重磅！首部醫(yī)院網(wǎng)絡(luò)安全運(yùn)營(yíng)評(píng)估指南發(fā)布，新華三助力智慧醫(yī)院安全建設(shè)

近日，中國(guó)醫(yī)院信息網(wǎng)絡(luò)大會(huì)暨醫(yī)療信息技術(shù)和產(chǎn)品展覽會(huì)(CHIMA 2025)正式對(duì)外發(fā)布《醫(yī)院網(wǎng)絡(luò)安全運(yùn)營(yíng)能力成熟度評(píng)估指南》(試行版)(以下簡(jiǎn)稱“指南”)，紫光股份旗下新華三集團(tuán)參與指南編制，分享自身在醫(yī)療行業(yè)的安全體系建設(shè)思路和實(shí)踐經(jīng)驗(yàn)，以及基于全棧安全能力創(chuàng)新推出的“安全即服務(wù)”運(yùn)營(yíng)模式。這部首個(gè)醫(yī)院網(wǎng)絡(luò)安全 “體檢標(biāo)準(zhǔn)” 的問世，標(biāo)志著醫(yī)院網(wǎng)絡(luò)安全運(yùn)營(yíng)建設(shè)進(jìn)入 “評(píng)估引導(dǎo)改進(jìn)” 的新階段。

從開題到發(fā)布

新華三聚焦醫(yī)院安全痛點(diǎn)

以專業(yè)賦能安全評(píng)估指南編寫

2024年，由中國(guó)醫(yī)院協(xié)會(huì)信息專業(yè)委員會(huì)(CHIMA)牽頭，南昌大學(xué)第一附屬醫(yī)院作為主編寫單位，聯(lián)合新華三集團(tuán)及全國(guó)十余家三甲醫(yī)院信息化專家共同啟動(dòng)了指南的編制工作。

作為參與并具備醫(yī)療行業(yè)安全服務(wù)能力的企業(yè)，新華三集團(tuán)在開題會(huì)上圍繞醫(yī)院網(wǎng)絡(luò)安全運(yùn)營(yíng)建設(shè) “工作看不清、做哪些工作、重心在哪里、如何跟蹤閉環(huán)” 等痛點(diǎn)問題提出建設(shè)性意見，并推動(dòng)指南聚焦 “制度流程、技術(shù)工具、人員組織、工作執(zhí)行” 四大運(yùn)營(yíng)能力為核心的安全評(píng)估體系建設(shè)，助力構(gòu)建符合醫(yī)院業(yè)務(wù)場(chǎng)景的網(wǎng)絡(luò)安全運(yùn)營(yíng)能力成熟度模型。

新華三集團(tuán)高級(jí)副總裁、新華三信息安全技術(shù)有限公司總裁孫松兒出席指南發(fā)布儀式并表示：“醫(yī)院網(wǎng)絡(luò)安全是智慧醫(yī)院建設(shè)的核心底座。新華三依托在網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)積累與行業(yè)實(shí)踐，將攻防實(shí)戰(zhàn)經(jīng)驗(yàn)、自動(dòng)化工具能力與醫(yī)院業(yè)務(wù)需求深度融合，助力指南成為兼具專業(yè)性與落地性的行業(yè)標(biāo)準(zhǔn)。”

新華三集團(tuán)高級(jí)副總裁、新華三信息安全技術(shù)有限公司總裁孫松兒(左三)參與指南發(fā)布儀式

“6+4+5”三維成熟度模型

明確安全進(jìn)階路徑

構(gòu)建醫(yī)院安全運(yùn)營(yíng)評(píng)估體系

網(wǎng)絡(luò)安全運(yùn)營(yíng)成熟度評(píng)估通過構(gòu)建“過程域-能力域-層級(jí)域”三維框架，形成了一個(gè)覆蓋安全運(yùn)營(yíng)全生命周期的動(dòng)態(tài)演進(jìn)體系，持續(xù)推動(dòng)醫(yī)院安全運(yùn)營(yíng)能力從初始級(jí)(L1)向持續(xù)優(yōu)化級(jí)(L5)進(jìn)化，最終實(shí)現(xiàn)安全效能與核心能力的協(xié)同提升。

1、安全運(yùn)營(yíng)能力成熟度過程域：六類工作，明確網(wǎng)絡(luò)安全運(yùn)營(yíng)全集工作

指南基于政策法規(guī)、國(guó)家標(biāo)準(zhǔn)等要求梳理，引用新華三ASO主動(dòng)安全運(yùn)營(yíng)IPDRV-M模型，涵蓋從風(fēng)險(xiǎn)預(yù)測(cè)、主動(dòng)防御、深度監(jiān)測(cè)、響應(yīng)恢復(fù)、模擬驗(yàn)證、運(yùn)營(yíng)管理六類工作，針對(duì)不同階段的安全運(yùn)營(yíng)工作項(xiàng)進(jìn)行有效管理和執(zhí)行。

2、安全運(yùn)營(yíng)能力成熟度能力域：四大能力，明確安全運(yùn)營(yíng)關(guān)鍵要點(diǎn)

