医院开展等保测评工作指南

前言

随着“智慧医疗”和“健康中国”战略的深入推进,信息技术已全面渗透到医院的各个领域。从患者挂号、电子病历(EMR)、临床诊疗、医学影像(PACS)、实验室信息管理(LIS),到医院资源管理(ERP)、远程医疗、药品耗材供应链,以及各类移动医疗应用和可穿戴设备,医院已构建起庞大而复杂的数字化生态。这些系统承载着海量的患者个人健康信息、敏感病历数据,并直接关系到患者的生命健康安全和医院的正常运转。然而,医疗行业也因此成为网络攻击的重点目标,数据泄露、勒索病毒攻击、系统中断等事件不仅会严重损害患者权益、医院声誉,更可能引发医疗事故,对社会稳定造成巨大冲击。

为有效应对医疗行业日益严峻的网络安全风险,中华人民共和国网络安全等级保护制度(以下简称“等保”)是国家核心的网络安全治理体系。特别是,2025年3月8日发布的《关于进一步做好网络安全等级保护有关工作的函》以及公安部网安局发布的公网安〔2025〕1846号文件等一系列新规,进一步强化了等保工作的常态化、动态化、实战化和体系化要求,预示着等保新时代对包括医疗机构在内的关键信息基础设施运营者提出了更高标准。本指南旨在为医院(特别是“三甲”医院)提供一份深度契合医疗行业特点、符合等保标准(GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》 等)以及2025年新规精神的等保测评工作指引,帮助医院有效提升网络安全防护能力,保障患者生命健康,维护社会稳定。

一、 理解等保制度与医疗行业定级考量

1.1 等保制度核心思想与医院系统定级考量

等保制度的核心是对信息系统(或网络)根据其在国家安全、社会稳定、经济建设中的重要性以及一旦发生风险可能造成的危害程度,划分不同的安全保护等级(共分为五级),并按照相应等级的要求进行安全保护和管理。其基本流程包括:定级、备案、测评、整改、监督检查。对于医院而言,信息系统定级需综合考量其在医疗服务中的作用、患者数据敏感性、对医疗业务连续性的影响以及一旦发生安全事件可能造成的社会影响。

政策层面和等级划分建议:

  • 三甲医院的特殊性: 根据国家相关法规(如《关于加强医疗卫生机构网络和信息安全工作的指导意见》、《全国医院信息化建设标准与规范》),以及卫健委、网信办和公安部等部门对关键信息基础设施的明确要求,三甲医院承载着区域乃至全国性的医疗服务、教学和科研任务,其信息系统通常被视为关键信息基础设施的重要组成部分。因此,三甲医院的核心业务系统(如EMR、PACS、HIS、LIS等)定为三级是普遍要求,甚至在特殊情况下,部分承载国家重要卫生数据、区域医疗共享平台或直接影响国家安全的系统,可能需要定为四级。
  • 一级/二级: 适用于医院官网、科普宣传、一般性行政办公系统、科研数据脱敏后的辅助分析平台。这类系统遭到破坏,对医院正常运作和患者影响较小。
  • 三级: 这是医院绝大多数核心业务系统必须达到的等级。包括医院信息系统(HIS)、电子病历系统(EMR)、医学影像归档与通信系统(PACS)、实验室信息管理系统(LIS)、手术麻醉系统、重症监护系统(ICU)、心电图信息系统(ECG)、体检系统、医保结算系统、远程医疗平台、药品耗材管理系统、急救指挥调度系统等。这些系统一旦被破坏,将直接导致医疗服务中断、患者信息泄露、诊疗流程瘫痪,可能威胁患者生命健康,对医院造成严重损害,并对社会秩序、公共利益造成损害。例如,EMR数据丢失可能导致诊疗依据缺失,PACS系统瘫痪可能延误诊断。
  • 四级: 适用于特别重要的国家级或区域级医疗数据中心、国家级疾病预防控制系统、承担国家重大突发公共卫生事件应急管理的核心信息系统,或对国家医疗决策、国家安全有巨大影响的超大型医疗健康大数据平台。当这些系统遭到破坏时,将对国家安全、国民经济或社会稳定造成严重损害。

1.2 2025年等保新规定(公安部公网安〔2025〕1846号文件等)的关键要求

2025年3月8日发布的《关于进一步做好网络安全等级保护有关工作的函》和公安部网安局发布的公网安〔2025〕1846号文件等新规,将等保制度推向新时代,着重强调了常态化、动态化、实战化和体系化。这些新规定对医院(特别是三甲医院)的网络安全管理提出了更高、更具体的要求:

