医疗行业网络安全等保测评2.0新标准解读

等保不是安全建设的唯一目标但是必须达到的目标，等保2.0对医疗行业提出了更高的要求。获得可持续的安全保障是安全建设的重要目标，网络安全与医疗业务应用系统共生存，跟业务系统一样需要专业的团队来运营；网络安全绝不是简单的设备堆砌，使用和管理更重要，只要网络还存在，安全就是一个永恒的主题。

医疗行业网络安全面临四大风险

根据《2020数字医疗网络安全报告》数据，医疗行业总体 处于“较大风险”级别，存在多种网络安全风险及大量可被利用的安全隐患，安全防护能力较弱。报告显示，医疗行业网络安全面临四大风险：资产脆弱性风险、僵木蠕毒风险、漏洞风险、网站篡改风险。

一、什么是医院等级保护测评？

医院等级保护测评是指对医院信息系统安全等级进行评估，以确保医院信息系统的安全性和可靠性，防止信息泄露、被篡改等安全风险。医院等级保护测评工作主要包括信息系统分级、风险评估、安全策略制定、保障措施落实等环节。

二、等保2.0标准的特点和意义

2.0标准的推出，在全面总结和借鉴以往标准的基础上，对医院等级保护工作进行了再次提升和完善。具体表现在以下几个方面：

1. 强调全生命周期管理：2.0标准强调信息系统安全管理工作贯穿信息系统的全生命周期。包括需求定义、系统设计、开发实施、运维管理等各个环节都需要充分考虑信息系统安全管理的要求。

2. 强调风险管理：信息安全风险管理是医院等级保护工作的核心。2.0标准明确要求医院建立完善的风险管理制度，对信息安全风险进行全面评估和分级管理，针对不同级别的风险采取相应的保护措施。

3. 强调技术保障：2.0标准对医院信息系统安全技术要求进行了全面升级。包括安全设备的应用、密码管理、数据备份与恢复、网络隔离等方面，提出了更加具体和详细的技术要求。

4. 强调全员参与：2.0标准强调医院信息系统安全工作需要全员参与。通过加强培训和宣传，提高医务人员的信息安全意识和技能，进一步提升医院整体的信息安全水平。

等保2.0标准的推出，对提高医院信息系统安全水平、防范信息化风险具有重要意义。

三、提供等保服务的机构和方式

目前，提供等保服务的机构有内设的医院信息化部门、第三方专业机构等多种方式。实施等保服务的具体方式包括自行实施、委托实施等不同形式。不同机构和方式的选择需要根据医院的具体情况和需求进行合理衡量。

内设的医院信息化部门通常具有医疗行业的专业知识和工作经验，能够更好地了解医院的实际情况和需求，提供更加针对性的等保服务。但同时也要面临人员和专业技术能力等方面的挑战。

第三方专业机构拥有丰富的经验和专业知识，能够提供全面的等保服务。同时也能帮助医院进行风险评估、技术保障等方面的工作。但与此同时，医院需要对机构的资质和信誉进行充分考量，选择合适的合作伙伴。

四、医院等级保护测评的挑战和对策

在实施医院等级保护测评的过程中，可能面临一些挑战和困难。比如，医院信息系统复杂多样，涉及的技术和领域较广，需要具备专业知识和技能。此外，医院信息系统的更新速度较快，需要保持对最新技术的关注和学习。

为应对这些挑战，医院可以采取一些对策。首先，加强内部人员的培训和学习，提高信息安全意识和技能水平。其次，与外部专业机构合作，利用其技术和经验进行等保工作。最后，加强与其他医院的交流和合作，在共同解决问题、共同提高信息安全水平方面取得更好的效果。

医院等级保护测评、等保2.0标准和等保服务是当前医院信息化建设中不可忽视的重要环节。通过合理选择机构和方式，充分发挥各方的优势和资源，医院可以提高自身的信息安全水平，更好地保障患者的信息安全和医疗服务质量。