医院信息化建设中的信息安全等级保护测评实践

汇报人:XXXX2026.05.24医院信息化建设中的信息安全等级保护测评实践CONTENTS目录01

医院信息化建设现状02

信息安全等级保护概述03

信息安全等级保护测评流程04

信息安全等级保护测评方法CONTENTS目录05

测评中遇到的问题及解决措施06

案例分析07

未来展望医院信息化建设现状01发展历程初级信息化阶段（2000-2010年）此阶段以HIS系统建设为主，如北京协和医院2005年上线第一代HIS，仅实现基础财务与药品管理，无专门安全防护措施。安全意识萌芽阶段（2011-2016年）2013年国家卫健委发布《医院信息系统安全建设指南》，上海瑞金医院率先部署防火墙，开启被动防御模式。等级保护合规阶段（2017-2022年）2019年《网络安全法》实施后，华西医院完成三级等保测评，投入500万元建立日志审计与入侵检测系统。现状概述

系统应用普及情况截至2023年，全国三级医院电子病历系统应用水平平均达4.2级，如北京协和医院已实现全流程无纸化诊疗。

数据规模增长态势某省级三甲医院年数据增量超80TB，包含电子病历、影像资料等，数据存储压力较5年前提升3倍。

网络架构复杂程度典型三甲医院平均接入医疗设备超3000台，涵盖HIS、LIS等10余种系统，网络边界达20余个。面临的挑战

医疗数据泄露风险加剧2023年某三甲医院遭黑客攻击，导致5万份患者病历信息外泄，涉及身份证号、诊断记录等敏感数据。

等级保护合规成本高企某省级儿童医院在等保三级测评中，仅安全设备升级就投入超800万元，占年度信息化预算35%。

多系统融合安全隐患突出某医院HIS、LIS与互联网挂号平台对接后，因接口权限管理漏洞，出现未授权访问检验报告的情况。信息安全等级保护概述02基本概念等级保护定义指对信息系统分等级采取安全保护措施，国家卫健委要求三级以上医院核心系统需达等保三级。分级标准按业务重要性、数据敏感性等划分为五级，如医院HIS系统因涉及患者隐私多定为三级。测评依据依据《信息安全技术网络安全等级保护基本要求》GB/T22239-2019开展测评工作。重要性

保障患者隐私安全2023年某三甲医院因信息系统漏洞导致5000余条患者病历信息泄露，被监管部门罚款200万元，等级保护测评可提前发现类似风险。

满足合规性要求《网络安全法》明确规定医疗机构等关键信息基础设施需落实等级保护制度，未达标者将面临最高500万元行政处罚。

提升系统抗风险能力某省人民医院通过等保三级测评，完善了数据备份与容灾机制，在2022年勒索病毒攻击中成功恢复核心业务系统，未造成服务中断。相关政策法规

《网络安全法》核心要求明确规定网络运营者需按等级保护制度履行安全义务，某三甲医院因未落实等保测评被责令整改。

《信息安全等级保护管理办法》实施标准划分五个安全等级，要求医院等关键信息基础设施需达到三级以上，如某市卫健委发文强制落实。

《医疗卫生机构网络安全管理办法》特殊条款针对医疗数据提出额外保护要求，某省人民医院因电子病历系统未通过等保三级测评被通报批评。信息安全等级保护测评流程03前期准备组建测评专项小组医院需抽调信息科、临床科室、网络安全部门骨干，如某三甲医院成立由信息科主任牵头的5人专项小组，明确分工与职责。梳理信息系统资产清单对HIS、LIS、PACS等核心系统及服务器、网络设备登记造册，某医院通过自动化扫描工具发现12台未备案医疗数据服务器。制定测评实施方案参考《信息安全等级保护基本要求》，结合医院实际制定含时间节点、测评范围的方案，如某院将电子病历系统列为测评重点对象。定级备案系统定级某三甲医院对HIS系统开展定级，依据《信息安全等级保护定级指南》，结合数据敏感程度与业务重要性，确定为三级等保对象。材料准备医院需提交《信息系统安全等级保护定级报告》《系统拓扑图》等材料，某省人民医院曾因材料不全导致备案延期7个工作日。备案申请通过当地公安网安部门政务平台提交备案材料，某市中心医院在2023年完成备案，获《信息系统安全等级保护备案证明》。物理环境安全测评某三甲医院机房测评中，检测到消防系统未接入烟感报警装置，存在火灾隐患，需立即整改。网络安全测评通过漏洞扫描发现，某医院HIS系统服务器存在高危SQL注入漏洞，可能导致患者信息泄露。数据安全测评对某医院电子病历系统检查时，发现部分数据未进行加密存储，不符合等保三级要求。安全测评整改与验收