  • 常态化安全运营与动态监测: 要求医院建立常态化的网络安全运营中心(SOC),对HIS、EMR、PACS等核心业务系统、医疗物联网设备、网络基础设施的运行状态和安全事件进行7x24小时实时监测和预警。从传统的“事后测评”向“事前预防、事中监测、事后响应”的闭环管理转变,确保安全风险能被及时发现、评估和处置。
  • 深化应急响应与实战演练: 强调应急预案的实战性和可操作性,医院需定期组织高强度、全流程的应急响应演练,模拟针对医疗行业的典型安全事件,如勒索病毒攻击导致EMR系统全院瘫痪、恶意篡改PACS影像资料、内部数据泄露、关键医疗设备遭网络攻击等。 演练结果需形成报告并进行分析改进,提升在突发事件中的快速恢复能力,确保医疗服务连续性。
  • 增强供应链安全与第三方管理: 医院的信息化建设和医疗服务高度依赖各类第三方供应商,包括HIS/EMR厂商、设备供应商、云服务商、委外运维团队等。新规将更加重视对第三方接入系统、API接口、数据共享的安全管理,要求与供应商签订明确的安全协议,进行定期安全审计,防范供应链攻击和数据泄露风险。
  • 细化数据安全与隐私保护: 医疗数据是极端敏感的个人信息。新规将进一步强化数据分类分级、数据生命周期安全管理(采集、传输、存储、处理、共享、销毁),以及数据去标识化与匿名化等要求,以全面落实《数据安全法》和《个人信息保护法》。对患者病历、检查报告、基因数据、诊断信息等敏感数据,必须实施高级别加密存储和传输,并严格控制访问权限,防范数据滥用和非法泄露。
  • 云计算、医疗物联网、大数据应用安全: 医院广泛采用云HIS、云PACS、医疗物联网设备(如智能输液泵、监护仪、远程诊疗设备)、医疗大数据分析平台。新规将针对这些新技术应用提出更具体、更严格的安全防护要求,包括云平台安全配置、虚拟化隔离、医疗物联网设备认证与访问控制、数据加密、大数据平台隐私保护等。
  • 优化安全管理制度与高级别人员要求: 不仅关注技术防护,更强调完善的安全管理体系、清晰的岗位职责、充足的安全预算和专业安全人才的培养,特别是高级别的网络安全负责人。医院需建立健全网络安全组织架构,完善安全管理制度体系,并加强全员的安全意识和技能培训。

二、 医院等保测评工作流程:深度契合医疗行业实践

医院开展等保测评工作,通常遵循以下六个阶段,并需深度结合医疗行业特性进行针对性落地:

2.1 阶段一:启动与准备

医院需成立由院长或分管副院长牵头,医务科、护理部、信息科、感控科、财务科、合同采购部门、保卫处等共同参与的专项工作组,明确职责分工。在预算申请和资源调配时,应充分考虑医院核心业务系统24小时不间断运行的特点及其安全加固成本。选择具备国家认可资质、且对医疗行业有深入了解的第三方测评机构至关重要,能有效提升预测评和正式测评的质量,并确保其对医疗业务流程和关键技术有准确理解。

2.2 阶段二:定级备案与范围确定

  • 信息系统梳理与资产普查: 全面普查医院所有信息资产,包括但不限于:
    • 业务系统: HIS、EMR、PACS、LIS、RIS、CIS(临床信息系统)、手术麻醉、重症监护、血液管理、移动医疗APP、远程医疗平台、医保结算、药品耗材供应链系统、病案管理系统、教学科研系统等。
    • 基础架构: 服务器(虚拟化/物理)、数据库、存储、网络设备、安全设备、云计算平台(如HaaS、PaaS、SaaS)、有线/无线网络基础设施。
    • 医疗物联网设备: 智能输液泵、监护仪、呼吸机、超声诊断设备、智能药柜/物流机器人、可穿戴医疗设备、门诊叫号系统、自助机等。
    • 数据资产: 患者基本信息、病历、检查报告、影像资料、诊断信息、治疗方案、用药记录、生理参数、基因组数据、医保支付信息等敏感数据。
    • 第三方接口: 与医保局、卫健委、疾控中心、药企、上级医院、下级社区医院、线上挂号平台、金融机构等互联互通的API接口和数据传输通道。
  • 系统定级与备案: 依据《网络安全等级保护定级指南》(GB/T 22240)和医疗行业标准,对核心医疗信息系统进行定级。三甲医院的HIS、EMR、PACS、LIS等核心系统,以及承载重要患者数据的数据库,必须定为三级。 针对定级较高的系统,需详细阐述系统功能、数据流向、以及遭到破坏后可能对患者安全、医院运营、社会稳定造成的具体影响。定级报告需经专家评审,并提交所在地公安机关网安部门进行备案。对于定为四级的系统,还需报送上级主管单位(卫健委、网信办)审核。

