2023中国智慧医院研究报告:医院信息与网络安全篇 亿欧智库https://www.iyiou.com/researchCopyrightreservedtoEOIntelligence,June2023 目录 CONTENTS 中国医院信息与网络安全研究背景 01 1.1信息与网络安全宏观政策分析 1.2医院信息与网络安全发展背景 1.3医院信息与网络安全研究范围 1.4提升医院信息与网络安全的实现路径 1.5医院信息与网络安全细分领域市场规模 02 中国医院信息与网络安全发展现状 2.1医院信息与网络安全企业图谱 2.2医院系统安全现状 2.3医院数据安全现状 2.4医院云安全现状 2.5企业案例展示 03 中国医院信息与网络安全发展趋势洞察 01中国医院信息与网络安全研究背景 1.1信息与网络安全宏观政策分析 1.2医院信息与网络安全发展背景 1.3医院信息与网络安全研究范围 1.4提升医院信息与网络安全的实现路径 1.5医院信息与网络安全细分领域市场规模 目录 CONTENTS 中国医院信息与网络安全发展现状 02 2.1医院信息与网络安全企业图谱 2.2医院系统安全现状 2.3医院数据安全现状 2.4医院云安全现状 2.5企业案例展示 03 中国医院信息与网络安全发展趋势洞察 1.1国家始终高度重视网络安全问题,二十大的顺利召开揭示其已达到国家战略层面 “十二五”期间,中国颁布《国家安全法》,安全一词首次与国家生存发展联系起来,此后的“十三五”和“十四五”时期,国家先后出台并实施了《网络安全法》、《密码法》、《民法典》、《数据安全法》、《个人信息保护法》,“五法一典”构成了中国信息与网络安全的法律法规体系。由此可见,中国政府在网络安全的问题上始终保持高度重视,网络安全是国家安全的重要组成部分。 2022年10月,二十大在北京召开,紧紧围绕发展和安全两件大事,其中安全一词被提及91次,网络安全保障体系建设成为健全国家安全体系的重点任务之一,深刻表明网络安全已经达到国家战略层面。 亿欧智库:信息与网络安全相关法律法规 《国家安全法》:建设网络与信息安全保障体系,提升网络与信息安全保护能力;加强网络管理,防范、制止网络攻击、网络入侵等网络违法犯罪行为 《网络安全法》:加强网络安全管理,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改等行为;防止信息泄露、毁损、丢失 《密码法》:技术性、专业性较强的专门法律。密码作为网络与信息安全的核心保障技术和基础支撑,密码合规是企业网络安全与数据合规工作中不可或缺的部分 《民法典》:为我国未来个人信息保护法及数据保护的法律体系构建。不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息 《数据安全法》:任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。开展数据处理活动应当加强风险监测 《个人信息保护法》:为数据安全法原则在个人信息保护领域的延申,在国家层面建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为 二十大报告指出在健全国家安全体系任务中,网络安全保障体系建设是重点任务之一,加快建设网络强国,健全网络综合治理体系,推动形成良好网络生态。同时最高院、最高检发声将促进数字经济、平台经济规范健康发展;推动健全大数据、人工智能、基因技术等领域知识产权的保护规则。相关代表们则表示数字技术“双刃剑”效应不断增强,成为诱发安全隐患的主要原因,需加强维护网信安全的职责使命,强化关键核心技术攻关 1.2.1智慧医联体开始建立,医院信息化方面的投入金额持续上升,信息化建设不断深入 2023年2月国家卫健委和发改委等六部门联合发布《关于开展紧密型城市医疗集团建设试点工作的通知》,再次驱动中国智慧医院的发展,标志着 中国开始探索建立智慧医联体,从单个医院的信息化整体架构设计和建设走向区域医疗的信息化,同时网络安全也成为重点工作之一。 