2023医疗行业商密解读分析报告

2023年2月 数观天下 团队介绍 下 初心不忘共成长凝心聚力谱新篇 天 观 数观天下是致力于服务中国商用密码领域的卓越品牌和专业性分析媒体，以赋能商用密码领域实现更高成就为使命，连接和服务各大企业、机构投资者、地方政府、个人用户等商密行业内社群，推动商密行业快速、稳健、可持续地向前发展。 数观天下团队在安全领域深耕多年，对商用密码行业发展有深入研究，拥有来自东软、启明、信安世纪等商密领域专家团队、行业分析团队及资深媒体团队。 数 长远落实商用密码领域关于技术、产品、市场及应用方面的交流 目标活动，成为最懂甲方的商用密码行业咨询媒体。 政策背景医疗现状 目录 BUSINESSREPORT 技术应用发展展望 近年来，国家密集发布一系列医疗健康政策； 《健康中国2030规划刚要》把医疗健康提升到了国家战略层面； 远程医疗、区域协同、分级诊疗、互联网+医疗健康的概念初步成型。 社会环境 技术环境 《健康中国2030规划刚要》提出，到2030年，我国健康服务业总规模达到16万亿元，GDP的比重达到6.5%~7%，行业发展空间巨大； 近几年，大健康产业的多个细分领域受到资本关注。 疫情刺激国民健康意识提升； 我国人口老龄化现象日趋严重、居民疾病谱变化，慢性非传染病患者逐年增长； 我国居民收入增长、环境污染、遗传、生活习惯等因素影响，民众的健康医疗需求持续攀升 基因测序技术、3D打印技术、免疫疗法、人工智能、虚拟现实技术、生物芯片、大数据、云计算等技术逐步发展并在医疗健康行业中开展应用； 技术的变革有望提升医疗服务水平，提高医疗资源供给与使用效率，将有效赋能大健康产业。 天 下 数 观 政策环境 经济环境 数 天 下 观 自2021年以来，国家卫健委等部门出台《公立医院高质量发展促进行动（2021-2025年）》、《公立医院运营管理信息化功能指引》、《关于印发公立医院高质量发展评价指标（试行）的通知》等一系列政策，将信息化作为医院基本建设的优先领域，以电子病历、互联互通、智慧服务、智慧管理为代表的医疗信息化评级体系正式确立。目前，智慧医院建设已经成为公立医院高质量发展的重要评级标准。“以评促建”的要求和力度不断加大，将持续带动行业增长。 评测指标 认证机构 评审方案 等级 具体内容 互联互通（医院信息互联互通标准化成熟度测评） 国家卫健委统计信息中心 国家医疗健康信息互联互通标准化成熟度测评方案（2020年版） 七个等级 一级、二级、三级、四级乙等、四级甲等、五级乙等、五级甲等 测评指标包括：数据集标准化情况、共享文档标准化情况、技术架构情况、互联互通交互服务情况、平台运行性能情况、硬件基础设施情况、网络及网络安全情况等 电子病历评级 （电子病历系统应用水平） 国家卫健委医院管理研究所 电子病历系统应用水平分级评价管理办法（试行）及评价标准（试行）（2018年） 0-8共九个等级 评价标准包含病房医师、病房护士、门诊医师、检查科室、检验处理、治疗信息处理，医疗保障、病历管理、电子病历基础、信息利用内容 智慧服务 （医院智慧服务分级评估） 国家卫健委 医院智慧服务分级评估标准体系（试行)（2019年） 0-5级共6级 对医院应用信息化为患者提供智慧服务的功能和患者感受到的效果两个方面进行评估，包括5大类、17个评估项目，涵盖诊疗预约、远程、支付、家庭医生、转诊、直教等一系列患者诊前、诊中、诊后及全程服务指标 智慧管理 （医院智慧管理分级评估） 国家卫健委医政医管局 医院智慧管理分级评估标准体系（试行）（2021年） 0-5级共6级 将医院管理业务划分为10大类角色，每一角色又细分出数项业务，共计33项评估项目 数 观 下 十四五全民健康信息化规划，部署八大重点任务，同时对商密应用提出要求。2022年11月7日，国家卫生健康委、国家中医药 天 局、国家疾控局下发了《“十四五”全民健康信息化规划》。提出“十四五”期间的总体目标：到2025年，初步建设形成统一权威、互联互通的全民健康信息平台支撑保障体系，基本实现公立医疗卫生机构与全民健康信息平台联通全覆盖。 主要任务 优先行动 一是集约建设信息化基础设施支撑体系 一是互通共享三年攻坚行动 二是健全全民健康信息化标准体系 二是健康中国建设（行动）支撑行动 三是深化“互联网+医疗健康”服务体系 三是智慧医院建设示范行动 四是完善健康医疗大数据资源要素体系 四是重点人群智能服务行动 五是推进数字健康融合创新发展体系 五是药品供应保障智慧监测应对行动 六是拓展基层信息化保障服务体系 六是数字公卫能力提升行动 七是强化卫生健康统计调查分析应用体系 七是“互联网+中医药健康服务”行动 八是夯实网络与数据安全保障体系 八是数据安全能力提升行动 在严格落实网络安全等级保护制度及商用密码应用等基础安全保障制度的基础上，以关键信息基础设施安全为重点，落实数据出境安全管理制度，加强医疗设备相关网络和数据安全监管，全面落实网络安全管理要求。 构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范，全面推广商用密码应用，完善卫生健康行业商用密码应用体系。 密码应用建设相关要求 ▪健康医疗数据安全指南 文件共享：宜采用密码技术保障数据完整性和可追溯性； API接入：宜采用密码技术保障数据完整性和可追溯性；宜采用校验技术或密码技术保证通信过程中的数据完整性，并通过加密等方式保证数据 在传输过程中的保密性，加密技术的选择宜考虑应用场景、数据规模、效率要求等方面； 在线查询：宜采用校验技术或密码技术保证通信过程中的数据完整性，并通过加密等方式保证数据在传输过程中的保密性，加密技术的选择宜考虑应用场景、数据规模、效率要求等方面... 