2.3 阶段三:差距分析与安全规划

邀请测评机构进行预测评,对照相应等级的等保标准,识别医院现有信息系统与标准要求之间的差距。这份“安全差距分析报告”将指出:例如,EMR系统的身份认证机制可能不符合多因素认证要求;PACS影像数据未进行加密存储;HIS系统日志审计功能不足,无法有效追溯异常操作;远程医疗平台缺乏抗拒绝服务攻击能力;关键医疗物联网设备存在默认密码或未及时更新固件等问题。基于此,制定详细的安全整改方案,包括技术加固措施(如部署医疗专用的工控防火墙保护医疗设备网络、增强数据加密和脱敏能力、完善入侵检测/防御系统、建设高可用容灾系统)和管理制度优化(如制定医疗数据共享安全规范、加强医护人员安全意识培训、定期进行安全演练)。

2.4 阶段四:安全建设与整改加固

这是等保工作中最核心且耗时的阶段,医院需严格按照整改方案执行,确保不影响诊疗业务的连续性。

  • 物理环境安全: 保障核心机房、数据中心、网络中心的安全,包括严密的门禁系统、视频监控、温湿度与漏水消防系统、发电机/UPS供电系统。对重要的医疗设备机房(如PACS服务器房)同样加强物理安全管理。
  • 网络安全: 对医院内网进行精细化分区隔离,将HIS/EMR核心区、PACS影像区、电子流区域、医疗物联网设备区域、办公区域等进行严格隔离,部署多级防火墙、入侵检测/防御系统(IDS/IPS)进行边界防护和内部流量监控。实施VPN加密传输远程医疗和院外访问数据。确保医疗物联网(IoMT)设备网络与核心业务系统网络有效隔离。
  • 主机与应用安全: 对运行HIS、EMR、PACS、LIS等系统的服务器进行操作系统加固、漏洞补丁及时更新、部署主机入侵检测系统和防病毒软件。对各类医疗业务应用系统进行安全编码审计、部署Web应用防火墙(WAF),防止SQL注入、XSS等常见攻击。强化身份认证、访问控制和会话管理,防止非法访问和操作,特别是对医生、护士、药师等关键岗位人员,实施多因素认证(MFA)机制。
  • 数据安全: 严格按照数据分类分级结果,对患者病历、诊断、影像、检验等敏感数据实施高级别加密存储(如数据库加密、存储加密)和传输加密(如TLS加密)。实施数据脱敏或匿名化技术,在科研、教学、测试环境中使用脱敏数据。建立完善的数据备份、异地容灾与恢复机制,制定详细的数据防泄露(DLP)策略。加强日志审计和访问控制,确保所有医疗数据访问行为可追溯、可审查。
  • 医疗物联网(IoMT)安全: 对院内所有联网医疗设备进行资产登记、安全评估。确保IoMT设备具备强身份认证和授权机制,禁用默认密码。对设备固件进行定期更新和漏洞扫描。限制不必要的网络服务和端口。部署医疗专用的工控防火墙和入侵检测系统,监控和阻止针对医疗设备的网络攻击。
  • 安全管理中心与应急响应: 建立健全网络安全运营中心(SOC),利用SIEM平台集中收集和分析来自各类医疗信息系统、网络设备、安全设备的日志,进行安全事件关联分析和可视化展示,实现主动预警。建立完善的应急响应体系,制定针对医疗行业特有风险(如EMR系统大面积瘫痪、医疗数据大规模泄露、HIS系统勒索攻击)的专项应急预案,并定期组织桌面演练和实战演练,提升医院应对突发事件的能力。
  • 供应链安全管理: 建立严格的第三方供应商评估与管理机制,对所有提供IT服务、医疗设备服务的供应商进行安全能力评估,签订详细的网络安全责任协议(SLA),明确各自的安全职责和义务。确保所有与外部系统(如医保系统、上级平台)的接口、API具备完善的安全认证、授权和加密机制。

