医疗信息系统安全等级保护简介

医疗信息系统承载着患者个人健康信息、诊疗数据、医保结算信息等核心敏感数据，是医疗信息化建设的核心载体，其安全稳定运行直接关系到公民隐私权益、医疗行业秩序乃至公共卫生安全。为规范医疗信息系统安全保护工作，防范网络攻击、数据泄露等安全风险，我国建立并推行网络安全等级保护制度，医疗信息系统作为重点保护对象，其等级保护工作已成为医疗机构合规运营、保障数据安全的核心任务，也是推动医疗信息化高质量发展的重要支撑。

一、核心定义与政策依据

医疗信息系统安全等级保护，是依据国家网络安全等级保护制度，结合医疗行业特点，对医疗信息系统按照重要性和遭受损坏后的危害程度，划分不同安全保护等级，实施分等级保护、分等级监管的安全保护制度。其核心目标是通过标准化的安全建设、测评与监管，提升医疗信息系统的安全防护能力，防范各类网络安全风险，保障医疗数据的保密性、完整性和可用性，维护医疗行业正常运营秩序。

该制度的实施有明确的法律法规和行业标准支撑，《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等明确规定网络运营者需落实等级保护制度，《医疗卫生机构网络安全管理办法》《卫生行业信息安全等级保护工作的指导意见》等行业文件，则进一步细化了医疗领域等级保护的具体要求，明确医疗机构是医疗信息系统安全等级保护的责任主体，需严格履行定级、备案、测评、整改等相关义务。

二、安全等级划分及医疗行业适配标准

根据国家网络安全等级保护相关标准，信息系统安全保护等级分为五级，从第一级到第五级，安全要求逐级增高，结合医疗信息系统的业务特点和数据敏感性，各级等级在医疗领域的适配场景的明确划分如下：

1.第一级（自主保护级）：适用于普通办公类医疗辅助信息系统，如医院内部普通办公通知、后勤管理等非核心系统，此类系统不涉及敏感医疗数据，安全风险较低，由医疗机构自主制定保护措施，自主进行安全管理。

2.第二级（指导保护级）：适用于一般性医疗辅助信息系统，如医院内部办公系统、挂号预约辅助系统等，此类系统涉及少量非核心医疗数据，需在相关部门指导下落实安全保护措施，定期开展安全自查，其中涉及10万人以上个人信息的第二级系统，至少每三年开展一次等级测评。

3.第三级（监督保护级）：是医疗行业应用最广泛的等级，适用于核心业务信息系统，也是监管重点。包括医院信息系统（HIS）、电子病历系统（EMR）、医学影像系统（PACS）、检验信息系统（LIS）、医保结算系统、互联网医院平台等，此类系统存储大量患者敏感诊疗信息、医保数据，系统中断或数据泄露将严重影响医院正常运营、侵害患者隐私，需接受公安机关和卫生健康行政部门的监督检查，每年至少开展一次等级测评。

4.第四级（强制保护级）：适用于涉及重大公共卫生安全、国家安全的关键医疗信息系统，如国家级、省级卫生信息平台、突发公共卫生事件应急指挥信息系统等，此类系统承载着区域内海量医疗数据和公共卫生决策信息，安全要求极高，需实施强制安全保护措施，接受严格的监管和定期测评。

5.第五级（专控保护级）：适用于涉及国家核心利益的特殊医疗信息系统，医疗行业中极少应用，需由专门机构进行特殊管控和保护。

需要注意的是，医疗信息系统定级需遵循“自主定级、专家评审、主管部门审批、公安机关备案”的原则，定级过高或过低均存在合规风险，部分医疗机构为降低成本将核心系统低定，可能面临行政处罚。

三、等级保护实施核心流程

医疗信息系统安全等级保护的实施是一个闭环管理过程，核心流程分为四个关键环节，确保安全保护措施落地见效，符合合规要求：

1.定级备案：医疗机构首先全面梳理本单位各类信息系统，结合系统功能、数据敏感性、业务影响范围等，科学确定各系统的安全保护等级，拟定为第三级及以上的系统需经专家论证评审。确定等级后，第二级及以上系统需在10个工作日内向属地公安机关备案，并将备案情况报上级卫生健康行政部门，系统撤销或等级变更时需及时更新备案信息。

2.安全建设与整改：根据确定的安全等级，按照“一个中心（安全管理中心），三重防护（安全通信网络、安全区域边界、安全计算环境）”的要求，制定安全建设方案，完善安全技术措施和管理制度。针对现有系统存在的安全隐患，开展针对性整改，补齐技术和管理短板，构建完善的安全防护体系，第三级及以上系统的建设整改方案需经专家论证。

3.等级测评：系统建设整改完成后，委托具备资质的等级测评机构开展等级测评，其中第三级、第四级系统每年至少开展一次，第二级系统定期开展测评。测评机构通过技术检测和管理核查，出具测评报告，明确系统是否符合对应等级的安全要求，测评合格后需将报告报公安机关和卫生健康行政部门备案。

4.持续运维与改进：等级保护并非一次性工作，医疗机构需建立常态化安全运维机制，定期开展安全自查、漏洞扫描、应急演练，及时发现和处置安全隐患；每年至少召开一次网络安全办公会，部署安全重点工作；针对测评和自查中发现的问题，持续优化安全措施，动态完善安全防护体系，确保系统长期符合等级保护要求。

四、实施意义与行业价值

在医疗信息化快速发展、网络安全风险日益突出的背景下，推进医疗信息系统安全等级保护工作，对医疗行业具有重要的现实意义和长远价值。

从合规层面，落实等级保护是医疗机构的法定义务，能够有效规避行政处罚风险，近年来已有三甲医院因未按时完成等级测评、违规运营被责令停业整顿并处罚，为行业敲响警钟。从安全层面，通过分等级、标准化的防护措施，能够有效防范网络攻击、数据泄露、系统瘫痪等安全事件，保护患者个人健康信息隐私，避免因数据泄露引发的社会恐慌和患者权益损害，同时保障医疗业务连续稳定运行，确保诊疗、急救、公共卫生应急等工作不受影响。

从行业发展层面，等级保护工作能够推动医疗机构完善信息化安全管理体系，提升全员网络安全意识，规范医疗数据的收集、存储、传输、使用全流程管理，为健康医疗大数据的开发利用、“互联网+医疗健康”的有序发展提供安全保障，助力医疗信息化从“快速发展”向“安全规范发展”转型。

当前，随着AI、大数据、5G等新技术在医疗领域的广泛应用，医疗信息系统的边界不断扩大，安全风险也呈现多元化、复杂化趋势。医疗信息系统安全等级保护工作已成为医疗机构不可或缺的核心工作，未来将结合新技术应用不断优化完善，持续筑牢医疗信息安全防线，为医疗行业高质量发展保驾护航。