新規(guī)密集出臺(tái)，等保合規(guī)迎來(lái)“強(qiáng)監(jiān)管”時(shí)代

2025年春季，公安部連續(xù)發(fā)布公網(wǎng)安〔2025〕1001號(hào)與1846號(hào)兩份重要文件，為全國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)工作劃下了新的重點(diǎn)。文件明確要求各單位必須深化系統(tǒng)備案更新、摸清數(shù)據(jù)資源家底、并切實(shí)進(jìn)行風(fēng)險(xiǎn)整改。這一系列新規(guī)的落地，標(biāo)志著等保合規(guī)已進(jìn)入一個(gè)要求更高、監(jiān)管更嚴(yán)的新階段。對(duì)于醫(yī)療行業(yè)來(lái)說(shuō)，一場(chǎng)關(guān)乎數(shù)據(jù)安全的“大考”已全面展開(kāi)。

“三級(jí)等保”，這個(gè)詞如今已成為懸在每一位醫(yī)療機(jī)構(gòu)管理者心頭的“達(dá)摩克利斯之劍”。它聽(tīng)起來(lái)復(fù)雜、實(shí)施起來(lái)繁瑣，但又是一道關(guān)乎機(jī)構(gòu)生死存亡的“必答題”。

然而，對(duì)于許多醫(yī)療機(jī)構(gòu)的IT團(tuán)隊(duì)而言，‘三級(jí)等保’的具體要求、實(shí)施路徑以及不同部署方式（如本地部署與云部署）下的責(zé)任歸屬，仍然是一個(gè)復(fù)雜的議題。

今天，我們就來(lái)徹底講清楚這件事。

1. “三級(jí)等保”，國(guó)家為何如此重視？

“三級(jí)等保”的要求并非空穴來(lái)風(fēng)，其法律基礎(chǔ)源于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定： 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)。

《網(wǎng)絡(luò)安全法》第三十一條規(guī)定： 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者，在等級(jí)保護(hù)制度的基礎(chǔ)上，要實(shí)行重點(diǎn)保護(hù)。

醫(yī)療行業(yè)因其業(yè)務(wù)的特殊性和數(shù)據(jù)的敏感性，其核心信息系統(tǒng)（如HIS、EMR、PACS等）已被普遍視為國(guó)家網(wǎng)絡(luò)安全的關(guān)鍵保護(hù)對(duì)象。因此，無(wú)論機(jī)構(gòu)規(guī)模大小，只要系統(tǒng)承載著核心診療業(yè)務(wù)，通常都需要按照第三級(jí)系統(tǒng)的標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和認(rèn)證。

2. 哪些醫(yī)療信息系統(tǒng)需要做“三級(jí)等保”？

根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2020），定級(jí)的核心依據(jù)是信息系統(tǒng)在國(guó)家安全、社會(huì)秩序、公共利益以及公民權(quán)益中遭到破壞后所侵害的客體和造成的損害程度。

對(duì)于醫(yī)療信息系統(tǒng)，我們可以這樣理解：

定級(jí)對(duì)象： 是“信息系統(tǒng)”，而不是“醫(yī)療機(jī)構(gòu)”本身。一個(gè)醫(yī)院可以有多個(gè)信息系統(tǒng)，需要分別定級(jí)。

定級(jí)核心：

業(yè)務(wù)信息安全：系統(tǒng)被破壞后，是否會(huì)嚴(yán)重影響醫(yī)療業(yè)務(wù)的正常運(yùn)行？（例如，HIS癱瘓導(dǎo)致無(wú)法掛號(hào)、收費(fèi)、開(kāi)藥）

系統(tǒng)服務(wù)安全： 系統(tǒng)服務(wù)中斷后，是否會(huì)造成社會(huì)秩序混亂或公共利益嚴(yán)重受損？（例如，區(qū)域醫(yī)保系統(tǒng)中斷）

《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》明確舉例：

“三級(jí)甲等醫(yī)院的核心業(yè)務(wù)系統(tǒng)（如HIS、EMR等）” 屬于第三級(jí)系統(tǒng)。

這為整個(gè)行業(yè)劃定了一條清晰的基準(zhǔn)線。它意味著，盡管機(jī)構(gòu)規(guī)模可能不同，但只要其信息系統(tǒng)所承載的業(yè)務(wù)核心性、處理的數(shù)據(jù)敏感性與三甲醫(yī)院的HIS系統(tǒng)相當(dāng)——即直接關(guān)系到診療流程的正常運(yùn)轉(zhuǎn)和大量患者的生命健康信息安全——那么該系統(tǒng)就理應(yīng)參照同等級(jí)別的安全要求進(jìn)行保護(hù)，即定為第三級(jí)并完成相應(yīng)的認(rèn)證。

3. 本地HIS、云HIS、互聯(lián)網(wǎng)醫(yī)院，有何區(qū)別？

本地部署的HIS系統(tǒng)：

是否需要完成三級(jí)等保？需要。任何承載核心診療業(yè)務(wù)的本地HIS系統(tǒng)，因其對(duì)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全的關(guān)鍵作用，理應(yīng)被定為第三級(jí)，并完成相應(yīng)的定級(jí)、備案和測(cè)評(píng)認(rèn)證。

責(zé)任主體： 醫(yī)療機(jī)構(gòu)自身需要承擔(dān)幾乎全部的安全建設(shè)和測(cè)評(píng)責(zé)任，包括物理機(jī)房、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、管理制度等所有方面。成本高、難度大。