2.5 阶段五:开展正式测评

当医院认为各项安全建设与整改已基本完成并满足对应等级要求时,即可通知选定的测评机构进行正式测评。测评机构将依据最新的等保标准,对医院的信息系统进行全面的技术测评和管理测评。

  • 技术测评: 对HIS、EMR、PACS、LIS等核心业务系统以及承载的数据库进行渗透测试、漏洞扫描、安全配置核查。检查防火墙、IDS/IPS等安全设备的策略配置和有效性。审查安全审计日志的完整性和可追溯性。将特别侧重检查患者数据传输、存储和处理过程中的加密机制,医疗物联网设备的认证和访问控制机制,以及容灾备份和恢复能力。
  • 管理测评: 查阅医院的网络安全管理制度、运维管理流程、应急响应预案、人员安全培训记录;访谈信息科人员、临床医生、护士长等关键岗位人员,了解其网络安全意识和操作规范;检查供应商安全管理、医疗数据共享审批等相关记录。测评机构将特别关注医院特有的医疗业务流程与安全管理的契合度,以及对国家相关政策要求的落实情况。
  • 测评报告输出: 测评机构根据测评结果,出具详细的《网络安全等级保护测评报告》。报告将明确指出发现的问题、风险点,并给出针对性的整改建议。

2.6 阶段六:问题整改与复测

医院收到测评报告后,需立即组织团队对报告中列出的所有不符合项进行分析,制定详细的整改计划,并优先解决高危、中危风险。考虑到医院业务24小时不间断的特殊性,整改措施需在不影响核心诊疗业务的前提下进行,并可能需要采取分阶段、逐步实施的策略。例如,进行数据库加密可能需要在系统维护窗口或采用在线无感加密方案。在完成整改后,向测评机构提交整改报告。对于重大高风险问题,可能需要进行复测以验证整改效果。最终,当所有不符合项都得到有效整改,并经测评机构验证后,取得“符合等级保护要求”“基本符合等级保护要求”的结论。

三、 常态化运营与持续改进

等保测评的通过并非一劳永逸,而是医院网络安全建设的一个里程碑,后续更需要常态化的运营与持续改进。

  • 定期复测与自查: 依据等保管理办法,三级系统至少每年测评一次,二级系统至少两年测评一次。同时,医院应建立内部安全自查和审计机制,确保安全策略的持续有效性。
  • 安全运营中心(SOC)建设: 建立健全SOC,实现对所有医疗信息系统、网络设备、安全设备和医疗物联网终端的24/7实时监控、事件分析和威胁情报预警,做到“看得见、防得住、溯得了”,并与卫健委、网信办等主管部门的网络安全监测平台进行对接。
  • 威胁情报与漏洞管理: 持续关注医疗行业面临的最新网络安全威胁和漏洞信息。定期对核心系统和医疗物联网设备进行漏洞扫描和渗透测试,及时修补并加固。
  • 技术与业务协同: 随着医院业务创新(如智能诊断、精准医疗、基因测序)和信息技术升级,网络安全防护措施也需同步演进和优化。将安全前置到系统设计和技术选型阶段。
  • 医护人员与管理层安全培训: 定期对所有医护人员、行政人员、IT运维人员和管理层进行定制化的网络安全意识和技能培训,让他们理解自己的操作对网络安全和患者隐私的影响,并掌握基本防护技能。
  • 应急预案常态化演练: 严格按照公网安〔2025〕1846号文件精神,每年定期组织实战化的网络安全应急演练,覆盖不同安全事件场景,检验预案的有效性和团队的协同响应能力,确保医院在遭受网络攻击时能够迅速响应、恢复正常医疗服务。

结语

在构建“健康中国”的伟大进程中,医院的网络安全是保障人民群众生命健康、维护医疗秩序和社会稳定的基石。积极、主动、持续地推行网络安全等级保护工作,并严格遵循2025年等保新规要求,不仅是法律法规的强制性要求,更是医院提升风险管理能力、保障医疗服务连续性、赢得患者信任、实现高质量发展的必然选择。通过将等保制度深度融入日常诊疗、管理与科研之中,医院将能够构建起坚固的网络安全防线,为人民群众的生命健康福祉保驾护航。