指南對(duì)安全運(yùn)營(yíng)所應(yīng)具備的安全能力進(jìn)行分類界定，它明確了被評(píng)估者的關(guān)鍵能力要素，包括組織人員、技術(shù)工具、制度流程、工作執(zhí)行，為評(píng)估者提供安全運(yùn)營(yíng)關(guān)鍵能力的優(yōu)勢(shì)和不足情況評(píng)估。

● 人員組織專業(yè)性：打造復(fù)合型安全團(tuán)隊(duì)

針對(duì)安全人才短缺問題，指南提出 “組織人員” 能力域，對(duì)安全人員能力進(jìn)行分級(jí)定義，如 L3 級(jí)要求安全人員具備滲透測(cè)試、代碼審計(jì)能力，L5 級(jí)則需安全人員掌握 AI 驅(qū)動(dòng)的威脅分析技術(shù)，推動(dòng)醫(yī)院從依賴外部支持向自主安全能力建設(shè)轉(zhuǎn)型。

● 技術(shù)工具完備性：構(gòu)建主動(dòng)防御能力

在技術(shù)工具層面，指南強(qiáng)調(diào) “技術(shù)工具” 能力域的重要性，涵蓋資產(chǎn)管理平臺(tái)、漏洞掃描工具、安全運(yùn)營(yíng)中心(SOC)等核心組件。例如，L4 級(jí)要求部署自動(dòng)化滲透測(cè)試工具，實(shí)現(xiàn)對(duì)核心業(yè)務(wù)系統(tǒng)的批量安全檢測(cè);L5 級(jí)提出引入 AI 大模型實(shí)現(xiàn)資產(chǎn)自動(dòng)探測(cè)與風(fēng)險(xiǎn)智能預(yù)警，推動(dòng)安全技術(shù)從 “單點(diǎn)防護(hù)” 向 “體系化聯(lián)動(dòng)” 升級(jí)。

● 制度流程規(guī)范性：建立制度流程閉環(huán)

指南圍繞風(fēng)險(xiǎn)預(yù)測(cè)、主動(dòng)防御、深度監(jiān)測(cè)、響應(yīng)恢復(fù)、模擬驗(yàn)證、運(yùn)營(yíng)管理六大過程域，要求醫(yī)院建立覆蓋資產(chǎn)全生命周期管理、漏洞閉環(huán)、應(yīng)急響應(yīng)等關(guān)鍵環(huán)節(jié)的制度體系。例如，在 “風(fēng)險(xiǎn)預(yù)測(cè)” 過程域中，明確資產(chǎn)變更審核需形成標(biāo)準(zhǔn)化流程，重大資產(chǎn)變更需進(jìn)行安全影響評(píng)估并記錄備案，確保管理動(dòng)作可追溯、可復(fù)用。

● 工作執(zhí)行標(biāo)準(zhǔn)化：明確的工作執(zhí)行標(biāo)準(zhǔn)

相較于其他成熟度模型來講，指南不僅僅停留在建設(shè)層面，新增對(duì)工作執(zhí)行結(jié)果的評(píng)估，以此來反饋實(shí)際工作效果，包括根據(jù)不同的安全工作內(nèi)容，確定合理的執(zhí)行頻次，確保安全工作符合醫(yī)院的網(wǎng)絡(luò)環(huán)境情況和組織架構(gòu)情況。

3、安全運(yùn)營(yíng)能力成熟度層級(jí)域：五大層級(jí)，建立動(dòng)態(tài)運(yùn)營(yíng)優(yōu)化機(jī)制

指南設(shè)置五級(jí)成熟度層級(jí)(L1 初始級(jí)至 L5 持續(xù)改進(jìn)級(jí))，為醫(yī)院提供清晰的進(jìn)階標(biāo)尺。例如，二級(jí)醫(yī)院需達(dá)到 L1-L2 級(jí)，重點(diǎn)完成基礎(chǔ)安全設(shè)備部署與基礎(chǔ)安全工作;三甲醫(yī)院需實(shí)現(xiàn) L3-L4 級(jí)，構(gòu)建覆蓋 “風(fēng)險(xiǎn)發(fā)現(xiàn) - 威脅評(píng)估 - 處置閉環(huán)” 的量化管理體系;區(qū)域醫(yī)療中心則需邁向 L5 級(jí)，通過持續(xù)引入新技術(shù)(如區(qū)塊鏈數(shù)據(jù)防篡改、零信任架構(gòu))實(shí)現(xiàn)安全能力迭代。

從開題到發(fā)布，從標(biāo)準(zhǔn)制定到實(shí)戰(zhàn)落地，《醫(yī)院網(wǎng)絡(luò)安全運(yùn)營(yíng)能力成熟度評(píng)估指南》的誕生標(biāo)志著醫(yī)院網(wǎng)絡(luò)安全運(yùn)營(yíng)進(jìn)入“體系化建設(shè)、科學(xué)化評(píng)估、持續(xù)化改進(jìn)”的新階段。展望未來，新華三集團(tuán)將繼續(xù)以技術(shù)賦能行業(yè)標(biāo)準(zhǔn)，以實(shí)踐反哺指南完善，推動(dòng)醫(yī)院逐步實(shí)現(xiàn)從 “被動(dòng)防御” 到 “主動(dòng)安全” 的安全能力躍升，為醫(yī)院網(wǎng)絡(luò)安全健康穩(wěn)健發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。

（來源：新華三）