医疗行业等级保护测评解读50页PPT

《信息安全等级保护测评机构能力规范（征求意见稿）》规定：测评机构应当按照有 关规定和统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告 模板出具测评报告。测评机构不得从事下列活动： a) 承担信息系统安全建设整改工作； b) 将等级测评任务分包、外包； c) 从事信息安全产品开发、营销和信息系统集成活动；
•防火 •防雷击 •防盗窃和防破坏 •物理访问控制 •物理位置选择
•物理安全以及构成信息系 统的硬件设备和介质等
•网络设备防护 •恶意代码防护 •网络入侵检测 •边界完整性检查 •网络安全审计 •网络访问控制 •结构安全和网段划分
等级测评概述－政策解读
四、等级测评相关政策要求解读
《信息安全等级保护管理办法》规定：信息系统建设完成后，运营、使用单位或者 其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保 护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信 息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次 等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。
医疗行业等级保护测评 解读
2020年5月28日星期四
医疗行业等级保护测评解读
等级测评概述 等级测评的内容 等级测评的流程和方法 医疗行业信息安全现状和测评重点 关于测评机构
等级测评概述－政策背景
一、政策背景——国家全面推行信息安全等级保护制度
2007年6月，公安部、国家保密局、国家密码管理局、国务院 信息化工作办公室联合发布《信息安全等级保护管理办法》（ 公通字［2007］43号），在全社会范围推行“信息安全等级保 护”政策。
•网络安全(三级) 等级测评的内容
• 网络层面构成组件负责支撑信息系统进行网络互联，为信息系统 各个构成组件进行安全通信传输，一般包括计算机、网络设备、连接 线路以及它们构成的网络拓扑等。 • 两个不同信息系统需要交换信息，而进行网络互联（内部互联） ；为了与其他单位/网络交换信息，与他们的网络互联（外部互联）， 这些网络连接边界是网络安全测评的重点之一。

等级保护交流
汇报人：
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载： 行业PPT模板：
节日PPT模板：
PPT素材下载：
PPT背景图片： PPT图表下载：
优秀PPT下载： PPT教程：
W ord教程：
Excel教程：
资料下载：
PPT课件下载：
范文下载：
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度，22年历 史； ②等级保护是唯一建立 系列标准覆盖实施落地 全流程，并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍，警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位；
高端手法：信息安全集成（等级保护）独立运作
为什么选择等级保护？ 1、国家政策 2、安全不是产品的简单堆积，也不是一次性的静态过程，它是
人员、技术、操作三者紧密结合的系统工程，是不断演进、循环 发展的动态过程
3、信息安全是一把手工程，信息安全是全员工程，信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设，让安全建设更加体系 化，可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设，再也 不是头痛医头脚痛医脚，对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状，一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求，一旦发生安全 事件要自己承担相关责任。

4
6
79
应用安全
4
7
9 11
数据安全及备份恢复 2
3
33
管理要求 安全管理制度
2
3
33
安全管理机构
4
5
55
人员安全管理
4
5
55
系统建设管理
9
9 11 11
系统运维管理
9 12 13 13
合计
/
48 66 73 77
级差
/
/ 18 7 4
医院信息系统等级保护建设
基本要求－－GB/T 22239
安全要求类 层面
医院信息系统等级保护建设
系统改建系统改建实施方案设计施方案设计
等级保护工作相关的大部分系统是已建成并投入运行的系统， 信息系统的安全建设也已完成， 因此信息系统的运营使用单 位更关心如何找出现有安全防护与相应等级基本要求的差距。
如何根据差距分析结果设计系统的改建方案， 使其能够指导 该系统后期具体的改建工作，逐步达到相应等级系统的保护 能力。
医院信息系统等级保护建设
信息安全等级保护法规政策体系
医院信息系统等级保护建设 5
等级保护标准
GB/T 22240-2008 《信息安全技术 信息系统安全保护等级定级指南》 GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》
等保实施
GB/T 28448-2012 《信息系统安全等级保护测评要求》 GB/T 28449-2012 《信息系统安全等级保护测评过程指南》
强制监督检查
专门监督检查
医院信息系统等级保护建设
实施指南－－GB/T 25058-2010
等级保护实施过程 基本原则

