2023中国智慧医院研究报告：医院信息与网络安全篇亿欧智库 https://www.iyiou.com/researchCopyright reserved to EO Intelligence, June 2023©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730) 目录C O N T E N T S中国医院信息与网络安全研究背景1.1 信息与网络安全宏观政策分析1.2 医院信息与网络安全发展背景1.3 医院信息与网络安全研究范围1.4 提升医院信息与网络安全的实现路径1.5 医院信息与网络安全细分领域市场规模01中国医院信息与网络安全发展现状2.1 医院信息与网络安全企业图谱2.2 医院系统安全现状2.3 医院数据安全现状2.4 医院云安全现状2.5 企业案例展示02中国医院信息与网络安全发展趋势洞察3.1 趋势一：“组件+平台+服务“三者联动模式成为医院网络安全技术突破口3.2 趋势二：中国医院信息安全类投入将大幅度提升3.2 趋势三：医院容灾能力建设将成为网络安全关注重点3.3 趋势四：网络安全保险逐步融入医院网络安全防护体系中03©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730) fVaXpW9Z9UqVfVmNoPrQ7N9RbRpNmMpNmPfQnNtMlOrRqN7NmNzRuOmRmOuOmQnR目录C O N T E N T S中国医院信息与网络安全研究背景1.1 信息与网络安全宏观政策分析1.2 医院信息与网络安全发展背景1.3 医院信息与网络安全研究范围1.4 提升医院信息与网络安全的实现路径1.5 医院信息与网络安全细分领域市场规模01中国医院信息与网络安全发展现状2.1 医院信息与网络安全企业图谱2.2 医院系统安全现状2.3 医院数据安全现状2.4 医院云安全现状2.5 企业案例展示02中国医院信息与网络安全发展趋势洞察3.1 趋势一：“组件+平台+服务“三者联动模式成为医院网络安全技术突破口3.2 趋势二：中国医院信息安全类投入将大幅度提升3.2 趋势三：医院容灾能力建设将成为网络安全关注重点3.3 趋势四：网络安全保险逐步融入医院网络安全防护体系中03©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730) ◆“十二五”期间，中国颁布《国家安全法》，安全一词首次与国家生存发展联系起来，此后的“十三五”和“十四五”时期，国家先后出台并实施了《网络安全法》、《密码法》、《民法典》、《数据安全法》、《个人信息保护法》，“五法一典”构成了中国信息与网络安全的法律法规体系。由此可见，中国政府在网络安全的问题上始终保持高度重视，网络安全是国家安全的重要组成部分。◆2022年10月，二十大在北京召开，紧紧围绕发展和安全两件大事，其中安全一词被提及91次，网络安全保障体系建设成为健全国家安全体系的重点任务之一，深刻表明网络安全已经达到国家战略层面。数据来源：公开资料、亿欧智库1.1 国家始终高度重视网络安全问题，二十大的顺利召开揭示其已达到国家战略层面《密码法》：技术性、专业性较强的专门法律。密码作为网络与信息安全的核心保障技术和基础支撑，密码合规是企业网络安全与数据合规工作中不可或缺的部分《国家安全法》：建设网络与信息安全保障体系，提升网络与信息安全保护能力；加强网络管理，防范、制止网络攻击、网络入侵等网络违法犯罪行为《网络安全法》：加强网络安全管理，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改等行为；防止信息泄露、毁损、丢失《民法典》：为我国未来个人信息保护法及数据保护的法律体系构建。不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息《个人信息保护法》：为数据安全法原则在个人信息保护领域的延申，在国家层面建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为《数据安全法》：任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。开展数据处理活动应当加强风险监测二十大报告指出在健全国家安全体系任务中，网络安全保障体系建设是重点任务之一，加快建设网络强国，健全网络综合治理体系，推动形成良好网络生态。同时最高院、最高检发声将促进数字经济、平台经济规范健康发展；推动健全大数据、人工智能、基因技术等领域知识产权的保护规则。相关代表们则表示数字技术“双刃剑”效应不断增强，成为诱发安全隐患的主要原因，需加强维护网信安全的职责使命，强化关键核心技术攻关亿欧智库：信息与网络安全相关法律法规4©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730) ◆2023年2月国家卫健委和发改委等六部门联合发布《关于开展紧密型城市医疗集团建设试点工作的通知》，再次驱动中国智慧医院的发展，标志着中国开始探索建立智慧医联体，从单个医院的信息化整体架构设计和建设走向区域医疗的信息化，同时网络安全也成为重点工作之一。