2023医疗行业密码安全报告-2023.03.pdf

1、数数 观观 天天 下下2023年2月 数观天下是致力于服务中国商用密码领域的卓越品牌和专业性分析媒体，以赋能商用密码领域实现更高成就为使命，连接和服务各大企业、机构投资者、地方政府、个人用户等商密行业内社群，推动商密行业快速、稳健、可持续地向前发展。数观天下团队在安全领域深耕多年，对商用密码行业发展有深入研究，拥有来自东软、启明、信安世纪等商密领域专家团队、行业分析团队及资深媒体团队。初初心心不不忘忘共共成成长长 凝凝心心聚聚力力谱谱新新篇篇团团队队介介绍绍落实商用密码领域关于技术、产品、市场及应用方面的交流活动，成为最懂甲方的商用密码行业咨询媒体。长长远远目目标标数 观 天 下政政策策背背景

2、景医医疗疗现现状状BUSINESS REPORT目目录录技技术术应应用用发发展展展展望望“健健康康强强国国”上上升升至至国国家家战战略略政政策策环环境境经经济济环环境境近年来，国家密集发布一系列医疗健康政策；健康中国2030规划刚要把医疗健康提升到了国家战略层面；远程医疗、区域协同、分级诊疗、互联网+医疗健康的概念初步成型。社社会会环环境境技技术术环环境境 健康中国2030规划刚要提出，到2030年，我国健康服务业总规模达到16万亿元，GDP的比重达到6.5%7%，行业发展空间巨大；近几年，大健康产业的多个细分领域受到资本关注。疫情刺激国民健康意识提升；我国人口老龄化现象日趋严重、居民疾病谱变

3、化，慢性非传染病患者逐年增长；我国居民收入增长、环境污染、遗传、生活习惯等因素影响，民众的健康医疗需求持续攀升 基因测序技术、3D打印技术、免疫疗法、人工智能、虚拟现实技术、生物芯片、大数据、云计算等技术逐步发展并在医疗健康行业中开展应用；技术的变革有望提升医疗服务水平，提高医疗资源供给与使用效率，将有效赋能大健康产业。数 观 天 下 政政策策驱驱动动医医疗疗机机构构信信息息化化建建设设 自2021年以来，国家卫健委等部门出台公立医院高质量发展促进行动（2021-2025年）、公立医院运营管理信息化功能指引、关于印发公立医院高质量发展评价指标（试行）的通知等一系列政策，将信息化作为医院基本建设

4、的优先领域，以电子病历、互联互通、智慧服务、智慧管理为代表的医疗信息化评级体系正式确立。目前，智慧医院建设已经成为公立医院高质量发展的重要评级标准。“以评促建”的要求和力度不断加大，将持续带动行业增长。评评测测指指标标认认证证机机构构评评审审方方案案等等级级具具体体内内容容互联互通（医院信息互联互通标准化成熟度测评）国家卫健委统计信息中心国家医疗健康信息互联互通标准化成熟度测评方案（2020 年版）七个等级一级、二级、三级、四级乙等、四级甲等、五级乙等、五级甲等测评指标包括：数据集标准化情况、共享文档标准化情况、技术架构情况、互联互通交互服务情况、平台运行性能情况、硬件基础设施情况、网络及网络

5、安全情况等电子病历评级（电子病历系统应用水平）国家卫健委医院管理研究所电子病历系统应用水平分级评价管理办法（试行）及评价标准（试行）（2018 年）0-8 共九个等级评价标准包含病房医师、病房护士、门诊医师、检查科室、检验处理、治疗信息处理，医疗保障、病历管理、电子病历基础、信息利用内容智慧服务（医院智慧服务分级评估）国家卫健委医院智慧服务分级评估标准体系（试行)（2019 年）0-5 级共 6 级对医院应用信息化为患者提供智慧服务的功能和患者感受到的效果两个方面进行评估，包括 5 大类、17 个评估项目，涵盖诊疗预约、远程、支付、家庭医生、转诊、直教等一系列患者诊前、诊中、诊后及全程服务指标

6、智慧管理（医院智慧管理分级评估）国家卫健委医政医管局医院智慧管理分级评估标准体系（试行）（2021 年）0-5 级共 6 级将医院管理业务划分为 10 大类角色，每一角色又细分出数项业务，共计 33 项评估项目数 观 天 下 卫卫健健委委提提出出信信息息化化建建设设相相关关要要求求在严格落实网络安全等级保护制度及商商用用密密码码应应用用等等基基础础安安全全保保障障制制度度的的基基础础上上，以关键信息基础设施安全为重点，落实数据出境安全管理制度，加强医疗设备相关网络和数据安全监管，全面落实网络安全管理要求。构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范，全全面面推推广广商商用

