在医疗行业中，目前APP小程序也需要进行办理等保，不仅要申请等级制度保护备案，还必须能够通过分析评估。目前,防疫和控制我们 这场突然的攻防战打乱了医疗信息资源的正常进行使用社会秩序，暴露了我国企业公共安全卫生事件的应急短板。在这个特殊的时期，医学信息已经成为传染病防控的有力助手，网络医学平台和大数据平台的使用加快了传播速度，这些平台通过实施网上免费诊所、医生直播等方式向公众展示。

等待保1.0时代，信息系统显然需要进行等级保护。 

但是，时代在变化，为了企业应对这种发展变化，等保1.0也升级影响到了等保2.0。随着互联网医疗平台和大数据平台的使用，越来越多的医疗数据存储在互联网上，给医疗行业带来了新的网络安全问题，加剧了医疗行业网络安全的复杂局面。 

等保2.0最明显的调整之一是等级保护对象范围的扩大，

医疗行业等级保护政策背景

面对医疗服务行业发展网络信息安全复杂严峻的形势，国家进行相关部门高度重视医疗行业的网络系统安全工作，相继出台了一系列政策法规，网络安全等级保护2018年7月，国家卫生健康委发布《国家卫生医疗大数据标准、安全和服务管理办法(试行)》，规定承载医疗大数据的平台必须分级保护，对卫生医疗大数据中心及相关信息系统进行分级、备案和评估。

2018年9月，国家卫健委发布《关于印发互联网诊疗技术管理工作办法（试行）等3个文件的通知》，要求学生开展互联网诊疗服务的医疗保险机构发展必须通过实施3级信息系统安全风险等级保护。

2019年11月，国家卫生健康委办公厅发布《关于制定国家呼吸医学中心和国家呼吸区域医疗中心标准的通知》。在信息化建设方面，医院核心业务系统满足国家信息安全等级保护体系三级要求。

从近两年国家颁布的政策法律法规制度可以看出，国家对互联网医疗、大数据进行医疗和医院区域经济中心的设置一个标准有明确的等级保护环境要求。 切实实施网络安全等级保护制度是医疗行业网络安全保障的基础。

不仅要保证信息系统，还必须保证网站、APP、小程序、公众号等。 一些行业还制定了标准，即如果不实行等级保护，网站、APP等就无法在线运行。

那么，小程序级的保护备案、评估该怎么办呢？ 等级保护一站式解决方案提供专家天磊咨询咨询为你指路：

一、医疗APP、小程序的等级保护备案申请

1.档案保管等小程序仍需评定第一等级(1-5等级) ，评定程序为: 评定对象初步评定专家评定主管部门评定公安局档案评定最终等级。

其中，专家由指定级别的目标受众运营、使用单位管理组织学生信息系统安全专家和企业业务专家，审查初步级别结果的合理性，发布专家审查意见。主管部门应当对指定等级对象的运营使用单位进行审查，并将初步等级结果报行业主管部门或者上级主管部门审查。

公安机关备案审查指定级对象的运营、使用一个单位可以按照国家相关企业管理制度规定，将初步级别结果报送公安机关人员进行备案审查。 审查不合格的，其运营使用单位应当重新排名组织。 通过考核，最终确定等级决定对象所属等级。

合理开展医疗APP、小程序系统分级备案工作

目前，医疗行业有两种必须尽快实施网络安全级别保护的系统。

1）是传统的核心业务系统，

2）是新建融合了各种新技术的信息系统。

 展开网络安全级别保护工作的第一步是对这些系统进行合理的分级。 中国管理软件进行评估中心网络信息安全教育中心整理了目前有关部门发表的意见。

2011年，还在等级保护1.0时代，原卫生部颁发的《卫生服务行业发展信息网络安全风险等级保护管理工作的指导教师意见》明确了以下重要卫生信息技术系统数据安全保护等级原则上在三级以上：