◆据CHIMA统计数据显示，2021-2022年度12.3%的受访医院在信息化方面投入2000万元以上，11.7%的医院投入低于50万元，比2018-2019年度分别增加75.7%和减少42.4%，凸显中国医院对信息化方面的投入愈发重视，各医院结合预算情况加大投入金额。在信息化投入预算占总预算比例方面，不同等级的医院存在明显差异，中国三级医院整体投入占比高于三级以下医院，其中，4%的三级医院投入占比达到5%以上，接近30%的三级医院投入占比1%以上，而三级以下医院对此的比例分别为2.7%和23.6%，超过50%的三级以下医院投入占比为0.2%以下。1.2.1 智慧医联体开始建立，医院信息化方面的投入金额持续上升，信息化建设不断深入数据来源：CHIMA、亿欧智库9.215.6>5%2-5%(含)1-2%(含)0.2-1%(含)0.1-0.2%(含)<=0.1%未知4.0%2.7%4.7%5.6%18.4%6.1%31.6%18.8%22.0%13.3%29.4%18.9%三级医院三级以下医院亿欧智库：2021-2022年度中国医院 (%) 信息化投入预算占总预算比例亿欧智库：2018-2022年中国医院 (%) 在信息化方面投入不同年度对比20.3%49.0%12.4%11.7%23.7%45.1%45.1%7.0%33.7%30.0%7.8%12.3%0.0%2018-2019年度1.2%2019-2020年度0.9%2021-2022年度>2000万500-2000万50-500万<=50万未知5©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730) 6◆医疗机构在信息化建设的不断深入中以及凭借其数据的高价值性和系统的脆弱性，一直频繁受到网络攻击，2021年针对全球医疗机构的勒索软件攻击在达到了166起，造成数百亿美元的损失，同时，据相关数据显示，黑客曾对医疗行业的暴露破解达到了单日80万次的高峰，因此，加强医疗机构的网络安全管理已经可不容缓。◆在中国，2022年8月，卫健委等三部门为指导医疗卫生机构加强网络安全管理颁布《医疗卫生机构网络安全管理办法》，成为卫健委首个具体的医疗网络安全管理办法，其中提到需要保证医疗行业信息系统建设时安全保护措施同步规划、同步建设和同步使用，该管理办法将大力推动中国医疗行业信息与网络安全的发展。数据来源：公开资料、亿欧智库1.2.2 医疗机构网络安全事件频发，《医疗卫生机构网络安全管理办法》出台中国医疗行业监管政策：《医疗卫生机构网络安全管理办法》出台背景要点总结随着高质量发展纵深推进，全国卫生健康领域迎来重要机遇期，信息化发挥着关键的支撑作用，医疗健康数据不仅是重要的生产要素，更是国家基础性战略资源，而该数据一旦遭到篡改和泄露，对医疗机构和患者都会带来极大的负面影响。《办法》的出台为医疗卫生机构指明了网络安全管理的总方向，防范网络安全事件发生，体现了统筹安全与发展的总体平衡。围绕顶层设计在整体网络安全体系的基础上，依据数据的特性建构网络和数据安全顶层设计，落实安全责任分工，明确数据管理部门、业务部门、信息化部门在网络和数据安全管理工作中的权责。围绕制度保障明确医疗卫生机构应建立健全安全管理制度、操作规程及技术规范，保障数据安全和数据应用的有效平衡，在实际运用中，应将总体安全策略拆解到具体安全管理要求，并通过安全技术实现管理要求，最终融入对应到安全运营体系中，形成融合管理、技术、运营三位一体的立体化网络安全管理模式。虽出台相关管理办法，但行业整体的网络安全规范尚未形成体系，医疗作为“十四五“国家重点关注的行业之一，卫健委预计将会加强医疗行业的网络安全标准建设。2019年12月 2020年4月2019年5月2019年1月青岛胶州某医院患者就诊名单泄露泄露信息包括患者姓名、电话、身份证号码、个人详细居住地址、就诊类型等，共涉及上千人。河南安阳市某医院业务系统被攻击破坏因未履行网络安全保护义务，造成业务系统被攻击破坏，正常工作无法开展。亿欧智库：中国医疗机构网络安全事件举例重庆永川某私立医院业务全面“停摆”未安装边界防护设备、未安装日志行为审计设备，未设置数据安全备份策略等其他网络安全技术措施，使医院业务在互联网上长期处于为保护状态。黑客通过互联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。山西省忻州市某医院未履行网络安全等级保护制度该医院网络安全意识淡薄，未确定网络安全责任人，未制定网络安全应急事件预案，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730)©亿欧智库-蓝语萱 (382730) 7◆医院医疗设备和信息设备种类繁多，各类业务系统（HIS、LIS、PACS等）和人员构成也相对复杂，因此医院信息与网络安全面临诸多隐患，常见的医院网络攻击方式包括网络钓鱼、勒索攻击、挖矿病毒、数据泄露等。◆亿欧智库认为，医院信息与网络安全分为系统安全、数据安全和云安全三个方面。数据来源：亿欧智库1.3 医院信息与网络安全研究范围亿欧智库：医院信息与网络安全研究范围医院信息与网络安全系统安全 构建医院信息化建设中的网络安全体系，涉及基础软硬件和网络安全产品