随着信息化程度的深入，医疗机构信息系统的安全和稳定就显得尤为重要互联网医院系统，其直接关系到了医疗工作的正常运行，一旦出现问题，将对医疗企业和患者带来巨大的麻烦。为此，卫生部曾下发《卫生行业信息安全等级保护工作的指导意见》的通知，通知明确了三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。

随着互联网医院出现，网上问诊需求增多，企业也开始参与互联网医院建设，而针对互联网医院的相关等保要求也陆续出台。

2018年7月国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，规定承载医疗大数据的平台必须落实等级保护制度，健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。

2019年7月16日，上海市卫生健康委员会关于印发《上海市互联网医院管理办法》，其中规定“互联网医院信息系统按照《信息安全技术 网络安全等级保护基本要求》第三级标准完成定级备案和测评，每年应依法开展测评，测评通过后应提交系统年度测评报告”。此办法2019年9月1日开始实施。

换句话说，要建设互联网医院，拿到互联网医院牌照，“三级等保”是标配，是企业绕不开的必修课。

三级等保是什么？

国家等级保护认证是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

三级等保是指信息系统经过定级、备案这一流程之后，确定为第三级的信息系统。

一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云（服务商）平台和其他重要系统。

在申请互联网医院牌照的过程中，三级等保必须经由当地公安局通过后，才能上线互联网医院系统软件。

互联网医院为什么要做三级等保？

落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。

医疗卫生行业的网络安全建设，对于当下来说非常关键，特别是当下疫情追踪对于大数据医疗的需求很大，如果能够快速处理突发事件，加强好医疗系统相关人员应急培训能力提升，以及网络安全防护措施升级，是非常有必要的。

如果安全意识淡薄，未能履行网络安全等级保护制度，导致服务器被攻击，业务停摆，还有可能会被当地公安部门行政警告并处罚。

信息系统安全“三级等保”的认证，对提升用户信息安全方面的作用主要体现在以下两点：

1、能在统一安全策略下，防护系统免受来自外部有组织的团体发起的恶意攻击及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能较快恢复绝大部分功能；

2、平台能在安全事件发生时，有足够的应对能力，能快速恢复功能，从而保护信息安全。

奈特瑞构建信息安全护城河

对于互联网医院系统来说，等保三级认证需要评测的内容主要包含信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类70多类，测评标准十分严苛。

医疗行业如何才能顺利通过三级等保测评拿到互联网医院牌照？

奈特瑞在帮助200+企业拿到互联网医院牌照后，总结了以下几点审批流程经验：

一、定级备案

国家卫生健康委员会发布的《互联网诊疗管理办法（试行）》、《互联网医院管理办法（试行）》中，明确提出了互联网医院要实施第三级信息安全等级保护等规定。《网络安全等级保护条例（征求意见稿）》中要求“网络运营者应当在规划设计阶段确定网络的安全保护定级” 。对于第二级以上网络运营者，应当在网络的安全保护等级确定后10个工作日内，到县级以上公安机关备案。

二、定级备案后医疗机构需要选择有资质的等保测评机构开展安全测评

按照要求，定级为三级及以上的系统需要每年开展一次测评。测评后，依据网络安全等级保护标准对评估结果进行差距分析，查看是否符合等级保护基本要求。

三、对不符合要求项需要及时做安全整改

测评机构会提出整改意见，医疗机构需要根据意见购买安全设备。鉴于医疗行业数据的重要性，做好数据备份、数据加密存储和传输工作十分有必要。在做好整改工作后，系统评分达到70分以上才算合格。一系列工作完成后，医疗机构仍需要定期排查系统安全隐患，确保系统中持续无高风险问题。

无危则“安”，无损则“全”。

在企业数字化转型的路上，信息安全体系建设是必经之路。虽然三级等保测评的流程繁琐，但对企业和用户而言，等保测评越严格，医疗信息和数据就越安全。

奈特瑞成立四年以来，在全国范围内帮助大健康产业链内超过200家企业建设互联网医院，为每一家企业提供定制化的等级保护建设方案互联网医院系统，并根据每一家企业不同的预算和需求，为企业定制专门的产品和方案，并全部一次性且高分通过“三级等保测评”，成功拿到互联网医院牌照。