7、用密密码码应应用用，完完善善卫卫生生健健康康行行业业商商用用密密码码应应用用体体系系。主主要要任任务务优优先先行行动动一是集约建设信息化基础设施支撑体系一是互通共享三年攻坚行动二是健全全民健康信息化标准体系二是健康中国建设（行动）支撑行动三是深化“互联网+医疗健康”服务体系三是智慧医院建设示范行动四是完善健康医疗大数据资源要素体系四是重点人群智能服务行动五是推进数字健康融合创新发展体系五是药品供应保障智慧监测应对行动六是拓展基层信息化保障服务体系六是数字公卫能力提升行动七是强化卫生健康统计调查分析应用体系 七是“互联网+中医药健康服务”行动八是夯实网络与数据安全保障体系八是数据安全能力提升行动

8、十十四四五五全全民民健健康康信信息息化化规规划划，部部署署八八大大重重点点任任务务，同同时时对对商商密密应应用用提提出出要要求求。2022年11月7日，国家卫生健康委、国家中医药局、国家疾控局下发了“十四五”全民健康信息化规划。提出“十四五”期间的总体目标：到2025年，初步建设形成统一权威、互联互通的全民健康信息平台支撑保障体系，基本实现公立医疗卫生机构与全民健康信息平台联通全覆盖。数 观 天 下 密密码码应应用用建建设设相相关关要要求求 医医疗疗卫卫生生机机构构网网络络安安全全管管理理办办法法构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范，全全面面推推广广商商用用密密码

9、码应应用用，完完善善卫卫生生健健康康行行业业商商用用密密码码应应用用体体系系。各级医疗卫生机构应按照密码法等有关法律法规和密码应用相关标准规范，在网络建设过程中同同步步规规划划、同同步步建建设设、同同步步运运行行密码保护措施，使用符合相关要求的密码产品和服务。各医疗卫生机构应保障开展网络安全等级从测评、风险评估、攻防演练竞赛、安全建设整改、安全保护平台建设、密密码码保保障障系系统统建建设设、运维、教育培训等经费投入。商商用用密密码码应应用用安安全全性性评评估估结结果果备备案案工工作作的的要要求求请各省（区、市）及新疆生产建设兵团卫生健康委督促所辖卫生健康网络与信息系统运营者按照法律、法规、规章

10、和国家有关规定，同同步步规规划划、同同步步建建设设、同同步步运运行行商用密码保障系统。规范开展密评工作。各所镇卫生健康网路与信息系统运营由切实按照属地索码管理部门要求开开展展密密评评工工作作。请各省（区、市）及新疆生产建设兵团卫生健康委逐级督促市、县两级卫生健康行政管理部门指导各所辖卫生健康网络与信息系统运营者切切实实按按照照属属地地密密码码管管理理部部门门要要求求开开展展密密评评工工作作。请委机关各司局、各直属和联系单位、中国老龄协会按照法律、法规、规章和国家有关规定，规规范范组组织织开开展展本本司司局局、本本单单位位运运营营的的网网络络与与信信息息系系统统的的密密评评工工作作。健健康康医医

11、疗疗数数据据安安全全指指南南文文件件共共享享：宜采用密码技术保障数据完整性和可追溯性；API接接入入：宜采用密码技术保障数据完整性和可追溯性；宜采用校验技术或密码技术保证通信过程中的数据完整性，并通过加密等方式保证数据在传输过程中的保密性，加密技术的选择宜考虑应用场景、数据规模、效率要求等方面；在在线线查查询询：宜采用校验技术或密码技术保证通信过程中的数据完整性，并通过加密等方式保证数据在传输过程中的保密性，加密技术的选择宜考虑应用场景、数据规模、效率要求等方面.数 观 天 下 国国家家密密码码政政策策发发展展突出对关键信息基础设施及网络安全等级保护三级以上信息系统的密密码码应应用用监监管管，

12、实实施施商商用用密密码码应应用用安安全全性性评评估估和和安安全全审审查查。商商用用密密码码管管理理条条例例规定“第三级及以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施”，规定“三级及以上系统通过密码管理部门的密码测评后方可投入运行”。这这些些制制度度明明确确了了信信息息安安全全等等级级三三级级及及以以上上系系统统的的商商用用密密码码应应用用要要求求明确了密码保障体系建设“三三同同步步一一评评估估”的要求，指出不符合密码应用和网络安全要求的信息系统不予审批及安全维护经费。国国家家政政务务信信息息化化项项目目建建设设管管理理办办法法网络运营者应当按照网络安全等级保护

