互联网医院想要上线必须要做的三级等保测评认证
来源:本站
作者:中联信科
日期:2021-08-26 18:20:50
浏览:
1158
2020年7月23日,国内知名的产业数字化研究与咨询机构--爱分析发布《2020爱分析·互联网医院厂商遴选决策报告》。报告对互联网医院的总体发展情况予以说明,并展示了互联网医院市场上的优秀供应商以供医院选型参考。
最重要的是,该报告明确指出,根据互联网医院必备功能,满足医院互联网医院建设和运营需求必须具备两项关键能力:
第一是在保证政策合规性前提下,有互联网医院运营实践,或者具备互联网医院运营能力和明确思路;
第二是在保证数据安全的前提下,实现互联网医院必备功能,同时有能力理解并满足医院个性化需求。数据安全性和合规性是医院底线,三级等保认证、以及核心诊疗数据必须在医院本地服务器并且与云端应用之间设置隔离,是互联网医院上线过程中的必要条件。
其实,早在2018年,国家卫生健康委员会就发布了《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》,对互联网医院信息安全、人员资质、监督管理等进行了规范,其明确规定:承载互联网医院的平台必须通过等保三级测评。那么,互联网医院到底指什么呢?互联网医院三级等保怎么做?三级等保认证怎么获得呢?
一、互联网医院指什么?
互联网医院由医疗服务在线化而诞生,能够通过在线化方式为患者提供复诊、续方等核心医疗服务。目前互联网医院可以分为两类,第一类是企业平台型互联网医院,比如平安好医生、好大夫在线、智云健康等;第二类是线下医疗机构自建的互联网医院,比如浙江邵逸夫互联网医院。
随着2020年3月份国务院发布《关于深化医疗保障制度改革的意见》,各地医保局纷纷响应国家政策,启动互联网医院医保对接工作,直接推动了互联网医院市场进展。
二、互联网医院三级等保认证怎么获得?
国家等级保护认证是中国最权威的信息产品安全等级资格认证,“三级等保”是对非银行机构的最高等级保护认证。这一认证由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。
信息系统安全“三级等保”的认证,对提升用户信息安全方面的作用主要体现在以下两点:1、能在统一安全策略下,防护系统免受来自外部有组织的团体发起的恶意攻击及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能较快恢复绝大部分功能;2、平台能在安全事件发生时,有足够的应对能力,能快速恢复功能,从而保护出借人与借款人的信息安全。
要想获得三级等保认证,互联网医院需要按照以下流程落实等级保护工作:定级、备案、安全建设、等级测评、监督检查。
①定级:确认定级对象,参考《定级指南》等初步确认等级,组织专家评审,主管单位审核,公安机关备案审查。
②备案:持定级报告和备案表等材料到公安机关网安部门进行备案。
③安全建设:以《基本要求》中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改。
④等级测评:委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。
⑤监督检查:向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。
1、互联网医院等保定级备案
等保定级备案是互联网医院平台办理等保工作的第一步。根据等保2.0相关规定,互联网医院主管单位及相应负责人要确定需要定级的信息系统有哪些,并且初步确定信息系统所属级别(第一级到第五级,级别逐渐升高),定级结果还要经过专家评审和主管部门的审批。
定级流程:确定定级对象→初步确定定级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
互联网医院平台确定信息系统安全等级后,要准备相关备案材料,向公安机关备案。备案材料主要指《信息系统安全等级保护备案表》。第三级及以上信息系统应当同时提供以下材料:
①系统拓扑结构及说明;
②系统安全组织机构和管理制度;
③系统安全保护设施设计实施方案或者改建实施方案;
④系统使用的信息安全产品清单及其认证、销售许可证明;
⑤测评后符合系统安全保护等级的技术检测评估报告;
⑥信息系统安全保护等级专家评审意见;
⑦主管部门审核批准信息系统安全保护等级的意见。
2、互联网医院等保测评及整改
定级备案之后,互联网医院需要寻找具备专业资质的,由国家网络安全等级保护工作协调小组办公室推荐的等保测评机构来给医院的信息系统进行测评。等保测评机构结束测评以后,要出具相应的测评报告,测评报告也需要提交给公安机关进行备案。测评报告模板由公安机关提供。对于测评中发现的风险问题,互联网医院要及时整改。
等保2.0时代,测评结论要在70分以上才算合格。如果测评未通过,企业需要进行整改工作,重新测评。
最后,互联网医院等保测评的通过并不代表等保工作的完成,对于三级以上的信息系统,等保测评工作每年要至少开展一次。与此同时,互联网医院还要接受公安机关不定期的监督、检查。