医院是国家重要的基础建设之一,互联网技术为医疗行业的发展带来了极大便利。但由于互联网具有开放性,医疗行业各单位的网络安全工作也必须重视。早在2011年,国家卫建委就出台了医疗行业等级保护工作相关文件。医疗行业等级保护相关文件如下: 1、2011年,国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评; 2、2016年,国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求; 3、2018年,国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了承载健康医疗大数据的平台必须通过等级保护(未规定级别),一般引入大数据技术的医院都是三级甲等医院,基本以三级等保为主; 4、2018年,国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评。 那么,具体到实际的医疗行业等级保护工作中来,医疗行业等级保护对象定几级?医疗行业等级测评多久开展一次呢? 对医院内部重要的信息系统来说,建议开展等级保护三级测评,并且实行相关的等保建设和安全防护,具体的测评对象如下: ①医院信息系统(HIS) ②实验室(检验科)信息系统(LIS) ③医学影像信息系统(PACS) ④电子病历系统 ⑤与患者交流的其他服务系统 对一些对外开放的信息系统或者网站来说,建议开展等级保护二级工作,具体的测评对象如下: ①门户网站 ②医院资源(财务业务一体化)规划系统(HRP) ③其他涉及重要信息的业务系统 医疗行业等级测评多久开展一次呢?测评周期取决于定级对象等级而不是行业,根据等保2.0最新规定,不同安全等级的信息系统有不同的测评周期:一级信息系统不需要测评;二级信息系统需要开展测评工作,并且每两年至少测评一次;三级信息系统每年至少测评一次;四级信息系统每半年至少测评一次;五级信息系统一般适用于国家重要领域、重要部门中的极端重要系统,特殊行业特殊要求,不在等保测评机构的测评范畴。