醫療機構信息安全等級保護的需求背景

衛生醫療行業信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作，對于促進衛生醫療信息化健康發展，保障醫藥衛生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。

某某醫院三級等保建設拓撲

為貫徹落實國家信息安全等級保護制度，規范和指導全國衛生行業信息安全等級保護工作，按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安〔2009〕 1429號）要求，衛生部結合衛生行業實際，特研究制定了《衛生行業信息安全等級保護工作的指導意見》（衛辦發〔2011〕85號）和《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》（衛辦綜函〔2011〕1126號）來指導衛生醫療行業的信息安全建設工作。

醫療機構信息安全等級保護的安全需求

任何的安全事件所導致的醫院業務系統宕機，都會降低患者的就醫滿意度同時醫院的信息數據泄漏問題影響很大損害了醫院的信譽，處理不當則可能會引起醫患糾紛、法律問題甚至社會問題。綜上所述，當前三甲醫院面臨的主要問題有以下幾個方面：

·　醫院信息系統互聯互通的實現，使得醫院信息系統面臨更多來自外部的威脅 （邊界防護及邊界訪問控制）

·　安全意識的淡薄以及管理制度的不完善，面臨著來自內部的人為失誤或蓄意破壞、信息竊?。☉蔑L險）

·　三甲醫院擁有的患者信息、診療信息更加具有商業價值，漸漸得到灰色產業鏈的覬覦（應用風險）

·　安全事件造成的損失以及醫院信息系統恢復的成本 （備份恢復）

·　缺乏安全技術人員以及安全管理制度 （三級等保制度）

·　面對外部網絡威脅的恐慌，導致了醫院信息化發展的裹足不前

·　醫改對醫院信息共享、遠程醫療協助的政策導向，延伸出的信息安全保障

中新醫療機構信息安全等級保護解決方案特點

對于三甲醫院的信息系統而言，安全建設應該主要考慮以下幾個方面:

·　醫院信息安全建設將從事前預防，事中減損，和事后糾正三個方面提供全面的防護策略，全面提升提高醫院

·　安全防護能力；

·　重點防護對外WEB應用，降低數據泄露風險、支撐WEB可用性以及控制惡意訪問；

·　采用VPN技術保證醫院與分支醫療機構、醫院與上下級機構以及醫院與移動醫護工作者的的安全數據交換；

·　加強主動防御能力，通過全方位、多視角的風險分析，完善醫院信息系統漏洞，降低安全風險，提高信息系

·　統健壯性；

·　Bypass部署設計，一旦安全設備出現異常，將自動重啟系統或者啟用bypass，實現醫院業務零斷網；

·　提升醫院IT設備運維審計能力，最小化避免操作失誤以及蓄意破壞帶來的損失；

·　采用集中統一的安全管理形式，提高安全管理效率；

·　選用安全服務外包模式，彌補醫院專業安全技術人員的缺失，最大程度上減少醫院運營中斷和管理成本；

·　根據上級主管部門的政策指導，依據信息安全等級保護要求，對業務系統進行等級保護建設。