互联网医院系统开展等保测评工作指南

前言

随着国家“健康中国”战略和“互联网+医疗健康”的深入推进,互联网医院作为医疗服务领域创新模式的典型代表,正迅速发展。它依托互联网技术,通过在线问诊、远程医疗、电子处方、药品配送、在线复诊、健康管理等多种方式,突破了传统医疗的时间和空间限制,极大地方便了患者就医,提升了医疗服务的可及性和效率。然而,互联网医院独特的线上服务模式,使其面临着比传统医院更为复杂和严峻的网络安全挑战。其系统架构往往涉及公有云、大数据、人工智能、移动应用等前沿技术,系统内流转着海量的患者个人健康信息(病历、诊断、用药、检查结果等)、医疗支付信息、医生职业信息以及其他敏感数据。任何一次成功的网络攻击,都可能导致患者隐私泄露、医疗数据被篡改、电子处方被滥用、医保支付系统被攻击、服务中断,甚至引发医疗事故,对患者生命健康、医院声誉、社会稳定和国家医疗安全造成严重后果。

为有效防范和应对针对互联网医院的网络安全风险,中华人民共和国网络安全等级保护制度(以下简称“等保”)是国家强制性的网络安全管理制度。特别是,2025年3月8日发布的《关于进一步做好网络安全等级保护有关工作的函》以及公安部网安局发布的公网安〔2025〕1846号文件等一系列新规,进一步强化了等保工作的常态化、动态化、实战化和体系化要求,预示着等保新时代对包括互联网医院在内的关键信息基础设施运营者提出了更高标准。本指南旨在为各类互联网医院(包括实体医院设立的互联网医院、独立设置的互联网医院等)提供一份深度契合其业务特点、符合最新等保标准(GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》 等)以及2025年新规精神的等保测评工作指引,帮助医院有效提升网络安全防护能力,保障患者信息安全和医疗服务质量,维护国家医疗健康安全。

一、 理解等保制度与互联网医院系统定级考量

1.1 等保制度核心思想与互联网医院系统定级考量

等保制度的核心是对信息系统(或网络)根据其在国家安全、社会稳定、经济建设中的重要性以及一旦发生风险可能造成的危害程度,划分不同的安全保护等级(共分为五级),并按照相应等级的要求进行安全保护和管理。其基本流程包括:定级、备案、测评、整改、监督检查。对于互联网医院而言,信息系统定级需综合考量其在医疗服务、患者管理、数据互联互通中的重要性,以及一旦发生安全事件可能造成的危害程度。

政策层面和等级划分建议:

  • 国家政策要求: 根据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》、《基本医疗卫生与健康促进法》、《数据安全法》、《个人信息保护法》以及国家卫健委、国家医保局、公安部等部门发布的各项法规和指导意见(如《互联网医院管理办法(试行)》、《关于进一步完善医疗机构互联网诊疗服务的通知》、《医疗机构网络安全管理办法》、《国家健康医疗大数据标准和互联互通成熟度测评方案》等),互联网医院的诊疗服务系统、患者信息管理系统、电子病历系统、医疗支付系统等核心信息系统,被明确列为需要进行网络安全等级保护的重点对象,并且通常被视为关键信息基础设施,其核心系统定级为三级甚至四级是普遍的、强制性的要求。
  • 一级/二级: 适用于互联网医院的官方宣传网站、非核心的公共知识库、非直接涉及患者敏感数据的行政办公系统、医护人员内部论坛等。这类系统遭到破坏,对医疗服务和患者信息影响较小。
  • 三级:这是互联网医院绝大多数核心业务及数据系统必须达到的等级。包括:
    • 核心诊疗服务系统: 在线问诊平台(包括音视频、图文咨询模块)、远程医疗协作平台、电子处方系统、智能导诊系统、预约挂号系统。
    • 患者信息管理系统(EMR/EHR): 电子病历管理系统、电子健康档案系统、患者主索引。
    • 医疗支付与结算系统: 医保支付接口、自费支付接口、财务结算系统。
    • 药品管理与物流系统: 药品库管理、线上药房管理、药品配送管理。
    • 医生工作站/临床支持系统: 医生工作站、处方审核系统、检验检查报告查询系统。
    • 运维管理与监控系统: 互联网医院后台管理系统、日志审计系统、监控预警系统。
    • 作为载体的基础架构: 承载上述系统的私有云/公有云平台、大数据平台、核心网络、服务器、数据库。
      这些系统一旦被破坏,可能导致患者隐私泄露(病历、诊断、用药等)、医疗数据被恶意篡改、电子处方被伪造或滥用、医保支付漏洞、在线诊疗服务中断、医疗事故风险增加,对患者生命健康、医院声誉和社会稳定造成严重损害。
  • 四级: 适用于国家级/区域级的互联网医疗健康服务平台、全国医疗健康信息共享平台,或承担国家重大医疗战略信息传输与存储的互联网医院核心枢纽系统。当这些系统遭到破坏时,将对国家安全、社会稳定、国民健康事业发展造成严重损害甚至灾难性后果。部分具有全国性影响力的头部互联网医院,其核心系统可能会被评估定级为四级。

