信息安全等级保护测评认证医院等保

在处理信息系统等级保护时，医院还应了解2.0等级保护的变化，以确保此类保护工作的科学性和合规性。本文以等级保护的2.0标准为基础，梳理了医院进行等级保护的一些注意事项，以供参考。

首先是定级。医院拥有许多信息系统，如管理信息系统、临床医学信息系统、医院信息系统的高级应用等，医院根据等保定级指南对这些信息系统进行定级。在定级的步骤中，企业必须注意，医院的核心系统或涉及大量用户信息和医院信息的系统至少需要定级到三个等级。所以一般来说，三级医院至少是三级等保。不仅如此，必须由三甲医院建立的互联网医院平台，也需要至少保障是等保三级认证，否则就无法在网上运行。同时也要看到，在安全2.0时代，定级必须由专家评审，主管部门评审。这两个步骤不容错过。

二是备案。医院信息系统的备案是将备案材料报送公安机关，等待审查。但各地对等保备案的处理存在一定差异。比如，有的地方公安机关要求备案材料先在网上提交，审核通过后再去新岗位核查。因此，在备案步骤中，医院需要咨询辖区当地公安机关办理具体的等级备案。

三是整改。等级保护2.0的标准也根据信息系统的要求进行了调整。具体内容，医院可参照2018年发布的平等保护2.0标准。由于定级保护对信息系统有了新的要求，在医院信息系统整改时，自然要考虑到这些新要求。

四是测评。评估主要由评估机构完成。具体的评估过程并没有太大的变化。改变的是通过评估的标准。在等级保护2.0时代，医院信息系统的评价分值需要大于70分，信息系统没有高风险项目可以通过; 而在等级保护1.0时代，60分将通过。此外，在一些地方，评价得分要求不仅是70分，甚至是85分甚至90分。总之，在保证2.0时代，通过评估的标准更高。

最后，在等级保护2.0时代，如果医院信息系统是4级，则至少每六个月进行一次评估。如果是3级，那么每年至少进行一次等级评估。如果是2级，那么每两年至少进行一次评估。

对于医院来说，等级保护是必须的。在新发布的三级医院评价标准中提到，信息系统建设必须按照网络安全等级保护。希望每个医院都能落实等级保护，做好等级保护工作，使信息系统在安全的环境中运行。