一、?項目建設背景

近年來針對醫院等醫療系統的網絡安全風險和網絡攻擊一直處于活躍狀態且呈現持續上升態勢，整個醫療行業信息安全形勢不容樂觀。其中，在我國多地醫院持續檢測出勒索病毒，有些醫院出現患者信息被盜等情況。相關檢測報告顯示，僅在全國三甲醫院中，今年就有數百家醫院檢出了勒索病毒，全國各地均有三甲醫院“中招”。

2017年6月1日，《中華人民共和國網絡安全法》正式頒布施行，該法第二十一條明確規定“國家實行網絡安全等級保護制度”。網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務。

2019年5月13日，等級保護2.0系列標準正式發布，標志著等級保護2.0的真正到來。

XXXX醫院信息化工作經過多年的發展，信息技術已得到了廣泛的應用，主要業務系統如HIS，PACS，LIS，RIS，EMR等都己實施并應用，為醫院發展和業務應用提供了較為良好的支撐。

同時，隨著數字化醫院評審標準的完善以及醫院等級保護測評政策要求的落實，醫療衛生系統圍繞HIS、EMR、LIS、PACS等核心業務系統深入開展信息安全等級保護工作，并在此基礎上指引后續信息化安全建設方向。

通過對醫院信息化現狀調研、分析，結合等級保護2.0版在安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維環境十個方面的要求，協助醫院逐步完善信息安全組織、落實安全責任制，開展管理制度建設、技術措施建設，落實等級保護制度的各項要求，使得醫院信息系統安全管理水平提高，安全保護能力增強，安全隱患和安全事故減少，有效保障信息化健康發展。

為了落地以上建設目標，保證信息系統的安全、穩定、可靠運行，我們對照《二級綜合醫院評審標準實施細則》、《電子病歷評審》、《河南省數字化醫院建設指南》、《河南省數字化醫院評審標準》等要求，對XXXX醫院整體信息系統進行了統一梳理和信息安全防范體系規劃，旨在保證醫院信息系統各組成部分能夠高效協同，對業務與應用提供強有力支撐；同時還需要確保在總體方案規劃下的分步實施。

二、?醫療行業相關信息安全政策分析

2.1、《網絡安全法》

沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。《網絡安全法》是我國第一部網絡安全領域的法律，是保障網絡安全的基本法。對網絡運營者，提出了更高的要求，同時增加了對違法個人的追責。

醫療機構作為信息化的受益者，同時，更肩負了捍衛信息系統安全的職責。

其中第21條明確規定：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄漏或者被竊取、篡改。

醫療機構如果未通過相對應的等級保護級別，一旦發生網絡安全事故，將被處以警告和限期整改的處罰。同時對直接責任人罰款還有限期整改的處罰。

醫療機構在利用信息技術提升整體運營效率的同時，也會留存大量的患者隱私數據，并且為了方便患者通過網絡查詢部分數據，還會連通內外網，這就會涉及到信息發布和隱私數據的泄露的問題。

第47條，這一條是涉及到網絡信息安全方面的一條內容，網絡運營者應該加強用戶發布信息管理的內容的監控，禁止發布或者傳輸信息。如果發現的話應該予以立即的停止傳輸，這實際上相當于網絡運營者有阻止違法信息組織這樣的一個義務。

與之對應的法則就是第68條，網絡運營者如果沒有停止傳輸采取消除的措施，輕則整改警告，重則罰款，最嚴重可以達到暫停相關業務、停業整頓、關閉網站，吊銷相關營業資質，對直接責任人會處以罰款等相應的處罰。對于信息的發布者也適用于本法則。

綜上，醫療機構作為信息系統的建設者、使用者、信息的發布者，必須對信息安全足夠重視，一旦違法相關法律條文，醫療機構和直接責任人都將被追責。

同時，網絡安全法也充分肯定了等級保護制度以評促建的思路，這就為等級保護2.0的順利實施奠定了法律的基礎。

2.2、等保2.0

??等保2.0分為技術、管理兩大部分。

1）技術部分可以通過新增安全設備，調試、整改現有網絡設備的方式實現。

2）管理部分則需要制定較為完備的安全管理體系、明確安全責任人等行政手段進行約束，以安全服務的形式進行交付。

2.2.1、技術要求

?2.2.2、管理要求

?通過提供安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運營管理五個部分入手，提供安全服務，幫助客戶完善等級保護提出的相關管理要求。

?