据CHIMA统计数据显示,2021-2022年度12.3%的受访医院在信息化方面投入2000万元以上,11.7%的医院投入低于50万元,比2018-2019年度分别增加75.7%和减少42.4%,凸显中国医院对信息化方面的投入愈发重视,各医院结合预算情况加大投入金额。在信息化投入预算占总预算比例方面,不同等级的医院存在明显差异,中国三级医院整体投入占比高于三级以下医院,其中,4%的三级医院投入占比达到5%以上,接近30%的三级医院投入占比1%以上,而三级以下医院对此的比例分别为2.7%和23.6%,超过50%的三级以下医院投入占比为0.2%以下。 亿欧智库:2018-2022年中国医院(%)在信息化方面投入不同年度对比 >2000万500-2000万50-500万<=50万未知 亿欧智库:2021-2022年度中国医院(%)信息化投入预算占总预算比例 45.1% 30.0% 45.1% 33.7% 49.0% 23.7% 7.0% 7.8%12.3% 20.3% 12.4% 11.7% 0.0%1.2%0.9% 三级医院 三级以下医院 31.6% 29.4% 18.4% 22.0% 18.8%18.9 15.6 13.3% 9.2 6.1% 5.6% 4.0%2.7%4.7% % 2018-2019年度 2019-2020年度 2021-2022年度 >5%2-5%(含)1-2%(含)0.2-1%(含)0.1- 0.2%(含) <=0.1%未知 1.2.2医疗机构网络安全事件频发,《医疗卫生机构网络安全管理办法》出台 医疗机构在信息化建设的不断深入中以及凭借其数据的高价值性和系统的脆弱性,一直频繁受到网络攻击,2021年针对全球医疗机构的勒索软件攻击在达到了166起,造成数百亿美元的损失,同时,据相关数据显示,黑客曾对医疗行业的暴露破解达到了单日80万次的高峰,因此,加强医疗机构的网络安全管理已经可不容缓。 在中国,2022年8月,卫健委等三部门为指导医疗卫生机构加强网络安全管理颁布《医疗卫生机构网络安全管理办法》,成为卫健委首个具体的医疗网络安全管理办法,其中提到需要保证医疗行业信息系统建设时安全保护措施同步规划、同步建设和同步使用,该管理办法将大力推动中国医疗行业信息与网络安全的发展。 2019年1月 2019年5月 2019年12月 2020年4月 亿欧智库:中国医疗机构网络安全事件举例 中国医疗行业监管政策:《医疗卫生机构网络安全管理办法》 虽出台相关管理办法,但行业整体的网络安全规范尚未形成体系,医疗作为“十四 五“国家重点关注的行业之一,卫健委预计将会加强医疗行业的网络安全标准建设。 随着高质量发展纵深推进,全国卫生健康领域迎来重要机遇期,信息化发挥着关键的支撑作用,医疗健康数据不仅是重要的生产要素,更是国家基础性战略资源,而该数据一旦遭到篡改和泄露,对医疗机构和患者都会带来极大的负面影响。《办法》的出台为医疗卫生机构指明了网络安全管理的总方向,防范网络安全事件发生,体现了统筹安全与发展的总体平衡。 出台背景 河南安阳市某医院业务系统被攻击破坏 因未履行网络安全保护义务,造成业务系统被攻击破坏,正常工作无法开展。 重庆永川某私立医院业务全面“停摆” 围绕顶层设计在整体网络安全体系的基础上,依据数据的特性建构网络和数据安全顶层设计,落实安全责任分工,明确数据管理部门、业务部门、信息化部门在网络和数据安全管理工作中的权责。 要点总结 围绕制度保障明确医疗卫生机构应建立健全安全管理制度、操作规程及技术规范,保障数据安全和数据应用的有效平衡,在实际运用中,应将总体安全策略拆解到具体安全管理要求,并通过安全技术实现管理要求,最终融入对应到安全运营体系中,形成融合管理、技术、运营三位一体的立体化网络安全管理模式。 未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使医院业务在互联网上长期处于为保护状态。黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。 山西省忻州市某医院未履行网络安全等级保护制度 该医院网络安全意识淡薄,未确定网络安全责任人,未制定网络安全应急事件预案,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。 青岛胶州某医院患者就诊名单泄露 泄露信息包括患者姓名、电话、身份证号码、个人详细居住地址、 就诊类型等,共涉及上千人。 1.3医院信息与网络安全研究范围 医院医疗设备和信息设备种类繁多,各类业务系统(HIS、LIS、PACS等)和人员构成也相对复杂,因此医院信息与网络安全面临诸多隐患,常见 的医院网络攻击方式包括网络钓鱼、勒索攻击、挖矿病毒、数据泄露等。 亿欧智库认为,医院信息与网络安全分为系统安全、数据安全和云安全三个方面。 亿欧智库:医院信息与网络安全研究范围 自主可控是实现医院信息与网络安全的手段,而国产化替代是自主可控的关键路径 医院信息与网络安全 *信创与国产化替代的关联:国产化替代是信创背后的核心逻辑,而信创相比国产化替代多了技术或应用上的突破与创新,本报告将主要关注国产化替换阶段过程中的医院信息与网络安全 系统安全 构建医院信息化建设中的网络安全体系,涉及基础软硬件和网络安全产品包括态势感知和各类安全服务,目的是用来预防网络遭受攻击 数据安全 保护数据在全生命周期中的各个环节免遭内部的外部威胁,防止数据泄露 云安全 医院上云后,需要负责医院云平台中各个系统和数据的安全 院内应用 数据在院内各科室各信息系统之间共享传输的安全 院外应用 医院数据开放后在医院之间和各企业之间共享传输的安全 1.4.1“十四五”相关规划和地方政策驱动医院IT系统国产化替代的进程 在中国国产化替代的进程中,目前已经进入到软件、硬件联动,系统全面升级的阶段,国产化替代也意味着中国IT行业的发展战略调整为自主可控 取代借力发展。 “十四五”期间,国务院、卫健委等部门陆续发布《“十四五”数字经济发展规划》、《“十四五”国家信息化规划》和《“十四五”全民健康信息规划》等相关规划,皆在明确利用国产化替代来加速赋能数字化发展,构建数字中国。 2023年是中国信创的第四年,重点行业升级成为重中之重。医疗行业国产化替代速度远不及党政、金融、电力等行业,但2022年下半年起,随着各地逐步响应“十四五”相关规划,规定医院禁止采购进口设备的政策陆续出台,大力支持国产系统自主创新、自主研发,从而推动智慧医院网络安全关键技术发展。 《“十四五”数字经济发展规划》2021年12月 着力提升基础软硬件、核心电子元器件、关键基础材料和生产装备的供给水平,强化关键产品自给保障能力;加强面向多元化应用场景的技术融合和产品创新,提升产业链关键环节竞争力;数字技术自主创新能力显著提升,数字化产品和服务供给质量大幅提高,产业核心竞争力明显增强,在部分领域形成全球领先优势。 亿欧智库:“十四五”相关规划梳理亿欧智库:地方政府陆续出台相关标准政策 安全可靠 《“十四五”国家信息化规划》2021年12月 十项重大任务中包括培育先进安全的数字产业体系、构建产业数字化转型发展体系和建立健全规范有序的数字化发展治理体系;到2025年,数字中国建设取得决定性进展,信息化发展水平大幅跃升,数字基础设施体系更加完备,数字技术创新体系基本形成。 自主可控 创新发展 提地方政府 振 市 《“十四五”全民健康信息规划》2022年11月 以引领支撑卫生健康事业高质量发展为主题,以数字化、网络化、智能化促进行业转型升级,重塑管理服务模式的体系框架;推动我国自主技术与全球同步发展,探索国际健康医疗发展合作新模式,不断提升我国全民健康信息化应用水平、产业核心竞争力和国际影响力。 场 信 深圳市 2022年9月,深圳政府明确公立医院设备采购必须优先国产,因工作需要确需采购进口产品的,实行审