13、制度的要求，履行下列安全保护义务，保保障障网网络络免免受受干干扰扰、破破坏坏或或者者未未经经授授权权的的访访问问，防防止止网网络络数数据据泄泄露露或或者者被被窃窃取取、篡篡改改。中中华华人人民民共共和和国国网网络络安安全全法法强化网络安全等级保护中的密密码码应应用用和和密密码码管管理理。开展商用密码应用安全性评估，确保新建网络和信息系统密码应用的合规性、正确性和有效性网网络络安安全全等等级级保保护护条条例例&信信息息系系统统密密码码应应用用基基本本要要求求法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开开展

14、展商商用用密密码码应应用用安安全全性性评评估估。中中华华人人民民共共和和国国密密码码法法第五十三条：关键信息基础设施中的密密码码使使用用和和管管理理，还应当遵守密码法律、行政法规的规定。关关键键信信息息基基础础设设施施安安全全保保护护条条例例（征征求求意意见见稿稿）规定：“采购需求应当落实国家密码管理相关规定，同同步步规规划划、同同步步建建设设、同同步步运运行行并并定定期期评评估估；政政务务信信息息系系统统验验收收应应当当包包括括密密码码应应用用和和安安全全审审查查情情况况。”政政务务信信息息系系统统政政府府采采购购管管理理暂暂行行办办法法信信息息安安全全等等级级保保护护商商用用密密码码管管理

15、理办办法法实实施施意意见见数 观 天 下 国国家家立立法法强强力力推推进进密密码码应应用用 国产密码作为保障我国网络安全的关键核心技术，是信息化发展的安全基因，也是推动我国数字经济高质量发展，构建网络强国的基础支撑，在相关法规政策驱动下，国产密码产业的发展正进入加入发展期。国家安全法：国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。网络安全法：对网络运营者应该履行的义务提出了要求，维护网络数据的完整性、保密性、真实性和不可否认性，需要发挥密码技术的核心支撑作用等。密码法：明确密码分类管理，支持推进商用密码应用创

16、新和产业发展，有关信息系统“同步规划、同步建设、同步运营，定期评估”等。数据安全法、个人信息保护法、关键基础设施安全保护条例等。密密码码法法 第第三三十十七七条条关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。国国办办发发57号号文文 第第二二十十八八条条加强国家政务信息化项目建设投资和运行维护经费协同联动.对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系

17、统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。数数据据安安全全法法 第第四四十十五五条条拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。数 观 天 下 医医疗疗健健康康体体系系 我国的医疗健康体系主要包括医疗机构、医药、医保三类，其监管部门分别为国家及各地卫生健康委员会、国家药品监督管理局和国家医疗保障局。医疗机构主要包括各级别的医院、基层医疗机构、公共卫生机构、医联体等。医疗信息化指医疗服务的数字化、网络化

18、、信息化，狭义上的医疗信息化包括医院管理信息化、临床管理信息化和区域信息化;广义上的医疗信息化还应包括医保信息化和药品流通信息化。数 观 天 下资料来源于数说安全 医医疗疗行行业业信信息息化化现现状状数 观 天 下资料来源于数说安全 医医疗疗行行业业成成为为发发生生数数据据泄泄露露最最多多的的行行业业12数 观 天 下数据来源于赛门铁克 医医院院业业务务数数据据安安全全需需求求分分析析数 观 天 下资料来源于数说安全密码产品密码应用政策管理与技术标准体系签名验签服务系统身份认证密码应用运维保障体系密码基础设置手写数字签名系统时间戳服务系统生物识别数字签名系统电子签章系统服务器密码机安全认证网关

19、移动数字签名系统数据脱敏系统智能密码钥匙USBKey数据加密系统数字证书密码服务身份认证服务数据脱敏服务数字签名服务数据加密服务电子签章服务数字证书服务时间戳服务数据传输加密服务手写签名服务数据访问控制服务授权管理责任认定数据加密完整性保护访问控制可信身份可信身份管理可靠电子签名可信数据传输安全存储安全病例书写电子报告患者签署临床科研移动医疗数据存储数据访问 医医院院密密码码技技术术全全业业务务应应用用数 观 天 下资料来源于三未信安 身身份份认认证证-医医师师手手机机盾盾证证书书管管理理和和应应用用 手机盾系统主要以PKI/CA、数字证书、数字签名等技术为基础，在手机软件环境下，实现用户CA