开展信息安全意识培训
定期组织信息安全意识培训，提高全院员工对信息安全的重 视程度，增强防范意识。
完善信息安全培训体系
建立覆盖全院员工的信息安全培训体系，根据不同岗位和业 务需求，提供个性化的信息安全培训课程。
加强与其他医疗机构和信息安全监管部门的合作与交流
深化与其他医疗机构的合作
积极与其他医疗机构开展信息安全领域的合作与交流，共享信息安全防护经验，共同提高医疗行业信 息安全水平。
04
医院信息安全等级保护成 效评估
信息安全事件处置情况
事件响应速度
01
医院在信息安全事件发生时，能够迅速启动应急响应机制，及
时处置事件，避免事态扩大。
事件处置效果
02
通过对信息安全事件的处置，医院成功阻止了潜在的数据泄露
和系统破坏，确保了医疗业务的正常运行。
经验教训总结
03
针对每起信息安全事件，医院都进行了详细的经验教训总结，
加强与信息安全监管部门的沟通
主动与信息安全监管部门保持密切沟通，及时了解政策动态和监管要求，确保医院信息安全工作符合 国家和行业规定。
感谢您的观看
THANKS
信息安全管理制度建设
制度完善
医院已建立完善的信息安全管理 制度，包括信息安全管理规定、 信息安全事件应急处置预案等， 以确保医院信息系统的安全和稳
定运行。
组织架构
医院设立了专门的信息安全管理 机构，负责信息安全工作的统筹 规划和监督执行，确保各项安全
措施得到有效实施。
流程规范
医院对信息安全相关流程进行规 范，包括信息安全风险评估、安 全漏洞检测、系统变更管理等， 降低安全风险，提高整体安全水
维护患者权益
医院信息系统中存储了大量患者的个人隐私和医疗记录，实施信息安全 等级保护能够有效防止患者隐私泄露，维护患者的合法权益。

《计算站场地技术条件》 、
G B 9 3 6 1 - 8 8 《 计 算 站 场 地 安 全 要2流程
等级测评项目启动 信息收集和分析
编制测评方案 工具和文档准备 方案确认和资源协调 现场测评和结果记录 结果确认和资料归还 分析测评结果 形成等级测评结论 编制测评报告
防火 防雷击 防盗窃和防破坏 物理访问控制 物理位置选择
等 物理安全(三级) 级测评的内容
物理层面构成组件包括信息系统工作的设施环境以及构成信息系 统的硬件设备和介质等
网络设备防护 恶意代码防护 网络入侵检测 边界完整性检查 网络安全审计 网络访问控制 结构安全和网段划分
网络安全(三级) 等级测评的内容
等级保护工作是信息安全工作的基本制度，是维护国家信 息安全的根本保障，是国家意志的体现。
根据《信息安全等级保护管理办法》规定，信息系统运营、 使用单位在进行信息系统备案后，都应当选择测评机构进 行等级测评。
等级测评概述－什么是等级测评
二、什么是等级测评？ 等级测评是测评机构依据国家信息安全等级
广域网
1.身份鉴别和自主访问控制 2.安全审计 3.完整性和保密性保护 4.边界保护 11.环境与设施安全
局域网
1.身份鉴别和自主访问控制 2.安全审计 3.完整性和保密性保护 4.边界保护 5.资源控制 6.入侵防范和恶意代码防范 10.密码技术应用 11.环境与设施安全
21
等级测评的内容－主要核心技
医疗行业等级保护测评 解读
2021年7月13日星期二
医疗行业等级保护测评解 读
等级测评概述 等级测评的内容 等级测评的流程和方法 医疗行业信息安全现状和测评重点 关于测评机构
2
等级测评概述－政策背景

安全 建设整改
等级测评
安全自查与 监督检查
3 等保工作
电力供应 防盗窃和防破坏 物理访问控制 物理位置选择
电磁防护
不做硬 性要求
防雷击、防火、防水和防潮、防静电、温湿度控制
3 等保工作
物理安全的整改要点（10个）
物理位置的选择
基本防护能力
物理访问控制
基本出入控制 在机房中的活动
7 信息系统安全保护等级专家评审 意见
8 主管部门审核批准信息系统安全 保护等级的意见
3 等保工作
系统定级
系统备案
安全 建设整改
等级测评
安全自查与 监督检查
范围：已备案的第二级（含）以上信息系统纳入安全建设整改的范围。 • 尚未开展定级备案的信息系统，要先定级备案，定级不准的 要先纠正，再开展安全建设整改。 • 新建系统要同步开展安全建设工作。
防静电地板 冗余/并行线路 备用供电系统
3 等保工作
系统定级
系统备案
安全 建设整改
等级测评
安全自查与 监督检查
3 等保工作
网络安全的整改要点（7个）
结构安全
关键设备冗余空间 核心网络带宽 子网/网段控制
访问控制
访问控制设备（用户、网段） 拨号访问限制
主要设备冗防余火空墙间（网安）路由控制 整体网络带宽流量控制 带宽分配优先级 重要网段部署
资料下载：
PPT课件下载：
范文下载：
试卷下载：
教案下载： PPT论坛：
2
等级保护政策标准
2 政策体系
2 标准体系
2 标准体系
基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》 GB/T25058-2010

