医院等保要求为几级?等保三级和二级的区别
医院等保以三级为主流要求,尤其对核心业务系统。三级与二级的核心差异体现在主动防御能力、审计深度、管理体系的完备性上。
医院的信息安全等级保护(等保)定级是根据其业务重要性和数据敏感程度来决定的。以下是详细说明和对比:
一、医院的等保要求级别
绝大多数三级甲等医院、大型综合性医院的核心业务系统(如HIS、LIS、PACS、EMR等)通常要求达到等保三级。
这是由《信息安全技术 网络安全等级保护定级指南》规定的,主要原因包括:
-
涉及公共利益和社会秩序:医院一旦发生网络安全事故,可能导致大规模患者信息泄露、诊疗流程瘫痪,直接影响公众健康和社会稳定。
-
处理敏感数据:存储大量公民个人健康信息、病历等敏感数据,受《个人信息保护法》《医疗健康数据安全指南》等严格监管。
-
关键信息基础设施关联性:部分大型医院被认定为地区医疗服务的核心枢纽,可能纳入关键信息基础设施保护范围。
部分二级医院或社区医院的非核心系统(如官网、内部办公系统)可能定为二级,但整体趋势是医疗行业普遍按三级或以上要求建设。
二、等保三级 vs 二级的核心区别
以下从多个维度对比两级差异(三级要求显著高于二级):
| 对比维度 | 等保二级 | 等保三级 |
|---|---|---|
| 适用对象 | 适用于一般网络系统,受破坏后可能对公民、法人权益造成损害,但不危害社会秩序。 | 适用于重要网络系统,受破坏后可能对社会秩序、公共利益造成严重危害。 |
| 安全保护能力 | 防护型:能防范常见攻击,抵御一般风险。 | 监测预警+综合防御型:能发现、预警安全事件,并采取主动防御和恢复措施。 |
| 技术措施要求 | 1. 访问控制:基础身份鉴别、权限分离。 2. 审计日志:记录关键操作。 3. 边界防护:防火墙、入侵防范等基础配置。 |
1. 增强访问控制:双因子认证、强制访问控制。 2. 全流量审计:日志集中分析、留存6个月以上。 3. 入侵检测/防御:部署IDS/IPS、恶意代码防范。 4. 数据加密:传输和存储加密(如患者数据)。 5. 冗余备份:关键设备/线路热备、数据异地备份。 |
| 管理要求 | 1. 设立安全岗位,制定基本制度。 2. 定期培训、风险评估。 |
1. 专职安全团队,明确责任体系。 2. 定期渗透测试、漏洞扫描(至少每季度)。 3. 应急预案演练(每年至少1次)。 4. 供应链安全管理(对第三方服务审计)。 |
| 测评频率 | 每两年至少一次安全测评。 | 每年至少一次安全测评。 |
| 监管强度 | 向公安机关备案,接受一般监督检查。 | 强制备案且需通过专家评审,接受重点监督、抽查。 |
三、医院选择等保级别的关键考量因素
医院在定级时需综合评估:
-
业务规模:
-
日门诊量超5000人次或床位超500张的大型医院,核心系统通常需三级。
-
小型专科医院或社区中心若仅处理非敏感业务,可考虑二级。
-
-
数据敏感性:
-
若系统存储电子病历(EMR)、健康档案、基因数据等,建议三级。
-
仅处理公开信息(如宣传网站)可定为二级。
-
-
互联互通需求:
-
与区域卫生平台、医保系统、其他医院数据交换频繁的系统,因影响范围大,需三级保护。
-
-
法规强制要求:
-
部分地区卫健委明确要求三级医院核心系统必须过等保三级(如北京、上海)。
-
四、建议行动步骤
-
自主定级:
根据《定级指南》对医院信息系统分类(核心/非核心),初步确定级别。 -
专家评审:
组织专家评审会(必要时邀请公安网安部门参与),最终确定级别。 -
备案与整改:
向属地公安机关备案,并对照相应级别的《基本要求》进行安全建设整改。 -
选择测评机构:
聘请具备等保测评资质的机构进行测评(三级必须由国家级测评机构执行)。
总结
医院等保以三级为主流要求,尤其对核心业务系统。三级与二级的核心差异体现在主动防御能力、审计深度、管理体系的完备性上。建议医院在规划网络安全时,直接以三级标准为目标进行建设,以适应日趋严格的医疗数据监管环境(如《网络安全法》《数据安全法》)。如有具体系统定级疑问,可咨询属地网安部门或等保测评机构。
175万,广州医科大学附属第一医院采购医疗设备招标项目采购结果公告
99万,中山大学附属第一医院医保综合管理系统二期项目公开招标
239万,北大荒集团牡丹江医院信息系统升级改造服务中标结果公告
65万,福鼎市中医院DIP临床路径信息系统竞争性磋商公告
1599万,广州中医药大学第一附属医院重庆医院(重庆市北碚区中医院)智慧医院一体化信息系统及医院HIS系统软硬件建设中标公告
166万,昌宁县医共体审方中心系统(二次)中标结果公告