互联网医院信息系统等保测评具体步骤(2025年新规版)
基于《网络安全等级保护测评高风险判定实施指引(试行)》与公安部网安局 2025 年最新要求的互联网医院信息系统合规实操指南
一、新规速览:2025 年必须关注的 5 个变化
- 重大风险隐患概念正式引入,取代原“一票否决”做法,采用“符合率+重大风险隐患”双维度判定结论。
- 测评报告模板 2025 版启用时间:2025-03-20 以后出具的所有报告均须使用新版模板。
- 第三级(含)以上系统每年 12 月 31 日前须提交年度《保护工作方案》,重点围绕重大风险隐患。
- 备案动态更新:无论系统是否变更,第二级(含)以上运营者须按 2025 版模板重新填报《定级报告》和《备案表》。
- 数据资源摸底:2025-11-30 前,二级及以上系统完成数据分类摸底并上报。
——————————
二、适用主体与前置条件
- 已取得或正在申请《互联网医院设置批准书》的实体医院/企业。
- 系统面向社会提供挂号、在线复诊、处方流转、医保结算、报告查询等服务。
- 已至少完成开发测试并通过功能验收;云或本地机房已落实物理隔离方案。
——————————
三、整体流程图(10 周完成)
| 周次 | 阶段 | 关键动作 | 责任方 | 交付物 | 新规要求 |
|---|---|---|---|---|---|
| 1 | 系统梳理与定级 | 业务影响分析、定级报告 | 医院+顾问 | 《定级报告(2025版)》 | 必须引用重大风险隐患判定原则 |
| 2 | 专家评审与公安备案 | 专家会、备案提交 | 医院 | 《专家评审意见》《备案表2025版》 | 动态更新备案,无论是否变更 |
| 3 | 差距测评 | 工具扫描+人工渗透 | 测评机构 | 《差距分析报告》 | 同步判定重大风险隐患 |
| 4-7 | 整改建设 | 技术加固+制度+培训 | 医院+集成商 | 《整改完成报告》 | 重大风险隐患需单独列表并给出根因分析 |
| 8 | 正式测评 | 现场复测+打分 | 测评机构 | 《2025版测评报告》 | 符合率+重大风险隐患双重维度 |
| 9 | 备案回执 | 提交复测报告 | 医院 | 公安回执 | 重大风险隐患数量按整改前填写,已整改的需标注“10(5已整改)” |
| 10 | 年度保护工作方案 | 编制并报送 | 医院 | 《保护工作方案》 | 每年12月31日前提交 |
——————————
四、分步骤详解(含高风险判定要点)
- 系统边界梳理与定级
1.1 划分定级对象:门户、在线诊疗、支付结算、运营后台、大数据平台。
1.2 依据《高风险判定实施指引》进行高发性、严重性、相关性评估,形成定级报告附录《重大风险隐患预判表》。
1.3 结论:互联网医院系统统一划为第三级——S3A3(患者敏感信息大量集中,业务中断影响社会秩序)。 - 专家评审与公安备案(2025 版)
• 专家评审。
• 备案材料新增《数据摸底调查表》(数据分类至最小业务类别,如“个人健康档案”“医保支付记录”)。 - 差距测评(初测)
• 高风险判定示例:
– Web 系统存在未授权访问病历接口 → 高风险(严重性原则)
– Redis 未授权且公网开放 → 重大风险隐患(高发性+严重性叠加)
• 输出《差距分析报告》须单独列出“重大风险隐患清单”并给出根因。 - 安全整改与建设
• 技术整改必须覆盖“重大风险隐患”对应的控制点;整改后需二次渗透验证。
• 管理整改须建立《第三方运维人员安全管理办法》《处方数据全生命周期管理规范》。 - 正式测评(复测)
• 结论判定规则(2025 版):
– 符合率 ≥90% 且无重大风险隐患 → 符合
– 60%≤符合率<90% 或 ≥90% 但存在重大风险隐患 → 基本符合
– 符合率<60% → 不符合 - 备案回执与持续监督
• 回执有效期:《网络安全等级保护备案证明》有效期为三年。2025年1月1日前备案的,有效期自2025年1月1日起算。完成等级测评后有效期自动延长一年。
• 重大风险隐患整改进度须在下一年度《保护工作方案》中闭环说明。
——————————
五、互联网医院特殊测评要点(2025 版)
| 场景 | 高风险/重大隐患 | 判定依据 | 检查方法 |
|---|---|---|---|
| 在线视频问诊 | 音视频未端到端加密 | 严重性 | Wireshark 抓包验证 SRTP |
| 处方流转 | 处方数据可被任意下载 | 高发性+严重性 | 接口越权测试 |
| 医保接口 | VPN 专线单因子认证 | 相关性 | 查看 VPN 日志与策略 |
| 小程序 | 前端硬编码 AK/SK | 高发性 | 逆向 APK/小程序包 |
| 混合云 | 云-本地边界无 IPS | 相关性 | 查看虚拟防火墙策略 |
——————————
六、2025 版报告模板与重大风险隐患填报规则
- 封面日期 ≥2025-03-20 的报告须使用 2025 版模板。
- “重大风险隐患数量”一栏格式:整改前数量(已整改数量),例:8(4)。
- 报告须附《数据摸底调查表》缩略图。
——————————
七、保护工作方案编制与报送节点
- 适用范围:所有第三级(含)以上互联网医院系统。
- 报送时间:
– 首批:2025-06-30 前
– 年度:每年 12 月 31 日前 - 必备章节:
- 资产盘点(含互联网暴露面)
- 现有安全措施与重大风险隐患对照表
- 整改根因分析
- 资金与人员计划
- 时间表与里程碑
——————————
八、常见失败案例与规避建议
| 失败案例 | 新规关联 | 规避措施 |
|---|---|---|
| 重大风险隐患未清零导致“基本符合” | 符合率92%但含1项重大隐患 | 建立“重大隐患清零”里程碑 |
| 备案模板仍用 2021 版被退件 | 模板切换节点 | 统一使用 2025 版 |
| 数据摸底类别混乱 | 数据分类要求 | 采用“业务类别”而非字段级 |
| 保护工作方案缺资金预算 | 报送要求 | 模板中预留财务审批页 |
——————————
九、交付物清单与时间表(10 周示例)
| 周 | 交付物 | 备注 |
|---|---|---|
| 1 | ①《定级报告2025版》②《重大风险隐患预判表》 | 含专家评审签字 |
| 2 | ③《备案表2025版》④《数据摸底调查表》 | 公安受理回执 |
| 3 | ⑤《差距分析报告》 | 重大风险隐患单列 |
| 4-7 | ⑥《整改完成报告》 | 含复测截图 |
| 8 | ⑦《2025版测评报告》 | 符合率+重大风险隐患 |
| 9 | ⑧公安备案回执 | 重大隐患标注格式 |
| 10 | ⑨《保护工作方案》 | 首批报送 6-30 前 |
——————————
结语
在“动态防护”时代,互联网医院系统的等保测评不再是“一锤子买卖”。运营者须以 2025 年《高风险判定实施指引》和公安部网安局系列新规为纲,围绕“重大风险隐患”建立持续监测、持续整改、持续备案的闭环机制,才能真正实现合规上线、安全运营与监管信任的三重目标。
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。