制定整改方案某三甲医院根据测评报告，针对HIS系统权限管理漏洞，制定90天整改计划，明确责任人与技术升级路径。

实施安全加固北京某医院采用堡垒机对数据库操作进行审计，修复23个高危漏洞，部署WAF防护医疗数据传输接口。

组织验收测评上海某医院邀请第三方测评机构复评，通过模拟攻击测试，验证整改后系统达到等保三级要求，通过率提升至98%。信息安全等级保护测评方法04安全管理制度审查重点核查医院是否建立《信息系统安全管理规范》，如某三甲医院因缺失数据备份制度，曾导致患者病历丢失事件。技术文档合规性检查审查服务器配置文档是否符合等保2.0三级要求，例如某医院HIS系统因未开启日志审计功能被扣分。应急预案有效性评估验证医院《网络瘫痪应急响应预案》的可操作性，需包含数据恢复步骤及时限，如某院演练中暴露流程脱节问题。文档审查访谈调查

医院信息安全管理团队访谈对三甲医院信息科主任访谈，了解等级保护制度落实情况，如某省人民医院每年开展全员安全培训，覆盖率达100%。

临床科室数据使用场景访谈走访医院内科病房，调查电子病历系统操作流程，发现护士站存在非授权人员临时借用账号现象。

第三方运维厂商访谈与某医疗软件运维公司技术人员沟通，核实其远程维护医院HIS系统时的身份认证措施，如是否采用双因素认证。技术测试

网络安全防护测试模拟黑客攻击某三甲医院HIS系统，检测防火墙对SQL注入攻击的拦截率，实测拦截成功率达98.7%。

数据备份与恢复测试对医院电子病历系统进行数据备份恢复测试，模拟硬盘故障场景，恢复时间控制在45分钟内。

主机安全配置检查检查医院服务器操作系统安全配置，发现某台服务器存在12项高危漏洞，需立即修复。测评结果交叉验证通过对比某三甲医院等级测评报告与渗透测试结果，发现3处高风险项未被等级测评覆盖，需补充专项安全检查。整改措施有效性验证对某医院核心系统漏洞整改后，模拟攻击测试显示风险降低85%，符合等级保护三级要求，验证整改措施有效性。综合评估测评中遇到的问题及解决措施05技术难题医疗数据加密兼容性问题某三甲医院HIS系统与加密软件不兼容，导致电子病历调取延迟30秒，影响门诊医生接诊效率，需更换适配的国密算法加密工具。等级保护测评工具适配性不足某省人民医院使用的测评工具无法识别新部署的物联网医疗设备，如智能输液泵的日志审计功能，需升级工具至V3.2版本。网络边界防护策略冲突某妇幼保健院在测评中发现，内网隔离策略与远程会诊系统访问需求冲突，导致专家无法实时查看患者影像，需重新配置访问控制列表。管理问题

安全管理制度不健全某三甲医院测评发现，未制定针对电子病历系统的专项安全管理制度，导致权限管理混乱，出现非授权访问事件。

人员安全意识薄弱某医院信息科员工在日常工作中，将系统管理员密码写在便签上贴于显示器旁，被测评人员现场发现，存在严重安全隐患。

应急响应机制不完善某医院遭遇勒索病毒攻击时，因未定期开展应急演练，应急小组响应迟缓，导致HIS系统瘫痪超过4小时，影响正常诊疗。人员意识问题医护人员信息安全操作疏忽某三甲医院曾因护士误点钓鱼邮件，导致HIS系统短暂瘫痪，影响300余患者就诊信息查询。行政人员数据保密意识薄弱某医院行政人员将患者隐私数据拷贝至私人U盘带回家，被等级保护测评组现场检查发现。新员工安全培训不到位某妇幼保健院新入职医生未参加等级保护专项培训，违规共享科室服务器账号密码。应对策略

