01《关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126 号文）

2011年，原卫生部发布了《关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126 号文），要求在定级、整改、测评过程中贯彻执行国家相关标准。

02《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85 号）

2011年12月，原卫生部曾下发《卫生行业信息安全等级保护工作的指导意见》的通知，通知明确了三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。 

03《卫生计生行政部门政府网站信息内容建设与管理规范》（试行）

04《国务院办公厅关于印发政府网站发展指引的通知》国办发〔2017〕47号

被列为关键信息基础设施的政府网站要在严格执行等级保护制度的基础上，实行重点保护，不得使用未通过安全审查的网络产品和服务。按照要求定期对政府网站开展安全检测评估。（第七条第一点）。 

05《关于印发医疗质量安全核心制度要点的通知》国卫医发〔2018〕8号

《要点》第十八条第二点基本要求明确指出：医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明确管理部门，落实信息安全等级保护等有关要求。

卫生行业等保工作指南

（以下内容来自《卫生行业信息安全等级保护工作的指导意见》）

一、定级备案

1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查，对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。

以下重要卫生信息系统安全保护等级原则上不低于第三级：

(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;

(2)国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心;

(3)三级甲等医院的核心业务信息系统;

(4)卫生部网站系统;

(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。

卫生行业常见重要信息系统（定级建议：三级）：

一、核心信息系统范围涵盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等；

二、区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、区域临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。

三、满足如下条件之一的信息系统：

1、承载公民个人信息的信息系统；

2、承载核心业务信息（包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等）的信息系统；

3、与核心业务系统发生双向数据交换或业务协同的信息系统（包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等）；

4、承载国家法律法规需要落实敏感信息保护的信息系统；

5、承载医院对外形象宣传的信息系统或医院重要信息（包含但不限于医院门户网站、统一登录平台、移动OA、移动APP等）；

6、与其他按照三级等级保护要求运行维护的信息系统发生双向数据交换或业务协同的信息系统。

2.拟定为第三级以上(含第三级)的卫生信息系统，应当经信息安全技术专家委员会论证、评审。

3.卫生行业各单位在确定信息系统安全保护等级后，对第二级以上(含第二级)信息系统，应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统，由卫生部报公安部备案;在各地运行、应用的分支系统，应当报属地公安机关备案。

二、建设与整改

1、对已确定安全保护等级的第二级以上(含第二级)卫生信息系统，应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。

2、根据信息系统安全保护现状分析结果，按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准，制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。　

3、卫生行业各单位应当按照信息系统安全建设整改方案，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障卫生信息系统安全。

三、等级测评

1、系统建设整改工作完成后，应当按照《信息安全等级保护管理办法》要求，从全国信息安全等级保护测评机构推荐目录中选择等级测评机构，对第三级以上(含第三级)卫生信息系统进行等级测评。　　

2、测评合格后，应当将测评报告报属地公安机关及卫生行政部门备案。

3、应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重要部门的第二级信息系统，可参照上述要求进行等级测评。

四、宣传培训

1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训，提高各单位信息安全管理人员的技术能力和管理水平。

2.卫生行业各单位应当开展内部信息安全培训，提升全员信息安全意识，规范信息安全操作行为，提高信息安全保障能力。

五、监督检查

1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况，并督促部机关重要信息系统责任单位开展信息安全等级保护工作。

2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况，并督促本单位开展信息安全等级保护工作。　　

3.省级卫生行政部门信息化工作领导小组应当于每年年底，向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。