1.2 2025年等保新规定(公安部公网安〔2025〕1846号文件等)的关键要求

2025年3月8日发布的《关于进一步做好网络安全等级保护有关工作的函》和公安部网安局发布的公网安〔2025〕1846号文件等新规,将等保制度推向3.0时代,着重强调了常态化、动态化、实战化和体系化。这些新规定对互联网医院的网络安全管理提出了更高、更具体的要求:

  • 常态化安全运营与动态监测: 要求互联网医院建立常态化的网络安全运营中心(SOC),对在线问诊、电子病历、支付、药品配送等核心业务系统以及支撑其运行的云平台、网络基础设施进行7x24小时实时监测和预警。从传统的“事后测评”向“事前预防、事中监测、事后响应”的闭环管理转变,确保安全风险能被及时发现、评估和处置,防范数据泄露、服务中断、恶意攻击等事件。
  • 深化应急响应与实战演练: 强调应急预案的实战性和可操作性。互联网医院需定期组织高强度、全流程的应急响应演练,模拟针对医疗行业的典型网络攻击场景,如患者病历数据被勒索病毒加密、电子处方被恶意篡改、线上诊疗平台遭受DDoS攻击导致服务中断、医保支付接口被攻击、医生身份被盗用进行非法诊疗、核心数据库被注入等。 演练结果需形成报告并进行分析改进,提升在突发事件中的快速恢复能力,确保医疗服务的连续性和患者信息安全。
  • 增强云计算、大数据、人工智能等新技术应用安全: 互联网医院深度依赖云计算(公有云/私有云混合部署)、大数据(患者画像、疾病预测)、人工智能(智能导诊、辅助诊断)等技术。新规将更加重视对这些技术平台和业务模式的安全防护,包括云平台租户隔离、数据加密传输、大数据隐私保护、AI模型对抗攻击、服务接口认证授权、API安全管理等。
  • 细化数据安全与隐私保护: 《数据安全法》和《个人信息保护法》对医疗健康数据提出了最高等级的保护要求。新规将进一步强化数据分类分级(特别是健康医疗数据)、数据生命周期安全管理(采集、传输、存储、处理、共享、销毁)、数据去标识化与匿名化、以及跨境数据传输的安全评估等要求。所有患者个人健康信息、基因数据、电子病历、诊断结果、用药记录、支付信息等,必须实施最高级别加密存储和传输,严格控制访问权限,并进行精细化授权管理,防范数据篡改、非法泄露和滥用,确保患者隐私得到严格保护,医患信任关系不受损害。
  • 移动应用(APP)安全与第三方接口管理: 互联网医院通常通过患者APP、医生APP提供服务,并与药店、物流公司、医保局、其他医疗机构等第三方进行数据接口对接。新规将强化对APP自身安全(代码审计、漏洞扫描、安全加固)、APP权限管理、第三方接口认证鉴权、数据传输加密、日志审计及安全追溯的要求。
  • 优化安全管理制度与高级别人员要求: 不仅关注技术防护,更强调完善的安全管理体系、清晰的岗位职责、充足的安全预算和专业安全人才(特别是医疗信息安全与隐私保护专家)的培养。互联网医院需建立健全网络安全组织架构,完善安全管理制度体系,并加强全员(特别是医护人员)的安全意识培训,防范内部人员误操作或恶意行为。

