一、 项目建设背景

近年来针对医院等医疗系统的网络安全风险和网络攻击一直处于活跃状态且呈现持续上升态势，整个医疗行业信息安全形势不容乐观。其中，在我国多地医院持续检测出勒索病毒，有些医院出现患者信息被盗等情况。相关检测报告显示，仅在全国三甲医院中，今年就有数百家医院检出了勒索病毒，全国各地均有三甲医院“中招”。

2017年6月1日，《中华人民共和国网络安全法》正式颁布施行，该法第二十一条明确规定“国家实行网络安全等级保护制度”。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。

2019年5月13日，等级保护2.0系列标准正式发布，标志着等级保护2.0的真正到来。

XXXX医院信息化工作经过多年的发展，信息技术已得到了广泛的应用，主要业务系统如HIS，PACS，LIS，RIS，EMR等都己实施并应用，为医院发展和业务应用提供了较为良好的支撑。

同时，随着数字化医院评审标准的完善以及医院等级保护测评政策要求的落实，医疗卫生系统围绕HIS、EMR、LIS、PACS等核心业务系统深入开展信息安全等级保护工作，并在此基础上指引后续信息化安全建设方向。

通过对医院信息化现状调研、分析，结合等级保护2.0版在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维环境十个方面的要求，协助医院逐步完善信息安全组织、落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使得医院信息系统安全管理水平提高，安全保护能力增强，安全隐患和安全事故减少，有效保障信息化健康发展。

为了落地以上建设目标，保证信息系统的安全、稳定、可靠运行，我们对照《二级综合医院评审标准实施细则》、《电子病历评审》、《河南省数字化医院建设指南》、《河南省数字化医院评审标准》等要求，对XXXX医院整体信息系统进行了统一梳理和信息安全防范体系规划，旨在保证医院信息系统各组成部分能够高效协同，对业务与应用提供强有力支撑；同时还需要确保在总体方案规划下的分步实施。

二、 医疗行业相关信息安全政策分析

2.1、《网络安全法》

没有网络安全就没有国家安全，没有信息化就没有现代化。《网络安全法》是我国第一部网络安全领域的法律，是保障网络安全的基本法。对网络运营者，提出了更高的要求，同时增加了对违法个人的追责。

医疗机构作为信息化的受益者，同时，更肩负了捍卫信息系统安全的职责。

其中第21条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改。

医疗机构如果未通过相对应的等级保护级别，一旦发生网络安全事故，将被处以警告和限期整改的处罚。同时对直接责任人罚款还有限期整改的处罚。

医疗机构在利用信息技术提升整体运营效率的同时，也会留存大量的患者隐私数据，并且为了方便患者通过网络查询部分数据，还会连通内外网，这就会涉及到信息发布和隐私数据的泄露的问题。

第47条，这一条是涉及到网络信息安全方面的一条内容，网络运营者应该加强用户发布信息管理的内容的监控，禁止发布或者传输信息。如果发现的话应该予以立即的停止传输，这实际上相当于网络运营者有阻止违法信息组织这样的一个义务。

与之对应的法则就是第68条，网络运营者如果没有停止传输采取消除的措施，轻则整改警告，重则罚款，最严重可以达到暂停相关业务、停业整顿、关闭网站，吊销相关营业资质，对直接责任人会处以罚款等相应的处罚。对于信息的发布者也适用于本法则。

综上，医疗机构作为信息系统的建设者、使用者、信息的发布者，必须对信息安全足够重视，一旦违法相关法律条文，医疗机构和直接责任人都将被追责。

同时，网络安全法也充分肯定了等级保护制度以评促建的思路，这就为等级保护2.0的顺利实施奠定了法律的基础。

2.2、等保2.0

  等保2.0分为技术、管理两大部分。

1）技术部分可以通过新增安全设备，调试、整改现有网络设备的方式实现。

2）管理部分则需要制定较为完备的安全管理体系、明确安全责任人等行政手段进行约束，以安全服务的形式进行交付。

2.2.1、技术要求

 2.2.2、管理要求

 通过提供安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运营管理五个部分入手，提供安全服务，帮助客户完善等级保护提出的相关管理要求。