當前，醫療衛生健康網絡安全建設已成為國家衛生健康行業信息化建設的重要保障和重要組成部分。沒有網絡安全，就沒有衛生健康信息化的健康發展。4月25日，山東省信息網絡安全協會醫療分會在濟南舉辦了第三屆雪野湖論壇，會議邀請了北京市衛生計生委信息中心副主任鄭攀做演講。他詳細解讀了《網絡安全法》與等級保護2.0，并介紹了衛生行業等級保護現狀，給醫院等級安全保護工作的開展提出了建議。

鄭攀指出，2016年，我國出臺了《中華人民共和國網絡安全法》，推動網絡安全在國家戰略層面提升至新高度。《網絡安全法》首次宣誓了國家保衛網絡空間主權的原則，進一步確立了等級保護制度的法律地位，明確了在等級保護的基礎上，重點加強關鍵信息基礎設施安全保護。

對此，鄭攀強調，《網絡安全法》要求全面實行信息安全等級保護制度，即等保2.0，并在此基礎上重點保護關鍵信息基礎設施，全面自查門戶網站和核心業務系統安全。

他對等級保護2.0定級要求進行了解析，指出該要求新增了“定級流程”，包括確定定級對象、初步確認定級、專家評審、主管部門審核、公安機關備案審查、最終確定等級。同時，等級保護2.0重新對定級對象進行了調整，分為基礎信息網絡、信息系統和其他信息系統，其中信息系統再細分為工業控制系統、物聯網、大數據、移動互聯以及云計算平臺。

鄭攀介紹，北京市衛生計生委信息中心日前對北京市直屬22家醫療機構及重點公共衛生機構的門戶網站、APP、公眾號信息系統進行了調研。

通過匯總調研結果，鄭攀認為醫院網絡安全等級保護工作推進差異較大：三甲醫院信息系統定級備案工作完成情況良好，對重要業務信息開展測評與整改工作方面力度較大；普通三級及以下醫院（尤其是二級醫院）的信息系統定級備案率遠高于測評率、整改率；普通三級醫院存在核心業務系統定級偏低（根據網絡安全等級保護相關標準，結合系統調研數據中的個人信息存儲量以及系統用戶數）的情況；二級醫院存在等級保護管理工作各環節銜接不到位的情況，網絡安全等級保護工作推進的廣度和深度不足。

對此，鄭攀總結道：“我國醫院現有的安全保障體系尚處于初步建設階段，其安全狀況和防護能力尚不足以應對當前網絡安全威脅，不足以保證信息系統的安全穩定運行，難以抵御一般性有組織的網絡攻擊行為，行業整體網絡安全保障水平亟需提升。”

針對當前醫療機構信息安全建設現狀，鄭攀給出如下幾點建議：

1.加強網絡安全等級保護工作重視程度。醫療機構各單位應積極落實網絡安全制度，領導層也應提高網絡安全等級保護工作的認知水平和重視程度，應理解網絡安全等級保護工作開展意義與重要性，確保網絡安全等級保護工作推進工作順利開展。

2.明確各自單位負責網絡信息與數據安全工作的職能部門。負責建立本單位的網絡信息與數據安全管理制度和操作規程。

3.堅持網絡安全與信息化建設項目“同步規劃、同步建設、同步運行”的原則，開展信息系統定級備案，定期開展等級測評和風險評估，選取符合資質要求的技術支撐機構和健康醫療服務企業，保障日常工作的安全開展。

4.加大對自主可控產品的使用與投入，有計劃、有步驟地實現行業網絡安全產品國產化替代，使用符合國家要求的密碼產品。

5.擴充網絡安全隊伍，提升網絡安全隊伍專業技能，強化單位人員安全意識。

6.履行業務和信息系統的安全保障義務，開展信息系統安全運維。

7.建立本單位網絡信息與數據安全應急體系，制定應急預案、組建應急隊伍、開展應急演練。

8. 組織本單位工作人員開展網絡信息與數據技術安全教育與培訓。

9. 從個人信息的采集、傳輸、存儲、加工和應用過程等多方面加強個人信息數據保護，防止個人信息的泄露和濫用。