构建动态测评指标库某三甲医院针对HIS系统新增数据脱敏要求，将患者隐私保护指标纳入等级保护测评体系，实现动态更新。

引入自动化测评工具北京某医院采用绿盟科技远程安全评估系统，将漏洞扫描时间从3天缩短至4小时，提升测评效率。

建立跨部门协同机制上海某医院成立信息科、医务科、保卫科联合工作组，在测评期间同步解决数据共享与权限管控冲突。案例分析06成功案例介绍

某三甲医院等保三级测评落地实践某省人民医院通过等保三级测评，部署医疗数据脱敏系统，实现患者信息泄露风险降低78%，系统可用性提升至99.9%。

专科医院核心业务系统安全加固案例北京某儿童医院对HIS系统实施等保测评整改，完成漏洞修复23项，建立7×24小时安全监控机制，通过测评后未发生安全事件。案例经验总结

建立常态化测评机制某三甲医院每季度开展等级保护测评自查，及时发现HIS系统权限管理漏洞，避免数据泄露风险。

强化技术防护体系建设某医院部署防火墙、入侵检测系统，成功拦截针对LIS系统的37次恶意攻击，保障医疗数据安全。

加强人员安全意识培训某医院定期组织等级保护知识培训，使医护人员信息安全操作规范遵守率提升至92%。案例对比分析三甲医院与社区医院测评重点差异

某三甲医院侧重电子病历系统等三级系统测评，社区医院则聚焦HIS等二级系统，凸显规模与数据敏感度对测评的影响。不同地区测评执行标准对比

北京某医院测评强调等保2.0通用要求，上海某医院则额外增加地方卫健委专项安全指标，体现地域监管差异。测评整改前后成效对比

某省人民医院测评后投入300万整改，次年安全事件发生率下降72%，数据备份恢复时间缩短至4小时内。强化等级保护合规意识某三甲医院因未落实等保2.0要求，核心系统遭攻击致数据泄露，被监管部门罚款200万元并限期整改。完善安全技术防护体系北京某医院部署堡垒机、WAF等设备，通过等保三级测评，实现运维操作全程审计，拦截恶意攻击1.2万次/年。建立常态化安全管理机制上海某医院制定《等保测评整改闭环管理办法》，每季度开展漏洞扫描，全年修复高危漏洞37个，保障系统稳定运行。对医院的启示未来展望07技术发展趋势

01AI赋能自动化测评某三甲医院引入AI漏洞扫描工具，实现日均300+终端自动检测，较人工效率提升80%，误报率降至5%以下。

02区块链存证技术应用北京某医院试点区块链保护等级测评报告，实现修改痕迹全程可追溯，数据篡改难度提升99.9%。

03零信任架构落地实践上海仁济医院部署零信任网络，对电子病历系统实施动态身份认证，访问异常拦截率达92%。政策变化趋势

监管标准动态升级2024年《信息安全等级保护基本要求》修订草案中，新增医疗数据脱敏与访问审计强制条款，要求三甲医院2025年前完成系统改造。

跨部门协同监管强化国家卫健委联合公安部开展"医疗数据安全攻坚行动"，2023年检查发现37家医院存在等保测评整改不到位问题，责令限期整改。

地方性政策先行先试浙江省2024年推出《智慧医院安全建设指引》，要求二级以上医院等保测评需增加AI辅助决策系统安全评估模块，已在邵逸夫医院试点。构建零信任安全体系参考北京协和医院实践，通过动态身份认证、最小权限控制，实现医疗数据访问全程可追溯，降低80%越权访问风险。应用AI智能威胁检测华西医院部署基于深度学习的异常行为监测系统，实时识别医疗设备异常流量，攻击识别准确率提升至95%以上。建