2022年医疗行业网络安全报告
AI智能总结
2022年医疗行业网络安全报告 2023-1 数说安全研究院有限公司 关键经营数据分析——现金流健康度继续下降 医疗行业报告 •医疗行业信息化和政策概况 •医疗行业市场概况 •医疗行业供给侧分析 •总结 数说安全研究院 关键经营数据分析——现金流健康度继续下降 医疗行业概况 •研究主体 •医疗行业构成 •医疗行业信息化进程 •医疗行业网络安全政策环境 •医疗行业市场规模 •医疗行业需求简要分析 数说安全研究院 关键经营数据分析——现金流健康度继续下降 卫建委 医疗服务市场的整体秩序,医疗服务资质的合法合规,医疗质量及其安全性等 医院 基层医 疗 公共卫 生机构 医联体 其他医 疗机构 药监局 负责药品、医疗器械的监管 药企 医疗器 械 •研究主体 我国的医疗健康体系主要包括医疗机构、医药、医保三类,其监管部门分别为国家及各地卫生健康委员会、国家药品监督管理局和国家医疗保障局。医疗机构主要包括各级别的医院、基层医疗机构、公共卫生机构、医联体等。医疗信息化指医疗服务的数字化、网络化、信息化,狭义上的医疗信息化包括医院管理信息化、临床管理信息化和区域信息化;广义上的医疗信息化还应包括医保信息化和药品流通信息化。本报告主要探讨的是医疗机构和医保局信息化的进程及带来的网络安全的需求,医药信息化不在此报告讨论。 医保局 负责医保支付 各地医保局 数说安全研究院 关键经营数据分析——现金流健康度继续下降 •医疗机构构成 数据来源:卫生健康委网站 2021年末,全国医疗卫生机构总数1030935个,比上年增加8013个。其中:医院36570个,与上年相比,医院增加1176个,基层医疗卫生机构增加7754个。 医院中:三级医院3275个(其中:三级甲等医院1651个),与上年相比三级医院增加279家,三级甲等医院增加71家;二级医院10848个,一级医院12649个,未定级医院9798个。 专业公共卫生机构中:疾病预防控制中心3376个,卫生监督机构3010个,妇幼保健机构3032个。 疾病预防控制中心 卫生监督机构 妇幼保健机构 (3376个) (3010个) (3032个) •省级31个 •省级25个 •省级26个 •地(市)410个 •地(市)级315个 •地(市)级377个 •县(区、县级市)级2755个 •县(区、县级市)级2487个 •县(区、县级市)级2554个 数说安全研究院 关键经营数据分析——现金流健康度继续下降 •医疗行业信息化现状 我国信息化建设30余年,主要分为三个阶段: 1.0阶段:基础信息系统建设:我国医疗信息化起始于20世纪70年代,当时医院信息化建设以单机版为主,HIS系统应运而生,主要是简单的管理应用。随着网络技术和计算机技术的普及以及技术的成熟,医院信息化建设也逐渐从单机版向网络版发展,HIS系统以门诊、住院收费为基础,逐步扩展到收费管理、药品数据等。2010年掀起了HIS建设热潮,目前在全国范围内部署渗透率较高。21世纪初,我国医疗行业开始引进以患者为中心的CIS系统,自此信息化建设向临床信息化转移,主要包括EMR、PACS、LIS等诊疗系统,实现患者诊疗环节全部流程信息化,提升临床医疗效率。十二五期间,基础信息系统建设基本完成。 2.0阶段:区域医疗信息化:十三五期间,国务院推动分级诊疗建设,开始强调电子病历等核心医疗数据的共享。但是医疗信息化建设涵盖诸多子系统,每个系统都有不同的供应商,不同产品之间的数据端口和格式不统一,为了解决院内信息系统的互联互通和数据管理的问题,医院构建了信息集成平台和数据集成平台。随着互联网应用的深入,“互联网”+医疗健康发展迅猛,2019年开始智慧服务分级评估,二级以上公立医院建设互联网医院成为标配。2018年以来卫健委、医保局等部委出台了大量的医疗信息化政策,主要集中在电子病历升级、医联体建设、互联网诊疗、医保信息标准化和医保收费制度改革5个领域。 3.0阶段:智慧医疗服务:中国医疗信息化建设的最终目标是智慧医疗,由智慧医院、区域医疗和家庭健康构成的全方位、全覆盖应用场景广泛的医疗系统。 