醫(yī)院為什么要做等保

醫(yī)療行業(yè)一直都是等級保護測評的重點對象，一方面，醫(yī)療行業(yè)的數(shù)據(jù)量很大；另一方面，為了給民眾提供更為便捷的就診服務，醫(yī)療行業(yè)的很多機構(gòu)都接入了互聯(lián)網(wǎng)。一旦醫(yī)療網(wǎng)絡被不法分子攻擊，會造成很嚴重的后果。

目前，醫(yī)療行業(yè)面臨著多個方面的網(wǎng)絡安全威脅。根據(jù)中國信息通信研究院等機構(gòu)發(fā)布的《2019年健康醫(yī)療行業(yè)網(wǎng)絡安全觀測報告》，目前醫(yī)療行業(yè)的網(wǎng)絡安全風險集中表現(xiàn)為：

1、僵木蠕等問題嚴峻，勒索病毒嚴重威脅醫(yī)療業(yè)務正常運行；

2、數(shù)據(jù)泄露事件高發(fā)，應用服務軟件存在較多安全隱患；

3、醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機構(gòu)網(wǎng)站等都是境外機構(gòu)的重點攻擊對象，且網(wǎng)站篡改手法多變。

三甲醫(yī)院為什么要做等保，需要做幾級測評。

而從2017年到2019年的網(wǎng)上各大醫(yī)院關(guān)于通過順利通過信息系統(tǒng)三級安全等保測評的新聞內(nèi)容來看。一般來說，這些信息系統(tǒng)是大多數(shù)醫(yī)院需要開展等級保護工作的對象，（HIS、LIS、PACS、EMR）四大系統(tǒng)，網(wǎng)絡辦公系統(tǒng)，門戶網(wǎng)站系統(tǒng)等系統(tǒng)。這些系統(tǒng)是比較常見的系統(tǒng)，當然還是其他信息系統(tǒng)，請結(jié)合自己醫(yī)院情況考慮。

根據(jù)信息系統(tǒng)對于醫(yī)院業(yè)務影響程度和對社會、國家以及公民的影響程度的大小，根據(jù)等保2.0的定級指南要求是需要聘請專家來評審才可以確定信息系統(tǒng)等級保護定級。根據(jù)網(wǎng)上各大醫(yī)院關(guān)于通過順利通過信息系統(tǒng)三級安全等保測評的新聞內(nèi)容匯總來看。

多數(shù)三甲醫(yī)院的HS、LIS、PACS、EMR的等保定級為三級的。少數(shù)醫(yī)院也有定級為二級的。而門戶網(wǎng)站系統(tǒng)多定級為二級的。

等級保護網(wǎng)絡安全等級工作流程

在確定要開展信息系統(tǒng)等級保護工作后，運營單位應按以下步驟逐步推進：

1、確定信息系統(tǒng)的數(shù)目、每個信息系統(tǒng)的等價等級、信息系統(tǒng)資產(chǎn)數(shù)量(主機、網(wǎng)絡設備、安全設備等)、機房模式(自建、云平臺、托管等)等等。

2、對每一個目標系統(tǒng)，按《信息安全技術(shù)網(wǎng)絡安全等級保護定級指南》的要求和標準，分別進行等級保護的定級工作，填寫《系統(tǒng)定級報告》、《系統(tǒng)基本信息調(diào)查表》(每個系統(tǒng)一套)。運營者也可委托有資格的等保測評機構(gòu)協(xié)助填寫以上表格。

3、已定級系統(tǒng)的專家評審(二級系統(tǒng)也需要專家評審)。

4、向?qū)俚毓矙C關(guān)網(wǎng)監(jiān)部門提交《系統(tǒng)定級報告》、《系統(tǒng)基礎(chǔ)信息調(diào)查表》和信息系統(tǒng)其他系統(tǒng)定級備案證明材料，獲取《信息系統(tǒng)等級保護定級備案證明》(每個系統(tǒng))。

5、根據(jù)確定的等級標準，選擇等保測評機構(gòu)，對目標系統(tǒng)進行等級保護測評工作(具體測評過程詳見網(wǎng)絡安全等級保護測評過程指南)。

完成等級測評工作，取得《信息系統(tǒng)等級保護測評報告》(每套系統(tǒng)一份)后，將《測評報告》提交網(wǎng)監(jiān)部門進行備案。

7、結(jié)合《測評報告》的總體情況，針對報告中提出的待整改問題，制定下一年的“等級保護工作計劃”，按照計劃推進下一階段的信息安全工作。

如需等保測評服務，可后臺私信聯(lián)系。陸陸信息科技，整合云安全產(chǎn)品的技術(shù)優(yōu)勢，聯(lián)合優(yōu)質(zhì)等保咨詢、等保測評合作資源，提供等保項目的一站式服務，全面覆蓋等保定級、備案、建設整改以及測評階段，高效通過等保測評，落實網(wǎng)絡安全等級保護工作。