项目概述
为了满足卫健委对医院信息化系统进行等级保护建设的要求,某医院急需一家专业的等保公司,重点协助其服务平台完成整改,顺利通过二级等保测评。该医院此前已与一家测评机构合作,但该机构仅负责前期测评,服务态度欠佳,无法提供全程专业指导,因此医院决定寻找能够提供全面整改服务的合作伙伴。在创云科技的专业支持下,医院最终一次性通过了二级等保测评,满足了政策合规要求。
所属行业
医疗行业
等保级别
二级
项目地点
全国
项目背景
随着医疗信息化的快速发展,医院信息系统的网络安全问题日益突出,国家监管部门也不断加强对医疗行业信息安全的监管要求。
2011年,国家卫健委《卫生行业信息安全等级保护工作的指导意见》明确规定,三级医院重要业务系统必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评。到了2018年,国家卫健委《互联网医院管理办法(试行)》进一步要求,承载互联网医院的平台必须通过等保三级测评。
作为二级医院,该医院面临着必须完成信息系统等保建设的监管要求。在此背景下,医院之前已与一家测评机构合作,但该机构只负责前期测评,不提供后续整改服务,且服务态度不佳。因此,医院希望找到一家能够提供全程专业指导的等保公司,协助完成整改工作,顺利通过二级等保测评。
痛点难题
建设资金有限
医院预算紧张,需要在有限的资金条件下完成二级等保的整改工作,避免购买大量网络安全设备导致成本过高。
安全运维难
医院缺乏专职安全运维人员,无力对日常网络安全进行有效维护,整改难度大、维护周期长,需要专业的技术支持。
合规要求高
卫健委对医院信息系统的安全合规要求严格,必须按照规定完成二级等保建设,否则可能面临监管处罚和业务影响。
解决方案
低成本过等保方案
针对医院建设资金有限的问题,创云科技提供了"等保套餐按年付费"的解决方案。采用云SaaS服务模式,将建设使用成本降至最低,并支持年租模式,解决医院的资金压力。这样医院只需每年支付部分经费,即可满足等保要求,避免了一次性大额投入,有效缓解了预算紧张的问题。
专业安全运维服务
针对医院缺乏专职安全运维人员的痛点,创云科技提供了极速部署和技术人员协助运维的服务。通过现场和远程相结合的安全运维服务模式,帮助医院解决了安全运维人员不足的问题。技术团队不仅指导医院完成系统整改,还提供后续的安全运维支持,确保系统持续符合等保要求,大大减轻了医院的技术压力。
一站式整改服务
创云科技专业团队围绕等级保护要求,为医院提供全面的整改服务。在整改过程中,设置专职项目经理协调各方资源,落实各方责任,推进项目进度,提供管家式项目管理。帮助医院对接协调监管部门、测评机构、专家库、安全产品厂家等相关机构。针对管理制度占测评总分一半的特点,团队交付了多达100多份的制度文档,并快速梳理上百个建设项和测评项,大大缩短了整改周期,最终帮助医院一次性通过了二级等保测评。
项目成果
顺利通过等保测评
在创云科技的协助下,医院一次性通过二级等保测评,获得备案证明,满足了卫健委的政策合规要求。
降低建设成本
通过云SaaS服务模式和按年付费方案,医院有效降低了等保建设成本,避免了一次性大额投入,实现了资金的合理利用。
安全防护升级
通过全面整改,医院信息系统的安全防护能力得到显著提升,建立了完善的安全管理制度和技术防护体系,有效保障了医疗数据安全。
医院信息系统等保知识
医院信息系统等级保护要求
根据国家相关政策规定,医院信息系统的等级保护工作具有明确的要求。三级医院的重要业务系统必须通过等保三级测评,二级医院的重要业务系统必须通过等保二级测评,而承载互联网医院的平台则必须通过等保三级测评。这些要求不仅是对医院信息安全的基本保障,也是医院合规运营的必要条件。
医院信息系统安全特点
医院信息系统具有以下安全特点,在进行等保工作时需重点关注:
敏感数据众多:医院系统存储大量患者隐私数据,如病历、检查结果、处方等,数据泄露风险高
业务连续性要求高:医疗系统需要7×24小时不间断运行,容不得宕机和数据丢失
系统复杂度高:包含HIS、EMR、PACS、LIS等多个子系统,系统间互联互通,安全边界模糊
专业设备接入多:需要支持各类医疗设备接入,增加了安全防护难度
安全专业人才缺乏:医院普遍缺乏专业的网络安全人才,难以应对日益复杂的网络安全威胁
医院信息系统等保建议
对于医院在进行信息系统等保工作时,建议关注以下几个方面:
分级分类管理结合医院实际情况,对信息系统进行合理的分级分类,避免过度建设或保护不足
低成本高效建设考虑采用云SaaS模式或按年付费的安全服务,降低建设成本,提高投入产出比
专业外包结合针对安全专业人才缺乏的问题,可考虑将部分安全运维工作外包给专业机构
制度建设先行注重安全管理制度的建设和落实,这不仅是等保测评的重要内容,也是实现长效安全管理的基础
持续改进机制建立安全管理的持续改进机制,定期进行安全评估和审计,不断提升安全防护水平