二、 互联网医院系统等保测评工作流程:深度契合医疗实践

互联网医院开展等保测评工作,通常遵循以下六个阶段,并需深度结合医疗行业特性进行针对性落地:

2.1 阶段一:启动与准备

互联网医院需成立由院领导牵头,医务科、信息科(IT部)、质控科、药剂科、财务科、护理部、法务部、行政部等共同参与的专项工作组,明确职责分工。在预算申请和资源调配时,应充分考虑医疗业务的连续性、高可用性以及患者隐私保护的合规性。选择具备国家认可资质、且对医疗行业信息系统及互联网医疗业务有深入了解的第三方测评机构至关重要,能有效提升预测评和正式测评的质量,并确保其对医疗业务流程和关键技术有准确理解。

2.2 阶段二:定级备案与范围确定

  • 信息系统梳理与资产普查: 全面普查互联网医院所有信息资产,包括但不限于:
    • 核心诊疗系统: 在线问诊平台(包括文字、图片、语音、视频模块)、远程医疗协作系统、电子处方系统、智能导诊系统、在线预约挂号系统、续方配药管理系统。
    • 患者与医疗数据系统: 电子病历(EMR/EHR)系统、患者主索引(MPI)、医学影像调阅系统、检验检查结果管理系统、健康管理与随访系统。
    • 支撑管理系统: 医疗支付与结算系统、药品库与供应链管理系统、医生工作站、处方审核系统、病案管理系统、用户管理与认证系统、医院运营管理系统、物流配送管理系统。
    • 基础架构: 公有云/私有云平台、大数据平台、服务器(物理/虚拟化)、数据库、存储、网络设备、安全设备、移动应用网关、数据中心。
    • 终端与移动应用: 患者App、医生App、Web端应用程序、H5页面、医护人员工作站、管理后台PC。
    • 数据资产: 患者基本信息、联系方式、病历、诊断、用药、检查检验结果、手术记录、基因数据、过敏史、支付信息;医生执业信息、专业特长;医疗收费、医保结算数据;在线问诊图文音视频记录等。
    • 第三方接口: 与医保局、卫健委监管平台、药监局、物流公司、其他医疗机构HIS/LIS/PACS系统、银行支付渠道、健康管理APP等互联互通的API接口和数据传输通道。
  • 系统定级与备案: 依据《网络安全等级保护定级指南》(GB/T 22240)和医疗行业标准,对各类信息系统进行定级。所有互联网医院的核心诊疗系统、电子病历系统、患者信息管理系统、医疗支付系统及其承载的云平台和数据库,必须定为三级或更高。 定级报告需详细阐述系统功能、数据流向、以及遭到破坏后可能对患者健康、医疗服务、数据隐私、社会稳定造成的具体影响。定级报告需经专家评审,并提交所在地公安机关网安部门进行备案。对于定为四级的系统,还需报送卫健委、网信办等进行审核。

2.3 阶段三:差距分析与安全规划

邀请测评机构进行预测评,对照相应等级的等保标准,识别互联网医院现有信息系统与标准要求之间的差距。这份“安全差距分析报告”将指出:例如,患者APP存在客户端漏洞或钓鱼风险;电子病历数据库缺乏有效的加密和访问控制;公有云服务未进行全面安全评估;API接口未进行强身份认证和安全加固;远程医疗传输通道未实施端到端加密;缺乏统一的安全日志审计和行为追溯机制;医护人员操作权限划分不合理;应急预案未完全覆盖大规模数据泄露或服务中断场景等问题。基于此,制定详细的安全整改方案,包括技术加固措施(如部署云安全防护、多租户隔离、API安全网关、数据加密网关、统一身份认证平台;增强移动应用安全;建设完善的容灾备份系统)和管理制度优化(如制定患者隐私保护政策、电子处方管理规范、第三方服务商安全协议、加强全员特别是医护人员的安全意识培训)。

