基于三级等保标准的医院信息安全体系建设实践

但面对日益严重的信息安全问题，亟需建立符合等保
要求且相对完整、协调高效的信息安全管理体系％
JOURNAL OF MEDICAL INFORMATICS 2019, Vol. 40, No. 2
年通过三级等保测评，合规、较好地完成项目验 收，整体提升医院信息安全管理水平。
2.2调研阶段
项目启动后的第1项工作是测评公司做差异度 分析，梳理出155条整改内容，见表1。在物理、 网络、主机、应用、数据安全等技术方面以及安全 管理机构、安全管理制度、人员安全管理、系统建 设管理、系统运维管理等管理方面与三级等保标准 的要求存在较大差距％
医学信息学杂志2019年第40卷第2期
护工作的通知》(京卫办字［2012- 26号)以及
2017年6月1日开始实施的《中华人民共和国网络
安全法》，2018年6月30日公安部发布的《网络安
全等级保护条例(征求意见稿)》等。近年来医疗行
业信息化建设发展迅速，投入不断增加,基础设施水
平提升明显，标准化建设意识提高，系统建设、信息
1引言
信息系统及网络设施的安全性直接关系到医院 医疗工作的正常运行，一旦网络瘫痪或数据丢失将
〔收稿日期〕2019 -01-09 〔作者简介〕 魏勤，高级工程师，发表论文3篇；通讯作
者：王青，编审，发表论文40余篇。
会给医院带来巨大灾难和损失％医院信息系统涉及 大量经营和患者医疗等私密信息，这类信息的泄露 和传播将会给医院、社会和患者带来风险[1]%为此
医学信息学杂志2019年第40卷第2期
JOURNAL OF MEDICAL INFORMATICS 2019,Vol. 40,No. 2
基于三级等保标准的医院信息安全体系建 设实践
魏 勤 刘艳亭 郭敬鹏 李功靖 孙琳刘 荻冯国斌 张振
ቤተ መጻሕፍቲ ባይዱ
!首都医科大学J属北京同仁医院 北京100730"
王青
!中国医学科学院医学信息研究所北京100020"
〔DOI〕10. 3969//Fsn. 1673 -6036. 2019.02.009
Practice of Buldng Hospital Information Security System on the Basis of Level - 3 Rank Protection Standard WEI Qio, LIU Yano ing, GUO Jingpeng, LI Gongjing, SUN Lio, LU D, FENG Guobio, ZHANG Zhen, Beying Tongren Hospital, Capital Medical UnOesPy, Beying 100730, China ； W4NG Qing, InsPtme o/ Medial Informamn, Chinese Academy o/ Medical Sciences, Beijing 100020, China "Abstract] The paper, by taking Beijing Tongren Hospital, Capital Medical University as an example, introduces the project imple­ mentation process of building hospital information securitp system on the basis of level - 3 rank protection standard, including investiga­ tion and survey, preparation of proposal and work schedule, implementation, measurement and project evaluation of level - 3 rank protec­ tion. It also elaborates on technical highlights of the project and the next steps in the process, points out that the project can facilitate the improvement of overall information security management of the hospital. 〔Keyworls〕 iiForma/on security； level - 3 rank protection； hospital
国家和行业主管部门相继发布相关法律法规 ，主要 包括原卫生部办公厅《关于开展全国卫生行业信息 安全等级保护工作的通知》（卫办综函[2011 ] 1126号），《卫生行业信息安全等级保护工作的指导 意见》（卫办发,2011 ] 85号），原北京市卫生局 《关于进一步加强北京市卫生行业信息安全等级保
-35 -
〔摘要〕以首都医科大学附属北京同仁医院为例，介绍基于三级等保标准的医院信息安全体系建设项目实
施过程，包括调研、制定方案和工作计划、实施、三级等保测评与项目验收，阐述项目技术亮点及下一步
工作，指出该项目有助于提升医院整体信息安全管理水平$
〔关键词〕 信息安全；三级等保；医院
〔中图分类号〕R-056
〔文献标识码〕A
互联互通水平及新技术应用都有很大的拓展2 %
首都医科大学附属北京同仁医院是北京市属的
一所三级甲等医院，分为东西南3个院区。医院采
用内外网逻辑隔离的网络架构，在机房面积、服务
器台数、存储容量、终端数量等基础设施建设方
面，以及信息化投入、应用系统覆盖面、互联互通
平等信息化建设方 都
医的等
水平％目前将医院信息系统(Hospital Information
System，HIS)定级为等保三级系统，检验信息系统
(Laboratoc Information System， LIS )、医学影像存储
与传输 系统 (Pictures Archiving and Communication
System，PACS)和门户网站定级为等保二级系统%
近几年完成部分信息安全建设工作，取得一定成果,