.
组合分析
4、对处理特定应用的信息系统（查阅定级指南，哪些应用系统定级） 作为定级对象的信息系统应具有如下基本特征： 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责 任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应 是这些下级单位共同所属的单位； 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象； 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他 业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网 络传输设备。
安全管理制度
0
0
7 10 0
2 32
安全管理机构
0
管理
人员安全管理
0
类
系统建设管理
0
0
9 19 2 8 5 8
0
11 16 5 4 5 4
0
28 41 13 18 9 18
系统运维管理
0
0
27 51 42 54 12 54
控制点 二三 级级 23 47 24 40 20 34 21 37 48 7 12 11 27 16 20 41 59 69 105
线缆隔离、设备和介质屏蔽 .

【Ｃ】 3.有病情和病历等 资料交接制度并落 实 , 保障诊疗的连 续性。
工作制度中 有病情和病 历等资料交 接制度。
访谈5名医 务人员，是 否熟悉转科 制度及流程 。
临床相关条款C级指标
2.4.4 加强出院患者健康教育和随访预约管理，提高患者健康知识水平和出院后 医疗、护理及康复措施的知晓度。 评审标 准 2.4.4.1 评审要点 资料查阅 调查访谈 实地 个案 抽查 访视 追踪 考核
• 从第二~四章中抽取与临床科室密切相关的评审 标准共16节60条94款。
现场评审
（一）评价形式：审阅资料、调查访谈、 实地访视、个案追踪、抽查考核、逐项 核查等。 （二）药事管理系统追踪检查
第二章 医院服务
一、预约诊疗服务
二、门诊流程管理
三、急诊绿色通道管理 四、住院、转诊、转科服务 五、基本医疗保障服务 六、患者的合法权益 七、投诉管理 八、就诊环境管理
访谈临床科室5名医 护人员，对出院患 者健康教育制度的 知晓程度，患者出 院时告知的内容和 注意事项
调查访谈 访谈患者及 家属，医院 在没有空床 或医疗设施 有限时对其 安臵处理是 否明确告知 了原因和处 理的方案。
实地 个案 抽查 访视 追踪 考核
4. 有科室没有空 床或医疗设施有 限时的处理制度 与流程,并告知 患者原因和处理 方案。
临床相关条款C级指标
2.4.2 为急诊患者入院制定合理、便捷的入院相关制度与流程。危重患者应先抢 救并及时办理入院手续。 评审标 准 2.4.2.1 评审要点
调查 实地 个案 抽查考核 访谈 访视 追踪
抽查10份病历 ，核实相关科 室在进行患者 的留观、入院 、出院、转科 、转院的过程 中是否严格执 行医院规定的 相关服务流程 。

通过信息系统的定级，国家掌握了重要信 息系统在全国范围内的分布、使用情况以 及其重要程度。
在定级基础上，应开展信息系统安全建设 和整改，达到相应等级的安全防护能力。

二、等级保护相关标准解读

需要了解的几个法规、政策

保护环境框架图
审计子系统是系统的监督 中枢，安全审计员通过制定审 计策略，强制实现对整个信息 系统的行为审计，确保用户无 法抵赖违背系统安全策略的行 为，同时为应急处理提供依据。

保护环境框架图
主要流程
安全管理流程
几个与等级保护有关的标志性政策、文件：
《中华人民共和国计算机信息系统安全保护条例》（147号令） 《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发[2019]27号）。
《关于信息安全等级保护工作的实施意见》（公通字 [2019]66号）
《信息安全等级保护管理办法》（公通字[2019]43号）
第四级 结构化保护级 第五级 访问验证保护级