2.4 阶段四:安全建设与整改加固

这是等保工作中最核心且耗时的阶段,互联网医院需严格按照整改方案执行,确保医疗服务的连续性、高可用性和患者信息安全。

  • 物理环境安全: 保障核心机房、数据中心等基础设施的物理安全,包括门禁系统、视频监控、环境监控、消防、防雷、UPS/备用电源。
  • 网络安全: 互联网医院特别强调内外部网络的联动安全。对内部业务网络进行精细化分区隔离,部署多级防火墙、入侵检测/防御系统(IDS/IPS)进行边界防护和内部流量监控。对对外开放的诊疗服务网络、数据交换接口,部署专业的Web应用防火墙(WAF)、API安全网关、抗DDoS系统。实施VPN加密传输远程访问数据和与合作方的数据。
  • 云计算安全: 若采用公有云服务,需确保云平台提供商符合等保要求,并对云上资源进行安全配置加固、虚拟化隔离策略检查。利用云安全服务平台(CASB、CSPM)对云资产进行持续安全监控和合规性审计。
  • 主机与应用安全: 对运行在云端或本地的服务器进行操作系统加固、漏洞补丁及时更新、部署主机入侵检测系统和防病毒软件。对电子病历、在线问诊、药品管理等核心业务应用系统进行安全编码审计、部署Web应用防火墙(WAF),防止SQL注入、XSS等常见攻击。强化用户身份认证(包括多因素认证)、访问控制(最小权限原则)和会话管理,防止非法访问和操作。
  • 数据安全: 这是互联网医院等保工作的重中之重,严格遵守《数据安全法》、《个人信息保护法》及医疗行业数据安全规范。 建立完善的数据分类分级体系,将患者个人健康信息、基因数据、电子病历、诊断结果、用药记录、支付信息等确认为最高级别的敏感数据。对这些敏感数据实施强制性加密存储(数据库加密、文件系统加密)和传输加密(端到端加密,TLS 1.2+)。实施数据脱敏或匿名化技术,在测试、统计、科研等非必要业务场景中使用脱敏数据。建立完善的数据备份、异地容灾与恢复机制,制定详细的数据防泄露(DLP)策略。加强日志审计和访问控制,确保所有数据访问行为可追溯、可审查。
  • 移动应用(APP)安全: 对患者APP、医生APP进行源代码安全审计、漏洞扫描,并进行加固。确保APP权限最小化,防止过度请求敏感权限。对APP与后台服务的数据传输进行严格加密。
  • API接口安全: 互联网医院存在大量对外或对内的API接口。需要部署API安全网关,对所有API进行身份认证、授权管理、流量控制、异常行为检测、数据加密和日志审计,防止API滥用和数据泄露。
  • 安全管理中心与应急响应: 建立健全网络安全运营中心(SOC),利用SIEM平台集中收集和分析来自各类信息系统、云平台、网络设备、安全设备、移动应用网关的日志,进行安全事件关联分析和可视化展示,实现主动预警,并与国家卫健委、公安部、医保局等主管部门的网络安全监测平台进行对接。建立完善的应急响应体系,制定针对互联网医院特有风险(如患者核心数据泄露、电子处方被篡改、在线诊疗平台遭受DDoS攻击、医保支付系统故障、远程医疗误诊风险、医生身份被冒用)的专项应急预案,并定期组织桌面演练和实战演练,提升互联网医院应对突发事件的能力,确保医疗服务的连续性和患者信息安全。
  • 供应链安全管理: 建立严格的第三方供应商评估与管理机制,对所有提供云计算、大数据、软件开发、物流配送、电子支付等服务的供应商进行安全能力评估,签订详细的网络安全责任协议(SLA),明确各自的安全职责和义务。确保所有与外部系统(如医保系统、药监系统、物流平台)的接口、API具备完善的安全认证、授权和加密机制。

2.5 阶段五:开展正式测评

当互联网医院认为各项安全建设与整改已基本完成并满足对应等级要求时,即可通知选定的测评机构进行正式测评。测评机构将依据最新的等保标准,对互联网医院的信息系统进行全面的技术测评和管理测评。

