互联网医院系统必须要做三级等保测评吗?

一、引言
“上线先过等保”已经成为互联网医院项目启动阶段绕不开的铁律。无论是实体医院自建平台,还是互联网企业申领牌照,国家卫健委、公安部、国家网信办等主管部门均把“通过第三级网络安全等级保护(等保三级)测评”列为前置条件。本文从法律法规、行业监管、技术风险及运营合规四个维度,论证互联网医院系统必须开展等级保护及年度测评的深层原因,并给出落地路线图。

二、法律法规“硬约束”
1.《网络安全法》第21条:关键信息基础设施及等级保护对象必须履行定级、备案、测评、整改义务。
2.《网络安全等级保护条例(征求意见稿)》第12条:网络运营者应在规划设计阶段确定安全保护等级,第二级以上系统在10个工作日内向属地公安机关备案。
3.《互联网诊疗管理办法(试行)》第15条、《互联网医院管理办法(试行)》第19条:互联网医院信息系统“必须实施第三级信息安全等级保护”。
4.《医疗卫生机构网络安全管理办法》(国卫办规划发〔2022〕16号):第三级网络“每年至少开展一次等级测评”,新建系统上线前须通过安全性测试。

  1. 地方性法规:以上海为例,《上海市互联网医院管理办法》第18条要求“每年依法开展测评并提交年度测评报告”。

违反上述规定,公安机关可依据《网络安全法》第59条处以10万—100万元罚款,并对直接负责的主管人员处以1万—10万元罚款;造成信息泄露或重大安全事件的,还将承担停业整顿、吊销牌照等行政乃至刑事责任。

三、互联网医院系统的“高等级”特殊性

  1. 业务属性:在线挂号、复诊、续方、医保结算、药品配送等业务全部线上化,系统一旦停摆将直接影响患者就医安全。
  2. 数据密度:系统集中存储患者身份、病历、处方、检验结果、支付账号等高敏感个人信息,属于《个人信息保护法》第28条规定的“敏感个人信息”。
  3. 攻击面大:既要对外提供7×24小时互联网服务,又要与院内HIS、LIS、PACS、医保平台等核心业务系统实时交互,暴露面远高于传统内网系统。
  4. 监管认定:国家卫健委在《互联网医院管理办法》释义文件中,将“面向社会公众提供诊疗服务的系统”明确划入第三级保护对象,直接排除了降级空间。
互联网医院系统必须要做三级等保测评吗?插图

四、等保测评带来的“合规—安全—信任”正循环

  1. 合规:通过定级、备案、测评、整改、检查五大环节,获得公安机关出具的《备案证明》和测评机构出具的《符合性报告》,是申请互联网医院牌照的必要材料。
  2. 安全:以“一个中心、三重防护”(安全管理中心、安全计算环境、安全区域边界、安全网络通信)为核心技术框架,构建抵御有组织网络攻击的能力。
  3. 信任:通过年度测评和持续改进,向患者、合作药企、医保局、监管机构展示平台安全治理能力,提升品牌公信力。

五、落地路线图(12 周完成)
第1-2周 定级:依据《GB/T 22240-2020》对互联网医院系统进行业务影响评估,组织专家评审并出具定级报告。
第3-4周 备案:向属地公安机关网安部门提交《备案表》、系统拓扑、安全管理制度等资料。
第5-8周 差距分析与整改:委托具有公安部推荐资质的测评机构进行差距测评,针对物理环境、网络通信、计算环境、应用数据、安全管理五大技术域和四大管理域制定整改方案并实施。
第9-10周 正式测评:复测后出具《等级保护测评报告》,结论需达到“符合”或“基本符合”。
第11-12周 上线与持续运营:取得备案回执后上线;建立7×24小时安全运营中心(SOC),每年至少开展一次复测及应急演练,接受公安机关抽查。

六、常见误区与对策
误区1:“先上线后补证”。地方卫健委在牌照年审、医保对接验收时会核验最新测评报告,未通过即暂停医保结算接口。
误区2:“把等保当采购项目”。等保的核心是“管理+技术”双体系,单纯堆砌安全设备无法满足70分以上评分要求。
误区3:“通过一次就一劳永逸”。第三级系统每年需复测,重大版本变更、核心系统迁移、云服务商更换均需重新测评。

七、结论
互联网医院系统因其服务的社会公共属性与数据敏感性,天然属于国家网络安全重点监管对象。等级保护不仅是“拿牌照”的准入门槛,更是互联网医院全生命周期安全运营的基础制度。医疗机构和企业唯有将等级保护与日常信息化建设同规划、同部署、同运营,才能在合规的前提下,真正实现“让患者放心、让监管安心、让医院省心”的多赢目标。