自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
12
《信息系统安全等级保护基本要求》的定位
安全管理流程主要由安全管理中心的安全管理员 系统管理员和系统审计员实施，分别实施系统维 护、安全策略部署和审计策略部署等机制。
访问控制流程
访问控制流程是在系统运行时执行，实施自主访 问控制、强制访问控制等。
定级系统互联件连或移和接动系部功进护的统件。能出计软组的安算件成部全机以，分计系安算信统及也，统算一全环网外可。对环管管境络部以安境理理、上设是跨全的的中安的定独备级计信设心全安安立及系全算息施是区全统的其互安。环进对策域联全部境行部略边管件理保及署与界中在机和心安制安全实全计施通

主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具

17
等级保护测评内容
测评内容覆盖组织的重要信息资产 技术层面：测评和分析在网络和主机上存在的安全技术风险， 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
…
序号 …
设备名称 …
操作系统/数据库管理系统
业务应用软件 …
27

等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料
序号 姓名 … 岗位/角色 … 联系方式 … 序号 …
测评实施
设备名称 …
形成报告
用 途 … 重要程度 …
测评规划
…
序号 …
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性，不对现有的运 行和业务的正常提供 产生显著影响，尽可 能小地影响系统和网 络的正常运行。
最小影响原则
14

等级保护测评原则
从公司、人员、过程三个 标准性原则 方面进行保密控制： 1.测评公司与甲方双方签 署保密协议，不得利用 规范性原则 测评中的任何数据进行 其他有损甲方利益的活 可控性原则 动； 2.人员保密，公司内部签 整体性原则 订保密协议； 3.在测评过程中对测评数 最小影响原则 据严格保密。
5

等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则

等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后，运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构，依据《信息系统安 全等级保护测评要求》等技术标准，定期对信息系统安全等 级状况开展等级测评； 2.第三级信息系统应当每年至少进行一次等级测评，第四级 信息系统应当每半年至少进行一次等级测评，第五级信息系 统应当依据特殊安全需求进行等级测评； 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查，第四级信息系统 应当每半年至少进行一次自查，第五级信息系统应当依据特 殊安全需求进行自查； 4.经测评或者自查，信息系统安全状况未达到安全保护等级 要求的，运营、使用单位应当制定方案进行整改

医疗行业等级保护、防统方解决方案杭州安恒信息技术有限公司，简称“安恒信息”，是业界领先的应用安全及数据库安全整体解决方案提供商，专注于应用安全前沿趋势的研究和分析。

在医疗卫生行业数据库审计、数据库扫描、运维审计产品也得到广泛的应用，先后获得中国医药卫生信息化“首选品牌”和“金鼎奖”。

其中明鉴系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用，其数据库审计、web应用防火墙、运维审计、综合日志审计等更是在运营商、金融、政府、能源等数千家客户信息系统中稳定运行，并帮助数百家客户成功通过国家等级保护测评机构的测评。

安恒信息推出的医疗卫生行业等级保护、防统方解决方案，旨在帮助医疗卫生机构解决困扰已久的“非法统方”难题，并帮助医疗机构顺利通过等级保护测评，提升信息化管理水平。

1行业需求说明随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐患也越来越突出，其中非法“统方”尤为突出。

“统方”是建立医药回扣黑链的重要枢纽环节，已经成为国家和媒体关注的重要社会焦点问题。

鉴于此，我国卫生部曾反复强调，对于违反规定，未经批准擅自“统方”或者为商业目的“统方”的，不仅要对当事人从严处理，还要严肃追究医院有关领导和科室负责人的责任。

但尽管相关主管部门和医药都把非法统方当作打击重点，但打击效果始终不太理想。

这与非法统方的隐秘性和变化多样性有关，但更重要的是因为缺少相关完善的工具和解决方案。

目前市面上主流的防统方解决方案都是基于对HIS系统数据库服务器进行旁路监听审计实施打击，但这样的解决方案有几个非常明显的弱点：1)事后审计，无法阻断统方：通过数据库审计的方式确实能够发现统方，但是这已经是在统方行为已经完成的情况下发现的。

而医院领导更关注的是如何防止统方，对非法统方行为进行实时的阻断。

2)通过SSH、RDP等加密方式统方而无能为力：非法统方很多时候是由内部专业技术人员或者第三方开发外包等专业人员进行，其为了躲避监控，常常采用加密的方式进行统方，而旁路数据库审计对此是无能为力的。

