三甲医院的所有系统都要做三级等保吗？不一定！

随着医疗信息化进程不断加速，三甲医院作为承载千万患者生命健康数据、维系公共卫生秩序的核心机构，其信息系统安全已成为保障医疗服务连续性、维护社会公共利益的关键。信息安全等级保护（以下简称等保）作为我国网络安全保障的基本制度，是三甲医院筑牢安全防线的必答题。

2011年卫生部印发《卫生行业信息安全等级保护工作的指导意见》其中指出:

以下重要卫生信息系统安全保护等级原则上不低于第三级

（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；
（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；
（3）三级甲等医院的核心业务信息系统；
（4）卫生部网站系统；
（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。

但不少医院信息科负责人都会有这样的困惑："我们是三甲医院，是不是所有信息系统都得按三级等保来做？" 答案其实是：不一定。不同系统的重要性、数据敏感程度、业务影响范围不同，定级也有明确区分。今天，我们就结合医疗行业特性，为大家清晰梳理三甲医院等保定级的核心逻辑与实操清单。

一、定级不是 "一刀切"

三甲医院等保定级的核心依据是系统承载数据的敏感程度、业务的核心性，以及一旦发生安全事件对社会秩序、公共利益的危害程度。具体可参考《信息安全等级保护管理办法》《医疗卫生机构信息安全等级保护工作指南》等规范，结合医院实际业务场景综合判定。

简单来说：若系统涉及患者核心诊疗数据、支撑医院核心业务流程，且安全事件可能引发重大社会影响，则定级较高；反之，若系统仅承担辅助功能、数据敏感度低，则定级可适当降低。

二、这些核心系统，必须定为三级

三甲医院中，以下核心业务信息系统因直接关联患者生命健康数据、支撑关键诊疗流程，属于必须定为三级的范畴：

1. 互联网医院系统

作为连接线上线下医疗服务的核心平台，互联网医院系统承担在线问诊、电子处方开具、远程诊疗、慢病管理等关键业务，直接处理患者诊疗需求、存储线上诊疗记录及处方信息。其安全稳定直接关系患者就医便捷性与诊疗安全性，一旦出现数据泄露或服务中断，可能导致诊疗延误、隐私泄露，甚至引发医疗纠纷，对医院公信力和公共医疗秩序造成不良影响，因此需按三级等保要求防护。

2. HIS（医院信息系统）

作为医院业务的"神经中枢"，HIS贯穿患者从挂号、收费、住院管理到药品调配的全流程，存储着患者基本信息、诊疗记录、费用数据等核心内容。一旦HIS瘫痪，门诊停诊、住院管理中断、药品发放受阻等问题会直接影响医疗服务连续性，甚至引发公共秩序混乱 —— 这也是为何 HIS 始终被列为三级等保的核心对象。

3. CIS（临床信息系统）

CIS的内涵随医疗数字化不断扩展：从最初的麻醉管理系统（采集手术患者生命体征、记录术中用药），到覆盖ICU、CCU的生命体征监护数据采集，再到手术预约、手术室资源管理等功能，如今已成为保障手术安全、重症救治的"生命线"。此类系统若遭篡改或中断，可能导致诊疗决策失误，危及患者生命安全，因此必须按三级等保要求防护。

4. LIS（实验室信息系统）

LIS是检验科的"大脑"，负责从生化分析仪、血液分析仪等设备中自动采集检验数据，生成血常规、生化指标等关键报告，并同步至HIS供医生诊断参考。其核心数据（如传染病筛查结果、肿瘤标志物指标）直接影响诊疗方向，且涉及患者隐私。
此外，LIS的室内质控、室间质控功能是保障检验结果准确性的基础 —— 若数据被篡改，可能导致误诊误治，对公共卫生安全造成严重威胁，因此需定为三级。

5.PACS/RIS（医学影像相关系统）

• PACS（医学影像存档与通信系统）：存储着X光片、CT、核磁共振等影像数据，是医生判断骨折、肿瘤等病症的核心依据。这些影像数据的完整性（如漏传关键切片）、真实性（如被篡改）直接影响诊断准确性，且数据量庞大、隐私敏感度高。

• RIS（放射信息系统）：作为广义PACS的重要组成，负责放射检查的预约、登记、报告审核等流程，若出现数据泄露或流程中断，会引发隐私纠纷和医疗秩序问题。两者共同支撑影像诊疗全流程，均需按三级等保防护。

6. 电子病历系统（EMR）

电子病历是患者诊疗过程的"全记录"，涵盖入院记录、病程记录、手术记录、医嘱等关键内容，既是医疗质量评估的依据，也是医疗纠纷中的核心证据。
按照《电子病历应用管理规范》，电子病历属于"重要健康数据"，其完整性、保密性直接关系患者权益与医疗公信力。若出现数据丢失或泄露，不仅侵犯患者隐私，还可能引发社会信任危机，因此必须定为三级。

三、这些系统，可定为二级

并非所有系统都需要"高配" 防护。以下系统因功能辅助性强、数据敏感度低，可定为二级：

1. 门户网站系统

医院官网、微信公众号后台等门户网站，主要功能是发布医院简介、科室信息、专家排班、在线预约挂号等公开或低敏感信息。即使出现短暂故障，也可通过线下窗口等方式替代，不会影响核心诊疗业务；且涉及的数据多为非隐私性公开信息，安全事件的社会影响有限，因此按二级等保要求防护即可。

2. 辅助管理系统

如医院内部的办公自动化系统（OA，用于通知发布、文件流转）、固定资产管理系统（记录设备采购、维护信息）、后勤管理系统（如食堂订餐、保洁排班）等。这些系统不直接参与诊疗流程，存储的数据多为内部行政信息，即使发生安全事件，也不会对患者健康、社会秩序造成重大影响，因此也按二级等保要求防护即可。

四、四步走稳定级流程

明确了哪些系统该定几级，接下来的关键是按规范流程完成定级。具体可分为四步：

1. 梳理系统清单，明确定级对象

医院信息科需联合临床、医技、行政等部门，全面梳理院内所有信息系统，包括自研、外购系统，明确每个系统的功能、数据类型、服务范围，避免遗漏核心系统。

2. 初步定级：按 "影响程度" 打分

参考《信息安全技术 网络安全等级保护基本要求》，从"受破坏后对公民、法人、社会秩序、公共利益的危害程度" 进行评估：

• 若系统瘫痪可能导致患者无法就医、数据泄露引发社会恐慌，则初步定为三级；

• 若仅影响内部办公效率、无重大社会影响，则初步定为二级。

3. 专家评审 + 跨部门复核

邀请医疗行业信息安全专家，结合医院等级、业务规模进行评审，重点核查核心系统的初步定级是否合理。同时，征求临床科室意见，确保定级贴合实际业务需求。

4. 提交审核，确定最终等级

将初步定级报告、专家评审意见提交属地卫健委和公安网安部门审核，根据反馈调整后确定最终等级。审核通过后，需将定级结果存档，并作为后续等保测评、安全建设的依据。

五、定级是起点，防护是关键

对三甲医院而言，等保定级不是"终点"，而是构建安全体系的"起点"。面对等保测评中复杂的定级标准、繁琐的整改流程和专业的技术要求，三甲医院仅凭自身力量往往容易陷入“流程卡壳、漏洞反复、成本超支”的困境。如何在保障核心系统安全的前提下高效落实等保？选择具备专业资质与实战经验的测评机构，成为医院破局的关键。