全管理制度指医疗机构按照医院信息管理相关法律法规和技术标准要求，对医疗机构诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障安全的制度。

3.2信息：是指通过信息系统进行存储、传输、处理、打印的语言、文字、声音、图像、数字等资料。

3.3信息系统：是指由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。

3.4信息安全：是指信息系统受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

信息安全主要包括信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

3.5局域网：是指在某一区域内由多台计算机互联成的计算机组。

局域网可以实现文件管理、应用软件共享打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。

局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个单位内的上千台计算机组成。

3.6互联网：又称网际网路，或音译因特网、英特网，是网络与网络之间所串连成的庞大网络，这些网络以组通用的协议相连，形成逻辑上的单一巨大国际网络。

这种将计算机网络互相联接在一起的方法可称作“网络互联”，在这基础上发展出覆盖全世界的全球性互联网络称互联网，即是互相连接一起的网络结构。

3.7病人隐私信息：是指病人的基本信息、病历信息、病情和健康状况等被2.0信息处信息安全管理制度类型审核人新订修订制度编号2-适用部门全院科室审核时间2021-4-14视作私人信息和秘密并受到隐私杈保护的信息。

XXX专有信息：是指归属于医院，涉及国家隐秘、大众安全、依法受到保护的商业隐秘信息3.9保密信息：是指病人隐私信息和医院专有信息等需加以保护的信息。

医院信息安全等级保护三级建设流程与要点1 背景随着医院尤其是三级甲等大型医院信息化的迅猛发展，医院信息系统已经深入到医疗的各个环节当中，一旦发生故障将严重影响医疗活动的顺利开展，因此信息安全工作得到了越来越多医院的重视。

信息安全等级保护是国家层面出台的针对信息安全分级保护的制度，其目的是保护重要信息系统的安全，提高信息系统防护能力和应急水平。

为了信息安全等级保护能够更好的在各医院实施，卫生部针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号，此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。

根据文件精神，三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。

2 医院信息安全等级保护建设流程2.1 信息系统定级[1]信息系统定级主要考虑两方面，一是业务信息受到破坏时客体的是谁，二是对于客体的侵害程度如何。

两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。

表1针对三级甲等医院，因门诊量普遍较大，当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊，当发生信息系统瘫痪后会造成大面积患者排队，极易引发群体事件。

因此，定义为对“社会秩序、公共利益”造成“严重损害”，即信息安全等级保护定级为第三级。

涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。

2.2. 信息系统评审与备案按照等级保护管理办法和定级指南要求，在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。

在定级审批过程中，卫生部组织专家进行评审，并出具《审批意见》。

完成评审后，医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》，备案表与报告范例可在“中国信息安全等级保护网”进行下载。

最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续，在拿到备案回执和审核结果通知后完成定级备案。

医院信息安全等级保护三级建设流程与要点韩作为【期刊名称】《中国数字医学》【年(卷),期】2013(000)009【摘要】With the continuous development of hospital information, more and more attention is paid to information safety. Recently the Ministry of Health released a document to require to carry out the state information safety rank protection system. In principle, rating of core information system of Grade III-A hospitals shall not be below Level 3. Therefore, according to the process of rating, record, rectification, evaluation, self-inspection and cooperation and supervision, process and key points of construction of Level 3 information safety rank protection in the first class hospitals is introduced.%随着医院信息化的不断发展，信息安全工作越来越受到重视。

近期卫生部发文要求落实国家信息安全等级保护制度，原则上三级甲等医院核心信息系统定级不低于第三级。

为此按照信息系统的定级、备案、整改、测评、自查与配合监察的五个流程，详细介绍了三甲医院进行信息安全等级保护三级建设的流程和要点。

【总页数】3页(P33-35)【作者】韩作为【作者单位】阜外心血管病医院信息中心，100037，北京市西城区北礼士路167号【正文语种】中文【相关文献】1.浅论三级甲等医院信息安全等级保护管理体系建设 [J], 卢欣然;金轶;徐平;刘珉2.浅论三级甲等医院信息安全等级保护管理体系建设 [J],3.医院信息安全等级保护三级建设流程与要点 [J], 韩作为4.医院信息安全等级保护三级评测的应用与实践 [J], 王磊;魏晓艳;郎爽;修燕5.医院信息安全等级保护三级建设思路 [J], 魏世杰因版权原因，仅展示原文概要，查看原文内容请购买。

三院医疗信息系统安全三级等保建设方案目录1、某市三院医疗信息系统现状分析 (4)1.1拓扑图 (4)1.2网站/BS应用现状................................................................... 错误！未定义书签。

1.3漏洞扫描.................................................................................. 错误！未定义书签。

1.4边界入侵保护.......................................................................... 错误！未定义书签。

1.5安全配置加固.......................................................................... 错误！未定义书签。

1.6密码账号统一管理.................................................................. 错误！未定义书签。

1.7数据库审计、行为审计.......................................................... 错误！未定义书签。

1.8上网行为管理.......................................................................... 错误！未定义书签。

2、某市三院医疗信息系统潜在风险 (4)2.1黑客入侵造成的破坏和数据泄露 (4)2.2医疗信息系统漏洞问题 (5)2.3数据库安全审计问题 (5)2.4平台系统安全配置问题 (6)2.5平台虚拟化、云化带来的新威胁.......................................... 错误！未定义书签。