评审标准备查材料
1、医疗机构执业证书、法人证、组织机构代码证 2、等级医院批文 3、医疗机构设置审批材料（区域规划设置可行性
报告、选址报告、取消传染科、精神科病房的批 文） 4、历年定期校验材料 5、全院各类卫技、工程人员名单、职称、学历统 计表（与开放床位比例、工程人员占比） 6、各病区开放床位数一览表 7、各病区对应医师、护士人名单一览表及统计数 字（与开放床位比例）
示例3
1.1.4 医技科室服务能满足临床科室需要，项目设置、人员 梯队与技术能力符合省级卫生行政部门规定，专业技术水 平与质量处于本省前列1.1.4.1医技科室服务能满足临床科 室需要，项目设置、人员梯队与技术能力符合省级卫生行 政部门标准。
1.1.4 医技科室服务能满足临床科室需要，项目设置、人员梯队与技术能力符合省级卫生行 政部门规定，专业技术水平与质量处于本省前列1.1.4.1医技科室服务能满足临床科室需要
专用电梯设置、急诊诊室通道等）
3、医院省、市级重点专科批文、重点专科评审和复核结 果的文件
4、医院学术带头人名单及介绍 5、医院担任各级学会组织的人员名单及担任职务 6、医院科室设置批文（急诊科、重症医学科一级科设置
）
7、急诊科、重症医学科行政主任任命文件 8、急诊科、重症医学科医护人员名单、职称、学历
、主治医师以上比例） 11、急诊患者就诊流程 12、绿色通道相关制度 13、影像科（包括超声）、介入科排班表 14、介入科24小时急诊应急响应流程 15、重症监护室床位数占全院床位数比 16、重症医学科负责对全院重症医学床位进行统一管理的
情况介绍（文件） 17、重症监护室近三年收治病人登记本
1.1.2 医院有承担服务区域内急危重症和疑难疾病诊疗的设施设备、技术梯队与处置能力， 医学影像与接入诊疗部门可提供24小时急诊诊疗服务1.1.2.1 主要承担急危重症和疑难疾病

信息系统等级保护医疗行业01目录等级保护介绍02行业信息系统现状03整改方案设计01等级保护介绍等级保护制度进入2.0时代★深入推进国家网络安全等级保护制度一、根据2017年6月1日实行的《中华人民共和国网络安全法》第二十一条明确要求：国家实行网络安全等级保护制度。

二、中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。

三、习近平总书记等中央领导批示要求：健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。

信息安装等级保护法规政策体系信息安全遵循标准《信息安全技术信息系统安全等级保护基本要求》01GB/T 22239-2008《信息安全技术信息系统安全等级保护实施指南》02GB/T 25058-2010《卫生部办公厅关于全面开展卫生行业信息安全等03级保护工作的通知》（卫办综函[2011]1126号)《关于印发基层医疗卫生机构管理信息系统建设项目04指导意见的通知》卫生行业信息安全等级保护工作的指导意见★2011年11月，卫生部印发了《卫生行业信息安全等级保护工作的指导意见》通知，明确提出卫生行业信息安全等级保护工作的指导意见。

以下重要卫生信息系统安全保护等级原则上不低于第三级：（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；（3）三级甲等医院的核心业务信息系统；（4）卫生部网站系统；（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。

等级保护之五级划分等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查02行业信息系统现状医疗行业信息系统现状----主要业务系统医院信息系统主要应用HIS 系统医疗信息系统（流程）LIS 系统临床试验系统（临床、患者状况、用药、疗程）PACS 系统影像（B 超、彩超、X 光……）EMR 系统电子病历（接收并存放LIS 的信息）①高速的响应速度和联机事务处理能力；②医疗信息数据的复杂性；③信息的安全、保密度要求高；④数据量大；⑤稳定性要求高；⑥瞬时并发访问量大；⑦系统后期数据维护工作量大；信息系统特点：①不当的访问和准入控制②医院的统计信息、孕妇新生儿信息被打包出售等较为恶性的数据安全事件;③由于蠕虫、病毒的入侵导致的系统故障等信息安全事件；④医保卡的使用使得医疗机构与银行、社保等机构需要更多的数据交换及实时结算业务挑战：医疗行业信息系统现状----网络架构及安全风险分析业务挑战：安全建设方向：☐核心业务系统安全防护（网络，主机，数据）☐等级保护安全建设要求（等级保护测评及整改）☐省市区三级级安全平台及卫生专网安全建设（健康档案数据库及卫生专网安全建设）☐外网门户网站安全建设03整改要点行业等保整改规划1、根据医院的实际需求以及相关行业及等级保护要求，对信息系统进行安全建设，从边界安全，业务安全，内网终端安全，以及安全管理等角度完成对信息系统的安全建设.2、结合医疗行业及本院实际情况，以及国家十二五规划，针对，电子病历，健康档案等核心数据进行重点保护，加强卫生专网边界防护.3、从技术，管理两个角度完成对HIS,PACS等业务系统的安全建设.4、提供专业的安全服务，从门户网站监控，到等级保护的咨询与信息系统渗透测试，加固方案，保障用户信息系统健康，安全，稳定的运行.5、所提供安全产品具为行业内一流产品，出色的性能和功能，很好的满足用户的安全需求.整改要点基本防护能力基本出入控制存放位置、标记标识建筑防雷、机房接地灭火设备、自动报警关键设备稳定电压、短期供应线缆隔离关键设备冗余空间核心网络带宽子网/网段控制访问控制设备（用户，网段）拨号访问权限日志记录内部非法联出检测常见攻击基本登陆鉴别物理环境01网络安全02主机安全03应用安全01数据安全01基本身份鉴别安全策略用户权限分离服务器运行状况审计软件最小安装原则防恶意代码软件、代码库统一管理对用户会话数和终端登陆管理基本身份鉴别安全策略最小授权原则运行状况审计（用户级）审计记录保护校验码、初始化敏感信息加密数据有效性检验并发数量管理和限制数据传输完整性数据储存保密性重要数据备份硬件冗余互联网安全建设-拓扑图参考图边界安全防护网站安全防护安全监控移动办公接入谢谢观看。