1.0 十二五期间,基础信息系统建设基本完成 2.0 3.0 十四五时期,建立智慧医疗雏形 智慧医疗服务 •智慧医院、区域医疗和家庭健康构成的全方位、全覆盖 的医疗系统 十三五期间,医疗子系统整合 管理信息化(HIS) •以HIS系统建设为主 •实现医院挂号、收费、出入院、药品和收费的管理。 临床医疗信息化(CIS) •以患者为中心的业务系统 •包括电子病历 (EMR)、影像系统 (PACS)、化验系统 (LIS)和手麻系统等 区域医疗信息化 (GMIS) •以电子病历为核心的互联互通; •互联网医院 •数据集成平台 •医联体建设 数说安全研究院 •医保信息化标准化 关键经营数据分析——现金流健康度继续下降 •医疗行业信息化现状 政策 十四五期间医疗行业信息化趋势 医院:院内系统:三位一体智慧医院建设,“以评促建”政策体系搭建完成 2018.12月《电子病历系统应用水平分级评价管理办法(试行)及评价标准(试行)》;2019.3月《医院智慧服务分级评估标准体系(试行)》;2020.8月《医院信息互联互通标准化成熟度测评方案》;2021.3月《医院智慧管理分级评估标准体系》 互联网+医疗健康配套文件完善 国务院指导文件:《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号》;卫健委配套文件:《互联网诊疗管理办法(试行)》和《互联网医院管理办法及标准(试行)》以及《远程医疗服务管理规范》,管理办法要求医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设施信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。 区域医疗:分级诊疗制度体系建设基本完成 •2017年8月国务院办公厅印发《关于推进医疗联合体建设和发展的指导意见》将我国医联体分为四种组织模式:城市医疗集团、县域医共体、专科联盟、远程医疗协作网。 •2019年《国家医学中心和国家区域医疗中心设置实施方案》,提出在全国建设高水平的国家医学中心和国家区域医疗中心,进一步完善医疗服务体系顶层设计,优化优质医疗资源布局,提升区域医疗服务保障能力,减少患者异地就医。 •2020年7月,《医疗联合体管理办法(试行)》,文件提出加快推进医联体建设,逐步实现医联体网格化布局管理, 并印发了《紧密型县域医疗卫生共同体建设评判标准和监测指标体系(试行)的通知》。 政策 医院:三位一体智慧医院建设,“以评促建”政策体系搭建完成 互联网+医疗健康:互联网+配套政策文件完善 区域医疗:分级诊疗制度体系建设基本完成 医保:支付改革目标已经确立 科技 云计算大数据物联网移动应用5G人工智能 医保支付改革 智慧医院 互联网+医疗健康 医共体 医联体 区域医疗 应用场景 扁 •2021年,《“十四五”优质高效医疗卫生服务体系建设实施方案》,提出2025年各地建设120个左右省级区域医疗中 域 心。区 疗 •自此我国分级诊疗制度体系建设逐渐完善,一是国家层面设置国家医学中心和国家区域医疗中心,建立国家、省、地医 市、县四级医疗卫生服务体系;二是,加强和规范医联体建设,推广远程医疗服务,深入开展城乡医院对口支援,特目 别是增强县级医院的综合服务能力。标 国家地方大型医院 市县二级医院 10%国家医学中心专家解决疑难杂症 40%病案管理:市县专科与综合医院大病医治 「50公里」 平到 医联体家 远程医疗 医共体立 医保局:支付改革目标已经确立 数说安全研究院 2021年10月国家医疗保障局《印发DRG/DIP支付方式改革三年行动计划的通知》国家医保局依托全国统一的医保信息平台制定DRG/DIP相关信息系统标准和规范。 