云HIS系統(tǒng)：

是否需要完成三級(jí)等保？同樣需要。部署方式的改變，并未降低系統(tǒng)核心性與數(shù)據(jù)敏感性。因此，采用云HIS的醫(yī)療機(jī)構(gòu)，其系統(tǒng)同樣需要通過(guò)三級(jí)等保認(rèn)證，以滿足國(guó)家合規(guī)要求。

責(zé)任主體： 變為“共同責(zé)任模型”。云平臺(tái)負(fù)責(zé)底層基礎(chǔ)設(shè)施安全，云HIS廠商負(fù)責(zé)應(yīng)用軟件安全，醫(yī)療機(jī)構(gòu)負(fù)責(zé)上層的管理和使用安全。這大大減輕了醫(yī)療機(jī)構(gòu)自身的建設(shè)和認(rèn)證壓力。

互聯(lián)網(wǎng)醫(yī)院：

是否需要完成三級(jí)等保？更是硬性規(guī)定。互聯(lián)網(wǎng)醫(yī)院直接暴露于公網(wǎng)，面臨更高的安全風(fēng)險(xiǎn)。因此，國(guó)家衛(wèi)健委在其管理辦法中強(qiáng)制要求，互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)必須實(shí)施第三級(jí)信息安全等級(jí)保護(hù)。

云上“三級(jí)等保”，誰(shuí)來(lái)負(fù)責(zé)？—— “共同責(zé)任模型”

當(dāng)您使用云HIS時(shí)，數(shù)據(jù)安全不再是您一家機(jī)構(gòu)的責(zé)任，而是一個(gè)由“云服務(wù)商（IaaS/PaaS）”、“云HIS提供商（SaaS）”和“醫(yī)療機(jī)構(gòu)（用戶）”三方構(gòu)成的“共同責(zé)任模型”。

我們可以用一個(gè)形象的比喻來(lái)理解：

云服務(wù)商（如阿里云、騰訊云）： 他們負(fù)責(zé)提供“土地和建筑框架”的安全。比如物理環(huán)境安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全等。他們確保整棟大樓是堅(jiān)固且安保嚴(yán)密的。

尚醫(yī)云·云HIS（SaaS提供商）： 我們負(fù)責(zé)“精裝公寓”的安全。我們基于安全的“建筑框架”，為您打造了一個(gè)功能完善、安全可靠的“家”。這包括應(yīng)用軟件自身的安全、數(shù)據(jù)的加密存儲(chǔ)與傳輸、嚴(yán)格的訪問(wèn)控制、安全審計(jì)日志等。我們確保您的“公寓”門(mén)是防盜的、窗是牢固的、水電管線是安全的。

醫(yī)療機(jī)構(gòu)（用戶）： 您負(fù)責(zé)“家庭內(nèi)部”的安全管理。比如，給誰(shuí)配鑰匙（賬號(hào)權(quán)限管理）、家庭成員的行為規(guī)范（內(nèi)部人員操作規(guī)范）、以及訪客登記（數(shù)據(jù)訪問(wèn)流程）。

尚醫(yī)云·云HIS如何為您“分憂解難”，鋪平認(rèn)證之路？

看到這里您可能明白了，對(duì)于醫(yī)療機(jī)構(gòu)來(lái)說(shuō)，最復(fù)雜、技術(shù)門(mén)檻最高的“建筑框架”和“精裝公寓”部分，如果選擇一個(gè)不可靠的廠商，就需要自己投入巨大的人力物力去建設(shè)和認(rèn)證。

而選擇尚醫(yī)云·云HIS，意味著您直接獲得了一個(gè)已經(jīng)滿足“三級(jí)等保”核心技術(shù)要求的“精裝安全屋”。

我們的作用體現(xiàn)在以下三個(gè)層面：

1. 堅(jiān)實(shí)可靠的“安全地基”：

尚醫(yī)云·云HIS的底層架構(gòu)，構(gòu)建于已通過(guò)三級(jí)等保認(rèn)證的國(guó)內(nèi)頂級(jí)云平臺(tái)之上。我們已經(jīng)為您選擇并加固了最安全的“地基”，您無(wú)需再為底層基礎(chǔ)設(shè)施的合規(guī)性擔(dān)憂。

2. 系統(tǒng)內(nèi)嵌的“安全基因”：

我們的云HIS產(chǎn)品在設(shè)計(jì)之初就嚴(yán)格遵循“三級(jí)等保”的技術(shù)要求，從身份鑒別、訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)加密到入侵防范，安全能力已深度融入系統(tǒng)的每一個(gè)模塊。

3. 全程陪伴的專家服務(wù)：

我們不僅提供一個(gè)安全的產(chǎn)品，更提供專業(yè)的VIP服務(wù)。尚醫(yī)云團(tuán)隊(duì)擁有豐富的醫(yī)療行業(yè)等保認(rèn)證經(jīng)驗(yàn)。

對(duì)于醫(yī)療機(jī)構(gòu)而言，自主完成全套三級(jí)等保認(rèn)證，無(wú)疑是一項(xiàng)成本高昂、周期漫長(zhǎng)且充滿不確定性的挑戰(zhàn)。而選擇尚醫(yī)云·云HIS，您得到的不僅是一套功能強(qiáng)大的業(yè)務(wù)系統(tǒng)，更是一個(gè)已經(jīng)為您承擔(dān)了絕大部分技術(shù)安全責(zé)任、并能指導(dǎo)您輕松完成剩余管理認(rèn)證的“安全合規(guī)伙伴”。

安全，是醫(yī)療信息的生命線。在通往“三級(jí)等保”的路上，尚醫(yī)云愿與您并肩同行，讓合規(guī)變得簡(jiǎn)單，讓安全觸手可及。