近年来，国家不断深入推进2030健康中国战略，大力发展医疗领域信息化和健康大数据技术。互联互通建设是支撑这些工作的基石，其重要性不言而喻。加快建设脚步的同时，我们还要保证建设过程中产生信息的安全性，避免进行粗放式建设，而国家医疗健康信息互联互通标准化成熟度测评（以下简称：互联互通测评）就成为了促进和验证医院互联互通建设成果的一个良好的手段。从2012年国家卫生健康委启动互联互通测评工作开始，已经经历了十多年的发展，测评指标也随着技术的发展和测评实践的反馈进行了版本更迭，本文主要谈一谈随着国家和行业安全要求的逐年提升，在测评指标中安全要求到底发生了什么样的变化。互联互通的测评指标分为标准符合性指标和应用效果评价指标，应用效果评价指标中的4.2网络及网络安全情况和4.3信息安全情况是涉及安全建设的主要指标，分数占比从2017版的7分增长到2020版的9.6分（见表1）。单从分值上就可以看出安全方面的要求在逐渐加强。

表1 安全指标分数变动情况

一、网络及网络安全情况

1）细化了无线网覆盖率的要求。从原来笼统的五级乙等指标进行了类别划分，分为核心临床医疗业务环境（四级甲等）、医疗业务和管理业务环境（五级乙等）、多种类型的无线接入（五级甲等）三类，与实际业务发展情况和相应级别的医院建设情况更加贴切。无线网的覆盖要紧跟业务需求，不能盲目扩张浪费，而且要做好无线网接入的边界管理。

2）修改了对终端与服务器的要求。从考核网络区域划分更新为考核访问路径的安全性。这是一个三级指标，从目前医院普遍的建设情况来讲，属于比较容易实现的指标。这一项促进了通过VPN、堡垒机等设备进行相对安全的远程运维通道的落地。

3）增加了虚拟边界访问控制的要求。资源虚拟化或者云上部署是近年来医院系统部署逐渐采用的方式，因此，应设置严格的访问控制规则，实现不同云租户间虚拟网络的隔离以及同一云租户的不同等级系统间的隔离。指标级别未发生改变，依旧是三级。

4）增加了对新型和未知威胁发现能力的要求。在对恶意代码和防入侵方面，由原先的四级乙等指标，增加了对四级甲等的要求。四级甲等需要实现对新型和未知威胁的发现能力，这一般需要通过态势感知等来实现，这个要求的提出也是为了应对不断更新的入侵手段。

5）增加了对安全管理中心、可信以及运行监测的要求。这个指标是和等级保护测评内容相重合的，设置等级为四级乙等。这个指标进一步强调了对设备的集中管理和监控。

二、信息安全情况

1）明确了核心系统（包括平台）的三级等保要求。等保的要求在2020版方案中进行了明确，要求完成相关系统的定级备案并定期进行测评，提供最新的测评报告。

2）增加了应用系统的安全检查和应急演练要求。安全检查不能停顿在定期进行等保测评的水平，要形成定期的渗透、漏扫机制，并进行相应的整改，不能让系统带着高危漏洞运行。并且每年要落实一次应急演练。综上可见，互联互通中的安全要求在不断细化和加强，这都是为了应对日渐严峻的网络安全局势。业务的建设和发展要以安全为底线，除了践行等级保护测评等常规防护体系，还要在商用密码应用、日常安全评估、数据质量评估、应急体系建设、迁移适配等多个方面探索实践路径。通过监管方的监管、医院方的自律、开发方及运维方的支撑、测评方的检验，共同打造健康发展的医疗环境。

中国软件评测中心医疗测评业务简介

中国软件评测中心（工业和信息化部软件与集成电路促进中心）成立于1990年，是工业和信息化部直属事业单位，中国最早从事民口和军工国家质量基础设施建设的第三方权威机构。

中国软件评测中心医疗测评实验室作为业内知名的第三方检测团队，依托多年来在医疗卫生行业的测评经验及案例积累，深度参与国家医疗信息互联互通标准化成熟度测评工作，多年持续探索医疗卫生信息化相关标准测试的方法论和实现路径，利用测试手段验证信息化软件产品或信息系统标准符合性及信息安全性，同时提供互联互通测评个性化咨询指导服务，为我国医疗信息化建设保驾护航，贡献出一份坚实的力量。

业务类型