构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范，全面推广商用密码应用，完善卫生健康行业商用密码应用体系。 各级医疗卫生机构应按照《密码法》等有关法律法规和密码应用相关标准规范，在网络建设过程中同步规划、同步建设、同步运行密码保护措施， 使用符合相关要求的密码产品和服务。 各医疗卫生机构应保障开展网络安全等级从测评、风险评估、攻防演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运维、教育培训等经费投入。 天 下 ▪医疗卫生机构网络安全管理办法 请各省（区、市）及新疆生产建设兵团卫生健康委督促所辖卫生健康网络与信息系统运营者按照法律、法规、规章和国家有关规定，同步规划、同步建设、同步运行商用密码保障系统。规范开展密评工作。各所镇卫生健康网路与信息系统运营由切实按照属地索码管理部门要求开展密评工作。 请各省（区、市）及新疆生产建设兵团卫生健康委逐级督促市、县两级卫生健康行政管理部门指导各所辖卫生健康网络与信息系统运营者切实按照属地密码管理部门要求开展密评工作。 请委机关各司局、各直属和联系单位、中国老龄协会按照法律、法规、规章和国家有关规定，规范组织开展本司局、本单位运营的网络与信息系统的密评工作。 数 观 ▪商用密码应用安全性评估结果备案工作的要求 《商用密码管理条例》 突出对关键信息基础设施及网络安全等级保护三级以上信息系统的密码应用监管，实施商用密码应用安全性评估和安全审查。 《中华人民共和国网络安全法》 网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 《政务信息系统政府采购管理暂行办法》 规定：“采购需求应当落实国家密码 天 管理相关规定，同步规划、同步建设、同步运行并定期评估；政务信息系统验收应当包括密码应用和安全审查情况。” 国家政务信息化项目建设管理办法 下 明确了密码保障体系建设“三同步一评估”的要求，指出不符合密码应用和网络安全要求的信息系统不予审批及安全维护经费。 数 《信息安全等级保护商用密码管理办法实施意见》 《关键信息基础设施安全保护 观 条例（征求意见稿）》 《网络安全等级保护条例》& 《信息系统密码应用基本要求》 强化网络安全等级保护中的密码 《中华人民共和国密码法》 法律、行政法规和国家有关规定要 规定“第三级及以上信息系统的商用密码应用系统建设 方案应当通过密码管理部门组织的评审后方可实施”，规定“三级及以上系统通过密码管理部门的密码测评后 方可投入运行”。这些制度明确了信息安全等级三级及以上系统的商用密码应用要求 第五十三条：关键信息基础设施中的密码使用和管理，还应当遵守密码法律、行政法规的规定。 应用和密码管理。开展商用密码应用安全性评估，确保新建网络和信息系统密码应用的合规性、 正确性和有效性 求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商 用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。 下 国产密码作为保障我国网络安全的关键核心技术，是信息化发展的安全基因，也是推动我国数字经济高质量发展，构建网络强国的基础支撑，在相关法规政策驱动下，国产密码产业的发展正进入加入发展期。 天 观 《国家安全法》：国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。 数 《网络安全法》：对网络运营者应该履行的义务提出了要求，维护网络数据的完整性、保密性、真实性和不可否认性，需要发挥密码技术的核心支撑作用等。 《密码法》：明确密码分类管理，支持推进商用密码应用创新和产业发展，有关信息系统“同步规划、同步建设、同步运营，定期评估”等。 《数据安全法》、《个人信息保护法》、 《关键基础设施安全保护条例》等。 密码法第三十七条 关键信息基础设施的运营者违反本法第二十七 条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。 国办发57号文第二十八条 加强国家政务信息化项目建设投资和运行维护 经费协同联动...对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。 数据安全法第四十五条 拒不改正或者造成大量数据泄露等严重后果的， 处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 天 下 观 我国的医疗健康体系主要包括医疗机构、医药、医保三类，其监管部门分别为国家及各地卫生健康委员会、国家药品监督管理局和国家医疗保障局。医疗机构主要包括各级别的医院、基层医疗机构、公共卫生机构、医联体等。医疗信息化指医疗服务的数字化、网络化、信息化，狭义上的医疗信息化包括医院管理信息化、临床管理信息化和区域信息化;广义上的医疗信息化还应包括医保信息化和药品流通信息化。 数 资料来源于数说安全 天 下 观 数 资料来源于数说安全 天 下 观 12 数 数据来源于赛门铁克 天 下 观 数 资料来源于数说安全 下 病例书写电子报告患者签署临床科研移动医疗数据存储数据访问 密身份认证 可信身份管理 码应 授权管理责任认定数据加密完整性保护访问控制 存储安全 传输安全 可靠电子签名 天 密 用可信身份 政 可信数据码 应 观 策身份认证服务 管 理数据脱敏服务 数 与技 数字签名服务数据加密服务 电子签章服务数字证书服务密码服务 时间戳服务数据传输加密 用 服务 手写签名服务数据访问控制运 服务 维 体 保障 术签名验签服务 标 系统 手写数字签名 准系统 体 系 时间戳服务 系统 生物识别数字签名系统 电子签章系统服务器密码机 密码产品 安全认证网关 移动数字签名系统 数