互联网医院三级等保等保怎么过?
2021-01-12 16:30
符合具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源这三个基本特征的信息系统都要做等级保护,相关单位可以根据定级指南确定自己信息系统的安全保护等级,看看到底要做几级等保,可能是二级,也可能是三级、四级。但对互联网医院来说,没得选择,必须要做三级等保。
就当下的情况来说,三级医院都需要建设互联网医院,而互联网医院的必备条件之一是通过三级等保认证。为什么这样说呢?广东省第二人民医院信息科主任连万民表示,互联网医疗监管平台的接入需要医院提交相应的材料,其中一项材料就是互联网医院信息系统《信息系统安全等级保护任务告知书(回执)》《信息系统安全等级保护备案证明》。同时,根据《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》,承载互联网医院的平台必须通过等保三级测评。也就是说,如果一家互联网医院想上线运行,在等保这一块,它必须同时具备《信息安全等级保护备案证明》和《信息安全等级保护测评报告》。
不做等保就拿不到牌照,互联网医院三级等保这就做起来!
一、互联网医院等级保护定级备案
等保定级备案是互联网医院平台办理等保工作的第一步。根据等保2.0相关规定,互联网医院主管单位及相应负责人要确定需要定级的信息系统有哪些,并且初步确定信息系统所属级别(第一级到第五级,级别逐渐升高),定级结果还要经过专家评审和主管部门的审批。
互联网医院平台确定信息系统安全等级后,要准备相关备案材料,向公安机关备案。备案材料主要指《信息系统安全等级保护备案表》。第三级及以上信息系统应当同时提供以下材料:
①系统拓扑结构及说明;
②系统安全组织机构和管理制度;
③系统安全保护设施设计实施方案或者改建实施方案;
④系统使用的信息安全产品清单及其认证、销售许可证明;
⑤测评后符合系统安全保护等级的技术检测评估报告;
⑥信息系统安全保护等级专家评审意见;
⑦主管部门审核批准信息系统安全保护等级的意见。
材料提交到公安机关进行审核,审核通过即可得到《信息安全等级保护备案证明》。如果审核未通过,根据公安机关的反馈重新备案即可。
二、互联网医院等级保护测评整改
定级备案之后,互联网医院需要寻找具备专业资质的,由国家网络安全等级保护工作协调小组办公室推荐的等保测评机构来给医院的信息系统进行测评。等保测评机构会对医院信息系统的安全防护状况进行测评。测评一般分为两轮,第一次测评是差距测评,主要是发现系统存在的安全问题,然后医院根据这些问题进行整改,使得系统符合等保标准。为了顺利通过测评,医院必须整改到位。第二次测评在整改之后进行,是验收测评,经过整改,信息系统一般都能满足等保标准,医院可以将测评机构的测评报告和整改报告一起提交公安机关进行备份,就算是真正取得了三级等保认证。
最后,互联网医院等保测评的通过并不代表等保工作的完成,对于三级以上的信息系统,等保测评工作每年要至少开展一次。与此同时,互联网医院还要接受公安机关不定期的监督、检查。