为什么要做三级等保？

互联网医院本身处于互联网环境中，随时面临着未知人员的恶意访问与攻击行为，自身的安全性难以保障。

2018年7月国家卫生健康委员会、国家中医药管理局印发的《互联网医院管理办法（试行）》提出“互联网医院信息系统按照国家有关法律法规和规定，实施第三级信息安全等级保护。”这是医疗行业首次将信息化建设与安全建设进行了捆绑，等级保护建设成为了互联网医院上线的必要条件。

三级等保是什么？

国家等级保护认证是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

三级等保是指信息系统经过定级、备案这一流程之后，确定为第三级的信息系统。

一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云（服务商）平台和其他重要系统。

在申请互联网医院牌照的过程中，三级等保必须经由当地公安局通过后，才能上线互联网医院系统软件。

互联网医院为什么要做三级等保？

落实好网络安全等级保护制度是医疗行业保障网络安全的一块基石。

医疗卫生行业的网络安全建设，对于当下来说非常关键，特别是当下疫情追踪对于大数据医疗的需求很大互联网医院申请牌照是等保，如果能够快速处理突发事件，加强好医疗系统相关人员应急培训能力提升，以及网络安全防护措施升级，是非常有必要的。

如果安全意识淡薄，未能履行网络安全等级保护制度，导致服务器被攻击，业务停摆，还有可能会被当地公安部门行政警告并处罚。

信息系统安全“三级等保”的认证，对提升用户信息安全方面的作用主要体现在以下两点：

1、能在统一安全策略下，防护系统免受来自外部有组织的团体发起的恶意攻击及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能较快恢复绝大部分功能；

2、平台能在安全事件发生时，有足够的应对能力，能快速恢复功能，从而保护信息安全。

奈特瑞构建信息安全护城河

对于互联网医院系统来说，等保三级认证需要评测的内容主要包含信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类70多类，测评标准十分严苛。

医疗行业如何才能顺利通过三级等保测评拿到互联网医院牌照？

奈特瑞在帮助200+企业拿到互联网医院牌照后，总结了以下几点审批流程经验：

一、定级备案

国家卫生健康委员会发布的《互联网诊疗管理办法（试行）》、《互联网医院管理办法（试行）》中，明确提出了互联网医院要实施第三级信息安全等级保护等规定。《网络安全等级保护条例（征求意见稿）》中要求“网络运营者应当在规划设计阶段确定网络的安全保护定级” 。对于第二级以上网络运营者，应当在网络的安全保护等级确定后10个工作日内，到县级以上公安机关备案。

二、定级备案后医疗机构需要选择有资质的等保测评机构开展安全测评

按照要求，定级为三级及以上的系统需要每年开展一次测评。测评后，依据网络安全等级保护标准对评估结果进行差距分析，查看是否符合等级保护基本要求。

三、对不符合要求项需要及时做安全整改

测评机构会提出整改意见，医疗机构需要根据意见购买安全设备。鉴于医疗行业数据的重要性，做好数据备份、数据加密存储和传输工作十分有必要。在做好整改工作后，系统评分达到70分以上才算合格。一系列工作完成后，医疗机构仍需要定期排查系统安全隐患，确保系统中持续无高风险问题。

无危则“安”，无损则“全”。

在企业数字化转型的路上互联网医院申请牌照是等保，信息安全体系建设是必经之路。虽然三级等保测评的流程繁琐，但对企业和用户而言，等保测评越严格，医疗信息和数据就越安全。

奈特瑞成立四年以来，在全国范围内帮助大健康产业链内超过200家企业建设互联网医院，为每一家企业提供定制化的等级保护建设方案，并根据每一家企业不同的预算和需求，为企业定制专门的产品和方案，并全部一次性且高分通过“三级等保测评”，成功拿到互联网医院牌照。

更多互联网医院一对一解决方案，欢迎咨询奈特瑞。