医院等保测评是保障医疗信息系统安全的重要措施，其核心在于依据国家相关标准对医院信息系统的安全防护能力进行全面评估。医院等保测评范围覆盖核心业务系统、辅助系统及基础设施。具体包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，以及安全管理制度、机构、人员、建设和运维管理等。

　　一、医院等保测评范围

　　医院等保测评覆盖医院各类信息系统，包括但不限于：

　　核心业务系统：医院信息管理系统(HIS)、电子病历系统(EMR)、医学影像存储与传输系统(PACS)、检验信息系统(LIS)等。

　　辅助系统：门户网站、办公自动化系统等。

　　基础设施：机房物理环境、网络通信设备、安全设备等。

　　二、医院等保测评目标

　　合规性：确保医院信息系统符合国家《网络安全法》和《信息安全技术 网络安全等级保护基本要求》等法律法规和标准。

　　安全性：评估信息系统的安全防护能力，发现并修复安全漏洞，防范数据泄露、篡改和服务中断等风险。

　　持续改进：通过定期评测，推动医院持续优化安全策略和管理措施，提升信息系统的安全防护水平。

　　三、医院等保测评流程

　　1.定级备案：

　　医院需根据信息系统的业务重要性和安全需求，自主定级并书面论证。

　　由专家进行论证和审定，主管部门审批，并报公安机构备案审查，确定最终的安全保护等级。

　　二级或三级信息系统需在等级确定后的30日内，前往所在地设区的市级以上公安机关办理备案手续。

　　2.选择测评机构：

　　选择具备相应资质的第三方测评机构进行等级测评。

　　3.开展评测：

　　评测内容包括安全技术与管理等多个方面，涵盖物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等。

　　测评机构通过技术检测、文档审查、人员访谈等方式，全面评估信息系统的安全防护能力。

　　4.整改与复测：

　　根据评测报告中的发现，医院需规划整改方案并予以实施，包括修补系统漏洞、更新安全策略等。

　　整改完成后，可申请复测以验证整改效果。

　　5.持续监控与维护：

　　医院需持续进行系统的日常运维和安全监控，定期进行安全检查。

　　等级保护证书到期前，需重新进行等级测评和审批，以更新证书。

　　四、医院等保测评周期

　　二级系统：一般每两年至少进行一次等保测评。但涉及10万人以上个人信息的网络，应至少每三年开展一次;其他网络至少每五年开展一次。

　　三级系统：每年至少进行一次等保测评。

　　新建系统：上线运行前应进行安全性测试。

　　医院等保测评需全面覆盖技术与管理维度，确保信息系统符合国家安全标准。通过系统性评估，可识别并修复安全隐患，提升安全防护能力。医院应持续优化安全策略，强化人员培训，建立长效机制，保障医疗信息系统安全稳定运行。