近日，中國醫(yī)院信息網(wǎng)絡(luò)大會暨醫(yī)療信息技術(shù)和產(chǎn)品展覽會(CHIMA 2025)正式對外發(fā)布《醫(yī)院網(wǎng)絡(luò)安全運營能力成熟度評估指南》(試行版)(以下簡稱“指南”)，紫光股份旗下新華三集團參與指南編制，分享自身在醫(yī)療行業(yè)的安全體系建設(shè)思路和實踐經(jīng)驗，以及基于全棧安全能力創(chuàng)新推出的“安全即服務(wù)”運營模式。這部首個醫(yī)院網(wǎng)絡(luò)安全 “體檢標(biāo)準(zhǔn)” 的問世，標(biāo)志著醫(yī)院網(wǎng)絡(luò)安全運營建設(shè)進入 “評估引導(dǎo)改進” 的新階段。

從開題到發(fā)布

新華三聚焦醫(yī)院安全痛點

以專業(yè)賦能安全評估指南編寫

2024年，由中國醫(yī)院協(xié)會信息專業(yè)委員會(CHIMA)牽頭，南昌大學(xué)第一附屬醫(yī)院作為主編寫單位，聯(lián)合新華三集團及全國十余家三甲醫(yī)院信息化專家共同啟動了指南的編制工作。

作為參與并具備醫(yī)療行業(yè)安全服務(wù)能力的企業(yè)，新華三集團在開題會上圍繞醫(yī)院網(wǎng)絡(luò)安全運營建設(shè) “工作看不清、做哪些工作、重心在哪里、如何跟蹤閉環(huán)” 等痛點問題提出建設(shè)性意見，并推動指南聚焦 “制度流程、技術(shù)工具、人員組織、工作執(zhí)行” 四大運營能力為核心的安全評估體系建設(shè)，助力構(gòu)建符合醫(yī)院業(yè)務(wù)場景的網(wǎng)絡(luò)安全運營能力成熟度模型。

新華三集團高級副總裁、新華三信息安全技術(shù)有限公司總裁孫松兒出席指南發(fā)布儀式并表示：“醫(yī)院網(wǎng)絡(luò)安全是智慧醫(yī)院建設(shè)的核心底座。新華三依托在網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)積累與行業(yè)實踐，將攻防實戰(zhàn)經(jīng)驗、自動化工具能力與醫(yī)院業(yè)務(wù)需求深度融合，助力指南成為兼具專業(yè)性與落地性的行業(yè)標(biāo)準(zhǔn)。”

新華三集團高級副總裁、新華三信息安全技術(shù)有限公司總裁孫松兒(左三)參與指南發(fā)布儀式

“6+4+5”三維成熟度模型

明確安全進階路徑

構(gòu)建醫(yī)院安全運營評估體系

網(wǎng)絡(luò)安全運營成熟度評估通過構(gòu)建“過程域-能力域-層級域”三維框架，形成了一個覆蓋安全運營全生命周期的動態(tài)演進體系，持續(xù)推動醫(yī)院安全運營能力從初始級(L1)向持續(xù)優(yōu)化級(L5)進化，最終實現(xiàn)安全效能與核心能力的協(xié)同提升。

1、安全運營能力成熟度過程域：六類工作，明確網(wǎng)絡(luò)安全運營全集工作

指南基于政策法規(guī)、國家標(biāo)準(zhǔn)等要求梳理，引用新華三ASO主動安全運營IPDRV-M模型，涵蓋從風(fēng)險預(yù)測、主動防御、深度監(jiān)測、響應(yīng)恢復(fù)、模擬驗證、運營管理六類工作，針對不同階段的安全運營工作項進行有效管理和執(zhí)行。

2、安全運營能力成熟度能力域：四大能力，明確安全運營關(guān)鍵要點

指南對安全運營所應(yīng)具備的安全能力進行分類界定，它明確了被評估者的關(guān)鍵能力要素，包括組織人員、技術(shù)工具、制度流程、工作執(zhí)行，為評估者提供安全運營關(guān)鍵能力的優(yōu)勢和不足情況評估。