基层社区中心 50%健康档案:社区专科与家庭医生体 签约服务慢病管理、康复护理「15分到 钟」位 关键经营数据分析——现金流健康度继续下降 •医疗行业网络安全建设政策背景 十二五期间,我国医疗机构基础信息系统基本建立,信息安全需求开始产生,原卫生部在等保1.0基础上发布等级保护指导意见,提出三级甲等医院的核心系统必须通过等保三级测评。 进入十三五期间,医疗行业信息化建设发展如火如荼,卫健委加强医院、基层医疗和公共卫生信息化规范建设,并在规范中对未来5-10年的信息安全建设提出建议与要求。 十三五期间医疗行业信息化建设规范已经初步形成,医疗行业网络安全规范尚未形成体系,滞后于信息化建设。十三五期间医疗行业网络安全主要围绕等保合规建设。 进入十四五时期,卫健委和医保局都提出了要加强网络安全和数据安全的指导意见,2022年8月29日,卫健委推出了医疗行业首个关于网络安全的管理办法,《医疗卫生机构网络安全管理办法》,其文件为医疗卫生机构网络安全管理提供了工作指南,对医疗行业网络安全和数据安全发展具有重要意义。 总体而言,十三五以来从国家对网络安全和数据安全逐渐重视,陆续推出多部法律使安全有法可依。相应地,医疗行业监管部门也陆续推出相应的管理办法促进医疗行业网络安全的发展,但整体而言,医疗行业的网络安全规范尚未形成体系,根据卫健委的十四五规划,预计十四五期间,卫健委会加强医疗行业网络安全和数据安全的标准建设。 “十二五”时期 (2011-2015) 国家层面: “十三五”时期(2016-2020)“十四五”时期(2021-2025) 国家层面: 国家层面: 2015年7月《国家安全法); 行业监管层面: 2007.公安部等四部门发布等保1.0管理办 法:为信息安全建设提供了框架标准的具体要求。 2011.卫生部《卫生行业信息安全等级保护工作的指导意见》:明确提出三级甲等医院的核心系统必须通过等保三级测评。 2017年6月1日,《网络安全法》正式开始施行; 2020年1月,《密码法》,开始实施; 行业监管层面:公安部: 2019.5公安部发布《信息安全技术网络安全等级保护基本要求》: 卫健委: 2018.4《全国医院信息化建设标准与规范(试行)》对二级及以上医院的数据中心安全、终端安 全、网络安全及容灾备份提出要求。 2018.9《国家健康医疗大数据标准、安全和服务管理办法(试行)》:明确责任单位应当落实网络安全等级保护制度要求,对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。2019.3《关于印发全国基层医疗卫生机构信息化建设标准与规范》明确了基层医疗卫生机构未来 5-10年信息化建设和信息安全的基本内容和要求。 2020.12《全国公共卫生信息化建设标准与规范》着眼未来5-10年全国公共卫生信息化建设,对信息安全提出要求。 2020.9《关于加强全民健康信息标准化体系建设的意见》完善加强推进对网络安全、数据安全、应用安全标准体系建设。 医保局: 2020.2《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》要求不断提升 信息化水平,同步做好互联网医保服务有关数据的网络安全工作,防止数据泄露。 2021年1月,《个人信息保护法》开始实施; 2021年9月,《数据安全法》正式实施; 2021年9月,《关键信息基础设施保护条例》; 2022年2月,《网络安全审查办法》; 行业监管层面:医保局: 2021.4《关于加强网络安全和数据保护工作的指导意见》 明确提出到2022年基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制,到“十四五”期末,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。 卫健委: 2022.1《“十四五”卫生健康标准化工作规划》强调健全 卫生健康信息标准体系,完善基础类、数据类、应用类、技术类、管理类、安全与隐私类等6类信息标准的制定。2022.8.《医疗卫生机构网络安全管理办法》是卫健委首个具体的医疗网络安全管理办法。 数说安全研究院 关