20、 证书私钥的安全保护和用户私钥的访问控制，建立移动业务应用的安全服务体系，为移动业务应用提供安全支撑。适用场景：移动护理、互联网医院等。数 观 天 下资料来源于互联网 数数字字签签名名-患患者者现现场场手手写写数数字字签签名名通过手写数字签名系统后台将待患者签名的内容发送到患者智能手机上，患者直接打开、完成签署，综合运用在线的身份证OCR 识别、人脸识别、手写轨迹识别、录音和语音识别获取患方签署时的身份信息和生物特征信息，结合后台数字证书和数字签名技术，有效解决无纸化过程中的无纸化签名难题数 观 天 下资料来源于互联网 身身份份认认证证及及签签名名-互互联联网网医医院院医生PC端扫码开具电子处

21、（电子病历）CA证书服务可支持二维码扫码签章，医护人员在手机上扫码实现PC端的电子病历、电子处方的开具及签署。应用场景：医生开具电子处方、在线问诊、检查单据提交、知情文书签约等医患签字流程当用户为患者或者患者家属时，医生将需要签字的知情文书，通过医院信息业务系统推送到患者医院业务APP上，患者通过医院业务APP查看其详细内容，确认无误后，使用手机盾及电子签章进行手写签名操作。互互联联网网医医院院A AP PP P医医生生患患者者互互联联网网医医院院A AP PP P密码服务手手机机盾盾密密码码服服务务平平台台服服务务器器密密码码机机C CA A系系统统业业务务系系统统互互联联网网医医院院平平台

22、台数 观 天 下资料来源于互联网 数数据据加加密密-重重要要数数据据存存储储加加密密医院信息系统数据越来越重要，而且使用起来越来越方便快捷，这些数据是整个医院信息系统运行的基础，是医院的重要资产，这也涉及到非常多的敏感数据，应成为医院重点保护的对象 场场景景：1、重要业务数据：访访问问控控制制信信息息、日日志志信信息息、个个人人隐隐私私信信息息、重重要要业业务务信信息息等加密存储2、大数据共享交互保护数 观 天 下资料来源于互联网 密密码码应应用用方方案案整整体体框框架架安安全全密密码码云云公公共共服服务务平平台台为为信信息息化化安安全全合合规规建建设设搭搭建建好好安安全全可可控控、云云网网融

23、融一一的的安安全全基基座座为为智智慧慧城城市市、数数字字社社会会和和数数字字经经济济的的信信息息安安全全建建设设保保驾驾护护航航 发发展展展展望望 密码是网络安全的核心支撑，是解决智慧医疗安全问题最经济、最直接、最有效的手段，可以实现从离散被动防御向整体主动免疫的根本转变。随着国家标准化发展纲要的贯彻落实、随着密码应用安全性评估工作逐步推进，依据国家标准，科学严谨的使用密码，也将开创整个医疗卫生行业密码技术应用的新局面。2023年是全面贯彻落实党的二十大精神的开局之年，也是实施“十四五”规划承前启后的关键一年。密码应用建设仍将是医疗行业的重要工作内容，在行业安全现状的背景下，产业引导政策陆续出

24、台，市场需求不断增加，从而刺激了医疗行业商用密码产业发展。医疗机构需要做的是：深入了解密码应用面临的风险点，并对这些关键风险点进行分析，借助和利用最新的技术、方法，形成完整、行之有效的安全防护能力。数 观 天 下懂甲方的商用密码咨询媒体数数观观天天下下公公众众号号合合作作事事宜宜、定定制制需需求求请请联联系系市市场场人人员员洽洽谈谈市市场场负负责责人人数数观观天天下下视视频频号号以上内容仅供参考，禁止他用及传播群内每日免费分享5份+最新资料300T网盘资源+40万份行业报告为您的创业、职场、商业、投资、亲子、网赚、艺术、健身、心理、个人成长 全面赋能！添加微信：Max10246Max10246关注公众号获取更多资料备注“入群”立刻免费领取200套知识地图+最新研报致终身学习者社群行业报告/思维导图/电子书/资讯情报收钱文案、增长黑客、产品运营、品牌企划、营销战略、办公软件、会计财务、广告设计、摄影修图、视频剪辑、直播带货、电商运营、投资理财、汽车房产、餐饮烹饪、职场经验、演讲口才、风水命理、心理思维、恋爱情趣、美妆护肤、健身瘦身、格斗搏击、漫画手绘、声乐训练、自媒体打造、效率软件工具、游戏影音、各种教程扫码先加好友，以备不时之需