● 人員組織專業(yè)性：打造復(fù)合型安全團隊

針對安全人才短缺問題，指南提出 “組織人員” 能力域，對安全人員能力進行分級定義，如 L3 級要求安全人員具備滲透測試、代碼審計能力，L5 級則需安全人員掌握 AI 驅(qū)動的威脅分析技術(shù)，推動醫(yī)院從依賴外部支持向自主安全能力建設(shè)轉(zhuǎn)型。

● 技術(shù)工具完備性：構(gòu)建主動防御能力

在技術(shù)工具層面，指南強調(diào) “技術(shù)工具” 能力域的重要性，涵蓋資產(chǎn)管理平臺、漏洞掃描工具、安全運營中心(SOC)等核心組件。例如，L4 級要求部署自動化滲透測試工具，實現(xiàn)對核心業(yè)務(wù)系統(tǒng)的批量安全檢測;L5 級提出引入 AI 大模型實現(xiàn)資產(chǎn)自動探測與風(fēng)險智能預(yù)警，推動安全技術(shù)從 “單點防護” 向 “體系化聯(lián)動” 升級。

● 制度流程規(guī)范性：建立制度流程閉環(huán)

指南圍繞風(fēng)險預(yù)測、主動防御、深度監(jiān)測、響應(yīng)恢復(fù)、模擬驗證、運營管理六大過程域，要求醫(yī)院建立覆蓋資產(chǎn)全生命周期管理、漏洞閉環(huán)、應(yīng)急響應(yīng)等關(guān)鍵環(huán)節(jié)的制度體系。例如，在 “風(fēng)險預(yù)測” 過程域中，明確資產(chǎn)變更審核需形成標(biāo)準(zhǔn)化流程，重大資產(chǎn)變更需進行安全影響評估并記錄備案，確保管理動作可追溯、可復(fù)用。

● 工作執(zhí)行標(biāo)準(zhǔn)化：明確的工作執(zhí)行標(biāo)準(zhǔn)

相較于其他成熟度模型來講，指南不僅僅停留在建設(shè)層面，新增對工作執(zhí)行結(jié)果的評估，以此來反饋實際工作效果，包括根據(jù)不同的安全工作內(nèi)容，確定合理的執(zhí)行頻次，確保安全工作符合醫(yī)院的網(wǎng)絡(luò)環(huán)境情況和組織架構(gòu)情況。

3、安全運營能力成熟度層級域：五大層級，建立動態(tài)運營優(yōu)化機制

指南設(shè)置五級成熟度層級(L1 初始級至 L5 持續(xù)改進級)，為醫(yī)院提供清晰的進階標(biāo)尺。例如，二級醫(yī)院需達到 L1-L2 級，重點完成基礎(chǔ)安全設(shè)備部署與基礎(chǔ)安全工作;三甲醫(yī)院需實現(xiàn) L3-L4 級，構(gòu)建覆蓋 “風(fēng)險發(fā)現(xiàn) - 威脅評估 - 處置閉環(huán)” 的量化管理體系;區(qū)域醫(yī)療中心則需邁向 L5 級，通過持續(xù)引入新技術(shù)(如區(qū)塊鏈數(shù)據(jù)防篡改、零信任架構(gòu))實現(xiàn)安全能力迭代。

從開題到發(fā)布，從標(biāo)準(zhǔn)制定到實戰(zhàn)落地，《醫(yī)院網(wǎng)絡(luò)安全運營能力成熟度評估指南》的誕生標(biāo)志著醫(yī)院網(wǎng)絡(luò)安全運營進入“體系化建設(shè)、科學(xué)化評估、持續(xù)化改進”的新階段。展望未來，新華三集團將繼續(xù)以技術(shù)賦能行業(yè)標(biāo)準(zhǔn)，以實踐反哺指南完善，推動醫(yī)院逐步實現(xiàn)從 “被動防御” 到 “主動安全” 的安全能力躍升，為醫(yī)院網(wǎng)絡(luò)安全健康穩(wěn)健發(fā)展奠定堅實基礎(chǔ)。

（來源：新華三）