  • 技术测评: 对在线诊疗、电子病历、支付、药品管理等核心业务系统,公有云/私有云平台以及承载的数据库进行渗透测试、漏洞扫描、安全配置核查。检查云安全防护、API安全网关、WAF、IDS/IPS等安全设备的策略配置和有效性。审查安全审计日志的完整性和可追溯性。将特别侧重检查患者数据传输、存储和处理过程中的加密机制和权限控制、移动应用的安全防护、第三方接口安全、以及容灾备份和恢复能力。
  • 管理测评: 查阅互联网医院的网络安全管理制度、运维管理流程、患者隐私保护政策、应急响应预案、人员安全培训记录;访谈信息科人员、医护人员、管理人员、法务人员等关键岗位人员,了解其网络安全意识和操作规范;检查供应商安全管理、数据共享审批等相关记录。测评机构将特别关注医疗行业特有的诊疗规范、患者隐私保护、医德医风与网络安全管理的契合度,以及对国家卫健委等主管部门政策要求的落实情况。
  • 测评报告输出: 测评机构根据测评结果,出具详细的《网络安全等级保护测评报告》。报告将明确指出发现的问题、风险点,并给出针对性的整改建议。

2.6 阶段六:问题整改与复测

互联网医院收到测评报告后,需立即组织团队对报告中列出的所有不符合项进行分析,制定详细的整改计划,并优先解决高危、中危风险。考虑到医疗服务的连续性,整改措施需在不影响核心业务的前提下进行,并可能需要采取分阶段、逐步实施的策略,或利用非高峰期完成。例如,系统升级可能安排在深夜。在完成整改后,向测评机构提交整改报告。对于重大高风险问题,可能需要进行复测以验证整改效果。最终,当所有不符合项都得到有效整改,并经测评机构验证后,取得“符合等级保护要求”“基本符合等级保护要求”的结论。

三、 常态化运营与持续改进

等保测评的通过并非一劳永逸,而是互联网医院网络安全建设的一个里程碑,后续更需要常态化的运营与持续改进。

  • 定期复测与自查: 依据等保管理办法,三级系统至少每年测评一次,四级及以上系统需每年测评一次。同时,互联网医院应建立内部安全自查和审计机制,确保安全策略的持续有效性。
  • 安全运营中心(SOC)建设: 建立健全SOC,实现对所有诊疗系统、云平台、网络设备、安全设备和移动应用流量的7x24小时实时监控、事件分析和威胁情报预警,做到“看得见、防得住、溯得了”,并与国家卫健委、公安部、医保局等主管部门的网络安全监测平台进行对接。
  • 威胁情报与漏洞管理: 持续关注针对医疗行业的最新网络安全威胁和漏洞信息。定期对核心系统和重要设备进行漏洞扫描和渗透测试,及时修补并加固。
  • 新技术安全审计: 随着人工智能辅助诊疗、物联网医疗设备等新技术的引入,需对其进行独立的安全风险评估和等保测评。将安全前置到系统设计、采购和集成阶段。
  • 全员(特别是医护人员)安全意识与技能提升: 定期对所有医护人员、信息技术人员和管理层进行定制化的网络安全和患者隐私保护培训,让他们理解自己的操作对网络安全、患者生命健康和隐私的影响,并掌握基本防护技能。
  • 应急预案常态化演练: 严格按照公网安〔2025〕1846号文件精神,每年定期组织实战化的网络安全应急演练,覆盖不同安全事件场景,检验预案的有效性和团队的协同响应能力,确保互联网医院在遭受网络攻击时能够迅速响应、恢复正常医疗服务。

结语

互联网医院是医疗服务模式创新的重要方向,承载着亿万患者的生命健康和个人隐私。其网络安全不仅是技术问题,更是关乎社会信任和国家医疗健康战略的重大课题。积极、主动、持续地推行网络安全等级保护工作,并严格遵循2025年等保新规要求,不仅是法律法规的强制性要求,更是互联网医院提升服务质量、保障患者安全、赢得行业口碑、实现可持续发展的必然选择。通过将等保制度深度融入日常诊疗、运营与管理之中,互联网医院将能够构建起坚不可摧的网络安全防线,为国民提供安全、便捷、高效的医疗健康服务。