医疗信息化等级保护2.0体系解决方案
安全形势越来越严峻，安全责任越来越大
•攻击类型越来越多，攻击方法传播更快•院内院外互联互通，攻击面不断扩大化•医疗业务云化，网络边界消失，传统安全
理念不再适用
•数据是生产资料，数据窃取事件频繁发生•监管要求更高，稍有不慎导致合规风险
中华人民共和国网络安全法
个人信息安全规范
CII 等级保护2.0
……
AI
物联网
Big Data
网络安全等级保护制度进入2.0时代
2003年9月中办国办颁发
《关于加强信息安全保障工作的意见》（中办发[2003]27号）
1994年
国务院颁布《中华人民共和国计算机信息系统安全保护条例》（147号令）
2011年1月8日修正版
明确做等级保护，等级保护工作的重点是基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统
首次提出计算机信息系统必须实行安全等级保护。

2007年四部委会签
公通字[2007]43号文件《信息安全等级保护管理办法》
明确了等级保护的具体操作办法和各部委的职责，以及推进等级保护的具体事宜
1999年
《计算机信息系统安全等级保护划分准则》（GB17859）发布
计算机信息系统安全保护等级划分准则强制行标准发布
2008年
发布《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）、《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）2010年
发布《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010)2012年
发布《信息安全技术信息系统等级保护测评要求》( GB_T 28448-2012）
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，第二十一条明确国家要实行网络安全等级保护制度
2018年
《信息安全技术网络安全等级保护安全管理中心技术要求》(GB/T 36958-2018)等等保2.0标准发布
《网络安全等级保护条例（征求意见稿）
2019年
发布《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）、
《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)、
《信息安全技术网络安全等级保护测评要求》( GB/T 28448-2019）
等保1.0相关标准发布
等级保护制度上升到了法律高度，并在法律层面确立了其在网络安全领域的基础和核心地位。

落实等级保护工作刚性明确。

等保2.0标准开始发布
启动网络安全等级保护条例立法程序
等保2.0标准继续发布
等保 2.0标准体系的变化
GB 17859-1999 《计算机信息系统安全保护等级划分准则》GB/T 22240-2008
︽信息系统安全
等级保护定级指南︾GB/T 22239-2008
︽信息系统安全
等级保护基本要求︾GB/T 25070-2010
︽信息系统等级
保护安全设计技术要求︾GB/T 25058-2010
︽信息系统安全等
级保护实施指南︾
GB/T 28448-2012
︽信息系统安全等级保
护测评过程指南︾
GB/T 28449-2012
︽信息系统安全
等级保护测评要求︾
等保1.0标准体系
等保2.0标准体系
等保2.0分类结构的变化
等保2.0基本要求内容的变化
•等级保护的基本要求、测评要求和设计技术要求统一框架，构建“一个中心，三重防护的体系框架；•通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制系统等列入标准规范。

第一级系统安全保护环境第一级安全通信网络
第一级安全区域边界
第一级安全计算环境
第二级系统安全保护环境
第二级安全管理中心第二级安全通信网络
第二级安全区域边界
第二级安全计算环境
第三级系统安全保护环境
第三级安全管理中心第三级安全通信网络
第三级安全区域边界
第三级安全计算环境
第四级系统安全保护环境
第四级安全管理中心第四级安全通信网络
第四级安全区域边界
第四级安全计算环境
第五级系统安全保护环境
第五级安全管理中心
第五级安全通信网络
第五级安全区域边界
第五级安全计算环境
定级系统互联
跨定级系统安全管理中心
/安全互联部件
网络安全等级保护安全技术设计框架
依据网络安全等级保护“一个中心三重防护”的设计思想构建安全体系框架
云计算等级保护安全技术设计框架
结合云计算功能分层框架和云计算安全特点，构建云计算安全设计防护技术框架
医疗行业安全需求分析
•2011 年11 月分别发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126 号）；
•卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发〔2011〕85 号），明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级，等级保护成为医院安全建设的重要标准。

•《电子病历应用水平分级评价方法及标准》第六级基础设施与安全管控，要求“完成信息安全等级保护定级备案与测评、医院重要信息安全等级保护不低于第三级”。

•《基于电子病历的医院信息平台技术规范》要求医院信息平台需按照信息系统等级保护三级（或以上）的要求进行安全建设，安全设计应遵循已颁布的相关国家标准。

•满足国家政策合规性需求同时，也能够符合自身的安全防护需求，为医院内的核心业务系统如HIS、LIS、PACS等系统建设一个稳定、安全的运行环境。

在满足相应等级安全通信网络、安全区域边界、安全计算环境以及安全管理中心要求基础上，最大程度发挥安全措施的保护能力。

医疗行业等级保护安全基线解决方案
分级分域
安全区域边界
安全通信网络
安全计算环境
虚拟化层安全
服务层安全
安全管理中心
勒索病毒防护安全解决方案（基础版+旗舰版）
医疗行业应用场景和解决方案
山石网科安全产品全家福
山石网科在医疗行业概况
200+家三级医院规模应用
服务于盛京医院、协和医院、301医院等龙头医院
服务于张家港卫计委全国首例通过互联互通
五级乙等评审的区域卫生单位
应用于北大三院、瑞金医院、河北人医等第一批通
过五级乙等互联互通测评的医院
应用于10+家通过5级以上电子病历应用水平评价
的医院
山石网科提供等保2.0实施过程保障服务。