医院信息安全等级保护的探讨.pdf

时间：2021年x月x日页码：第页共页

16

医院信息安全等级保护的探讨

1医院重要信息系统等级保护行业政策

1.1国家卫生部文件

文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作

机制、工作任务、工作要求，工作任务中特别强调了“三级甲等医院的核心业务

信息系统”应进行定级备案。

1.2浙江省卫生厅文件

为加强医疗卫生行业信息安全管理，提高信息安全意识，以信息安全

等级保护标准促进全行业的信息安全工作，提高全省卫生系统信息安全保护与信

息安全技术水平，强化信息安全的重要性。2011年6月7日，浙江省卫生厅和

浙江省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级

保护工作的通知》（浙卫发〔2011〕131号），并一同下发了《浙江省医疗卫生行

业信息安全等级保护工作实施方案》和《浙江省卫生行业信息系统安全等级保护

定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工

作，浙江省卫生信息中心于2012年4月6日下发了《关于印发的函》。上述文件

详细规定了工作目标、工作流程和工作进度，并明确了医疗卫生单位重要信息系

统的划分和定级，具有很强的指导性和操作性。

2医院信息安全等级保护

依据上述行业文件要求，全省医院重要信息系统信息安全等级保护工

作由省卫生厅和各级卫生局、公安局分级负责，按照系统定级、系统备案、等级

测评、安全整改[1]四个工作步骤实施。

第1页共6页

时间：2021年x月x日页码：第页共页

26

2.1系统定级

2.1.1确定对象

我省医院信息化发展较早，各类系统比较完善，但数量繁多。将出现

多达几十甚至上百个定级对象的状况，这与要求重点保护、控制建设成本、优化

资源配置[2]的原则相违背，不利于医院重要信息系统开展信息安全等级保护工

作。依据《计算机信息系统安全保护等级划分准则（GB17859-1999）》等标准，

结合我省医院信息化现状及发展需要，经卫生信息化专家和信息安全专家多次论

证，本着突出重点、按类归并、相对独立、节约费用的原则，从系统管理、业务

使用者、系统服务对象和运行环境等多方面综合考虑，把医院信息系统划分为以

下几类，如表1所示。

2.1.2等级评定

医院重要信息系统的信息安全和系统服务应用被破坏时，产生的危害

主要涉及公民的个人隐私、就医权利及合法权益，对社会秩序和公共利益的损害

属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信

息中心指导意见细则要求[3]，即属于“第二级”或“第三级”范畴。因此医院信息系

统对信息安全防护和服务能力保护的要求较高，结合业务服务及系统应用范畴，

实行保护重点、以点带面原则，参考定级如表2所示。

2.2系统定级备案

省卫生厅及省级医疗卫生单位信息系统、全省统一联网或跨市联网运

行的信息系统由省公安厅受理备案；各市卫生局及其下