7
“二甲”要求必须
项目 类别
第1-6章标准条款 C级 B级 A级
其中：33条核心条款 C级 B级 A级
甲等
》 90%
》 60%
》 20%
100%
》 70%
》 20%
折合 525 350 117 33 24 7
2019/8/24
8
主要章节和内容
第一章：医院功能任务
强调医院应明确自身定位，充分体现公立医院的公 益性，充分发挥在医教研等方面的带动作用，特别明确 了“县医院”所承担的功能任务。
2019/8/24
18
特点之四：体现了公立医院改革的方向 1、强调了医院的公益性 2、强调了医院安全； 3、强调服务意识；重视病人的就诊体验； 4、强调了综合评价：政府、病人、社会、医院；
现场评价与平时监测相结合。
2019/8/24
19
特点之五：突出了持续改进的理念 有计划、有制度、有规范； 有学习、有培训、有授权； 有措施、有落实、有成效； 有检查、有分析、有反馈； 有整改、有提高，有再修订，有再培训
名称 第一章医院功能任务 第二章医院服务 第三章患者安全 第四章医疗质量管理 第五章护理管理 第六章医院管理 合计
节条
款 核心条款 ★
6
27 29
3
8 37
48
3
10
25 26
6
23 141 322 13
5 31 53
1
11
60 105
7
63 321 583 33
2019/8/24
临床科室设置：共25个2、3级专科，其中可选4个： 肿瘤、血液、心胸、烧伤整形；

第16页/共65页
处理Act： 积累经验 全面推广 持续改进
计划Plan：
分析现状 提出问题 诊断原因 改进计划
检查Check：
收集资料 满意程度 检查评价 纠正措施 预防措施
执行Do：
成立组织 明确分工 运行程序 记录
促进医院持续改进的进程
第17页/共65页
17
运用PDCA循环常用质量改进工具
ＩＣＵ所有患者使用呼吸机的总日数
第51页/共65页
中心静脉置管相关血流感染发生率（‰）
对象选择：ＩＣＵ中所有使用中心静脉置管的患者
监 指标性质：结果指标 测 指标改善：比率下降 指 计算公式： 标
ＩＣＵ中心静脉置管相关血流感染的例数
中心静脉置管相关血流感染发病率（‰）=---------------------------------------------------×1000
指标类型：过程指标。
指标改善：比率升高。
监 设置理由：在ＩＣＵ中，接受呼吸器治疗的患者，全身情况许可
测
无禁忌、应提高床头至30度或更大，有助于防止和降低发生院内
指
获得性肺炎与压疮、溃疡的风险。
标 计算公式：
ＩＣＵ患者在使用呼吸机下抬高床头部 ≥30度的日数（每天2次）
呼吸机相关肺炎的预防率（‰）=------------------------------× 1000
五、特殊药物的管理，提高用药安全
第34页/共65页
六、临床危急值报告制度
第35页/共65页
七、防范与减少患者跌倒、坠床等意外事件发生
第36页/共65页
八、防范与减少患者压疮发生
第37页/共65页
九、妥善处理医疗安全（不良）事件