等保不是安全建設(shè)的唯一目標(biāo)但是必須達(dá)到的目標(biāo)，等保2.0對(duì)醫(yī)療行業(yè)提出了更高的要求。獲得可持續(xù)的安全保障是安全建設(shè)的重要目標(biāo)，網(wǎng)絡(luò)安全與醫(yī)療業(yè)務(wù)應(yīng)用系統(tǒng)共生存，跟業(yè)務(wù)系統(tǒng)一樣需要專(zhuān)業(yè)的團(tuán)隊(duì)來(lái)運(yùn)營(yíng)；網(wǎng)絡(luò)安全絕不是簡(jiǎn)單的設(shè)備堆砌，使用和管理更重要，只要網(wǎng)絡(luò)還存在，安全就是一個(gè)永恒的主題。

醫(yī)療行業(yè)網(wǎng)絡(luò)安全面臨四大風(fēng)險(xiǎn)

根據(jù)《2020數(shù)字醫(yī)療網(wǎng)絡(luò)安全報(bào)告》數(shù)據(jù)，醫(yī)療行業(yè)總體 處于“較大風(fēng)險(xiǎn)”級(jí)別，存在多種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及大量可被利用的安全隱患，安全防護(hù)能力較弱。報(bào)告顯示，醫(yī)療行業(yè)網(wǎng)絡(luò)安全面臨四大風(fēng)險(xiǎn)：資產(chǎn)脆弱性風(fēng)險(xiǎn)、僵木蠕毒風(fēng)險(xiǎn)、漏洞風(fēng)險(xiǎn)、網(wǎng)站篡改風(fēng)險(xiǎn)。

一、什么是醫(yī)院等級(jí)保護(hù)測(cè)評(píng)？

醫(yī)院等級(jí)保護(hù)測(cè)評(píng)是指對(duì)醫(yī)院信息系統(tǒng)安全等級(jí)進(jìn)行評(píng)估，以確保醫(yī)院信息系統(tǒng)的安全性和可靠性，防止信息泄露、被篡改等安全風(fēng)險(xiǎn)。醫(yī)院等級(jí)保護(hù)測(cè)評(píng)工作主要包括信息系統(tǒng)分級(jí)、風(fēng)險(xiǎn)評(píng)估、安全策略制定、保障措施落實(shí)等環(huán)節(jié)。

二、等保2.0標(biāo)準(zhǔn)的特點(diǎn)和意義

2.0標(biāo)準(zhǔn)的推出，在全面總結(jié)和借鑒以往標(biāo)準(zhǔn)的基礎(chǔ)上，對(duì)醫(yī)院等級(jí)保護(hù)工作進(jìn)行了再次提升和完善。具體表現(xiàn)在以下幾個(gè)方面：

1. 強(qiáng)調(diào)全生命周期管理：2.0標(biāo)準(zhǔn)強(qiáng)調(diào)信息系統(tǒng)安全管理工作貫穿信息系統(tǒng)的全生命周期。包括需求定義、系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)實(shí)施、運(yùn)維管理等各個(gè)環(huán)節(jié)都需要充分考慮信息系統(tǒng)安全管理的要求。

2. 強(qiáng)調(diào)風(fēng)險(xiǎn)管理：信息安全風(fēng)險(xiǎn)管理是醫(yī)院等級(jí)保護(hù)工作的核心。2.0標(biāo)準(zhǔn)明確要求醫(yī)院建立完善的風(fēng)險(xiǎn)管理制度，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行全面評(píng)估和分級(jí)管理，針對(duì)不同級(jí)別的風(fēng)險(xiǎn)采取相應(yīng)的保護(hù)措施。

3. 強(qiáng)調(diào)技術(shù)保障：2.0標(biāo)準(zhǔn)對(duì)醫(yī)院信息系統(tǒng)安全技術(shù)要求進(jìn)行了全面升級(jí)。包括安全設(shè)備的應(yīng)用、密碼管理、數(shù)據(jù)備份與恢復(fù)、網(wǎng)絡(luò)隔離等方面，提出了更加具體和詳細(xì)的技術(shù)要求。

