陈明 林志刚 林传捷

    随着国内外网络安全形势日益严峻，大型医疗机构的网络安全保障压力与日俱增，与此同时，医疗卫生领域迎来重要机遇期，信息化发挥着关键的支撑作用，而网络信息安全作为信息化的命脉，其重要性日益凸显[1-3]。为此，国家卫生健康委陆续发布相关文件，以加强医疗卫生机构的网络和数据安全管理，如规定各医疗机构应当建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，对本单位运营范围内的管理信息系统落实等级保护定级、备案、测评、安全建设整改工作[4-5]，其中，医院重要信息安全等级保护不低于三级，定为三级及以上的信息系统每年进行等级保护测评[6-8]。因此，医疗机构开展网络安全等级保护工作不仅是履行国家法律法规义不容辞的责任，更是保证医疗服务稳定供给、持续改进医疗质量与安全、推进公立医院高质量发展的前提[9-10]。

    本文以某省属三级甲等医院为例，设计一种可行的等级保护综合管理平台框架，该框架基于等级保护2.0 标准体系，提供高效稳定的等级保护管理、项目管理、知识库管理及系统管理等模块化机制，与医院实际场景下的定级备案、安全自评、建设整改以及等级测评的业务流程相符，为医疗机构实施网络安全等级保护提供了一种可复用的模板。

    1 医院存在的主要问题

    目前医疗机构遵循的等级保护安全规范为2019年12 月1 日正式实施的《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)[11]，简称等保2.0，与2008 年的《信息安全技术—信息系统安全等级保护基本要求》即等保1.0 相比，等保2.0的定级对象从信息系统扩展为网络空间，其合规标准体系、合规基本要求及合规覆盖对象有显著的变化，这对等级保护工作提出了新的要求[12-13]。然而，医疗卫生机构的系统部署与管理复杂，安全检查与评估任务繁重，在人工进行等级保护工作的方式下存在诸多问题，以某省属多院区三级甲等医院为例，分析如下。

    1.1 无法实施标准化等级保护管理

    等级保护工作的过程复杂，涉及的标准多、范围广，其中三级系统211 个指标项，二级系统135个指标项，结合医院实际形成的评估项达数千条。安全管理人员在缺乏相关专业知识和工作手段的情况下，难以对其进行合理有效的控制，无法将安全要求同步到信息系统规划与管理的各阶段，导致等级保护工作杂乱无章、不成体系。

    1.2 无法掌握信息系统安全状态

    该医院的信息资产庞大，种类多、分布广、业务多[14]，其等级保护工作产生的数据未统一汇总和存储[15] ......