1、在跨省全国网络运行的信息系统，如卫生统计分析网络直报系统、传染性疾病报告管理系统、卫生监督企业信息技术报告系统、突发公共环境卫生事件应急指挥信息服务系统等；

2国家、省、地级市三级医疗卫生管理信息技术平台、新农合、卫生安全监督、妇幼保健等国家级数据研究中心；

3、三级甲等医院核心业务信息系统：

4 .卫生部网站系统

5 .其他企业信息进行安全管理技术专家委员会评定为三级以上（包括三级信息服务系统）。

此外，等级保护对象处理的信息、业务状态、系统服务范围发生变化。业务信息的安全性和系统服务的安全性受损后，对受害者和对象的损害程度有可能发生较大变化的，应当根据等保2.0标准重新确定等级保护对象和安全保护等级。

2、确定小程序安全保护等级后，可以将相关备案资料备交给公安机关办理等保备案。 备案资料主要为《信息进行系统网络安全等级保护备案表》，需要我们同时发展提供。

系统的拓扑结构和说明；

系统安全组织机构和管理制度；

系统进行安全环境保护设施的设计企业实施方案或改建实施方案；

系统中使用的信息进行安全管理产品列表及其认证、销售许可证书评估后，符合系统网络安全环境保护等级的技术可以检测评估报告

信息系统安全保护等级专家评审意见

主管部门批准信息技术系统网络安全环境保护等级的意见。

公安机关进行服务窗口审查备案材料，审查合格的，由公安机关颁发《信息技术系统网络安全风险等级制度保护备案证明》。

3 .对等保二级以上的小程序，备案后进行等保评价。 评价得分在70分以上，且信息系统没有高风险项目时合格。

二、常规化风险评估、等级评估医疗APP、小程序工作

完成申请工作后的分类

医疗机构根据各系统的分级情况，安排当年的分级评价工作，根据要求由等级在三级以上的系统每年进行评价，并选择公安部推荐目录中的分级保护评价机构进行安全评价。

医疗服务机构应根据要求进行标准化管理风险评估等级评估研究工作，定期排查系统网络安全隐患，对不符合要求的项目，由信息系统运营使用单位及时做好安全防范工作。

一般现场评价工作需要一周左右的时间，以改善评价完成后未达到安全保护等级要求的问题。

改进的时间和程度将取决于该系统的安全状况和资金筹措情况，对于不涉及设备采购和网络结构重大改变的小型系统，将需要大约两周时间,整体评估和最终发布符合公安机关要求的评估报告至少需要一个月。

医疗APP、小程序如何用等级保护进行评价？

备案成功后，小程序必须进行评估。 等待2.0时代的话，小程序等的保评价得分在70分以上，并且信息系统没有高风险的项目就不会合格。 由评估机构执行，评估机构通常对小程序进行两次评估。

第一次是差距评估，发现主要存在于小程序中的安全问题，委托小程序负责人进行修改

第二次是检测考核，经过改进，小流程安全状况基本满足等级保护要求，考核合格。 评估机构出具《测评报告》，负责人将评估报告和改进报告一起提交公安机关进行备份即可。 总之，小流程要通过等级保护评价，等级保护的改善非常重要，必须对照等级保护的改善标准，对不符合等级保护要求的部分逐个进行调整。 企业事业单位的技术人员不足，不能完成改善的，可以委托第三方等保证改善/安全机构。 例如，天磊咨询。

三、加强医疗APP、小程序的纵深防御能力需要对系统进行全方位的风险分析，在完成等级保护评估后，改善评估中发现的问题。

 最快捷、最简单的改进教学方法是从整个社会网络框架出发，充实医疗服务机构的网络信息安全文化建设，完善和配置必要的网络环境安全生产设备，形成纵深防御能力，确保管理系统不存在高风险问题，其次是中低风险问题将医疗保健行业数据的重要性考虑在内，进行数据备份、数据加密存储和传输，以确保医疗保健数据的安全。

中国网络安全评估工程技术中心(csae)在相关部门的指导下，凭借丰富的一线作战经验，参考了近3年的测试(经过脱敏)数据，与 hc3i 数字医疗保健网联合发布了《医疗行业网络安全白皮书2020》.

医疗APP、小程序的等级保护请咨询天磊咨询！天磊咨询管理咨询公司联系是等保标准进行制定的参与者之一，在详细分析梳理等保相关技术标准设计规范的基础上，为各部门发展提供一个等级保护一站式服务，涵盖等级决策、备案、考核、改进、咨询全阶段，企业事业单位合规、合规、 最快的情况下，一个月内可以拿到证书。