4. 強(qiáng)調(diào)全員參與：2.0標(biāo)準(zhǔn)強(qiáng)調(diào)醫(yī)院信息系統(tǒng)安全工作需要全員參與。通過(guò)加強(qiáng)培訓(xùn)和宣傳，提高醫(yī)務(wù)人員的信息安全意識(shí)和技能，進(jìn)一步提升醫(yī)院整體的信息安全水平。

等保2.0標(biāo)準(zhǔn)的推出，對(duì)提高醫(yī)院信息系統(tǒng)安全水平、防范信息化風(fēng)險(xiǎn)具有重要意義。

三、提供等保服務(wù)的機(jī)構(gòu)和方式

目前，提供等保服務(wù)的機(jī)構(gòu)有內(nèi)設(shè)的醫(yī)院信息化部門(mén)、第三方專(zhuān)業(yè)機(jī)構(gòu)等多種方式。實(shí)施等保服務(wù)的具體方式包括自行實(shí)施、委托實(shí)施等不同形式。不同機(jī)構(gòu)和方式的選擇需要根據(jù)醫(yī)院的具體情況和需求進(jìn)行合理衡量。

內(nèi)設(shè)的醫(yī)院信息化部門(mén)通常具有醫(yī)療行業(yè)的專(zhuān)業(yè)知識(shí)和工作經(jīng)驗(yàn)，能夠更好地了解醫(yī)院的實(shí)際情況和需求，提供更加針對(duì)性的等保服務(wù)。但同時(shí)也要面臨人員和專(zhuān)業(yè)技術(shù)能力等方面的挑戰(zhàn)。

第三方專(zhuān)業(yè)機(jī)構(gòu)擁有豐富的經(jīng)驗(yàn)和專(zhuān)業(yè)知識(shí)，能夠提供全面的等保服務(wù)。同時(shí)也能幫助醫(yī)院進(jìn)行風(fēng)險(xiǎn)評(píng)估、技術(shù)保障等方面的工作。但與此同時(shí)，醫(yī)院需要對(duì)機(jī)構(gòu)的資質(zhì)和信譽(yù)進(jìn)行充分考量，選擇合適的合作伙伴。

四、醫(yī)院等級(jí)保護(hù)測(cè)評(píng)的挑戰(zhàn)和對(duì)策

在實(shí)施醫(yī)院等級(jí)保護(hù)測(cè)評(píng)的過(guò)程中，可能面臨一些挑戰(zhàn)和困難。比如，醫(yī)院信息系統(tǒng)復(fù)雜多樣，涉及的技術(shù)和領(lǐng)域較廣，需要具備專(zhuān)業(yè)知識(shí)和技能。此外，醫(yī)院信息系統(tǒng)的更新速度較快，需要保持對(duì)最新技術(shù)的關(guān)注和學(xué)習(xí)。

為應(yīng)對(duì)這些挑戰(zhàn)，醫(yī)院可以采取一些對(duì)策。首先，加強(qiáng)內(nèi)部人員的培訓(xùn)和學(xué)習(xí)，提高信息安全意識(shí)和技能水平。其次，與外部專(zhuān)業(yè)機(jī)構(gòu)合作，利用其技術(shù)和經(jīng)驗(yàn)進(jìn)行等保工作。最后，加強(qiáng)與其他醫(yī)院的交流和合作，在共同解決問(wèn)題、共同提高信息安全水平方面取得更好的效果。

醫(yī)院等級(jí)保護(hù)測(cè)評(píng)、等保2.0標(biāo)準(zhǔn)和等保服務(wù)是當(dāng)前醫(yī)院信息化建設(shè)中不可忽視的重要環(huán)節(jié)。通過(guò)合理選擇機(jī)構(gòu)和方式，充分發(fā)揮各方的優(yōu)勢(shì)和資源，醫(yī)院可以提高自身的信息安全水平，更好地保障患者的信息安全和醫(yī)療服務(wù)質(zhì)量。