医院网络安全托管服务（MSS）实施指南

二〇二五年 四月[2025 版 ] 在数字化浪潮的持续推动下，医疗行业信息化建设取得显著进展。医院信息系统已深度融入医疗服务全流程，成为支撑诊疗业务开展、医院管理运营及医学科研创新的核心基础设施，承载着海量患者诊疗数据、医院管理信息等关键资产。然而，新技术应用带来的便利与效率提升，也伴生了复杂多样的网络安全风险。当前，勒索软件攻击、数据泄露、系统瘫痪等网络安全事件频发，严重威胁医疗行业信息安全与业务连续性。这些安全事件不仅可能导致医院业务中断，影响患者正常就医，更可能造成患者隐私泄露，危及公众生命健康安全与合法权益。作为关键信息基础设施的重要组成部分，医院网络安全防护能力关乎公共卫生体系的稳定运行，构建坚实的网络安全防线已成为医疗行业发展的必然要求。但从行业调研情况来看，众多医院受限于专业安全人才短缺、安全投入不足、技术更新滞后等因素，难以独立构建全面、高效的网络安全防护体系。在此背景下，网络安全托管服务（Managed Security Service, MSS）作为一种专业化、集约化的安全运营模式，为医院网络安全建设提供了新的解决方案与发展路径。中国医院协会信息专业委员会立足行业发展需求，联合多家医疗机构、行业专家及专业机构，共同编撰《医院网络安全托管服务（MSS）实施指南》。本指南旨在为各级医疗机构提供科学、系统、可操作的指导，帮助医院在保障患者信息安全和医疗业务连续性的前提下，规范引入网络安全托管服务，充分发挥其在医院网络安全防护体系中的重要支撑作用。指南围绕托管服务的需求分析、服务商选择、技术部署、运营管理及合规要求等关键环节，提出规范性要求与实施建议，助力医院提升网络安全防护能力，推动医疗行业在数字化转型进程中稳健前行，为智前言 慧医疗健康发展筑牢安全屏障。北京大学肿瘤医院 中国医院协会信息专业委员会与北京大学肿瘤医院共同编制《医院网络安全托管服务（MSS）实施指南》，旨在为医院实施网络安全托管服务提供系统性建设规范，指南内容覆盖医疗卫生机构网络安全服务的各实施环节。针对当前医院普遍存在的网络安全服务选择能力参差不齐、服务质量缺乏统一标准、服务成本投入产出比低、安全技术应用覆盖面不足等痛点，本指南通过构建标准化的服务框架和可落地的实施方案，为医院提供兼具实用性与参考价值的建设指引。指南发布后，我们将持续关注医院发展，持续监测指南的指导效果，积极收集广大读者的反 馈，适 时 进 行 更 新 和 修 订，以 适 应 医 院 不 断 变 化 的 业 务 安 全 诉 求，详 细 建 议 可 反 馈 CHIMA 官 方 邮 箱：在专委会指导下，以下单位参与本指南的编写和审核：北京大学肿瘤医院、北京协和医院、华中科技大学同济医学院附属同济医院、上海交通大学医学院附属仁济医院、复旦大学附属中山医院、盐城市第一人民医院、华中科技大学同济医学院附属协和医院、浙江大学医学院附属第四医院、中南大学湘雅二医院、中南大学湘雅三医院、四川大学华西天府医院、山西医科大学第一医院、河北医科大学第四医院、江苏省人民医院、中山大学附属第六医院、安徽医科大学第一附属医院、西北妇女儿童医院、海南医科大学第二附属医院、潍坊市人民医院、郑州大学第三附属医院、中国医科大学附属盛京医院、兰州大学第二医院、北京市卫生健康大数据与政策研究中心、浙江医院、杭州市第一人民医院、杭州师范大学附属医院、浙江大学医学院附属口腔医院、杭州市妇产科医院、江苏乾元通信息科技有限公司、深信服科技股份有限公司。白云云朱洪涛朱杰吴檠沈玉强张俊钦郜勇郗群倪红波张睿陈斌费科锋指南编制说明 sec@chima.org.cn。王安莉邓悟付继刚朱丽艳伊永菊刘华孙润康李润平李金刚杨剑峰张楠汪伟苏子仁邵尉陈元春郑涛郑智袁林陶敏蔡雨蒙翟亚奇衡反修王才有薛万国马聿嘉田昕孙国强琚文胜（以上排名不分先后）指南编写参与人员（按姓氏笔画排序）主编：主审：审核专家：编委成员： 前言指南编制说明背景医院网络安全现状与挑战网络安全托管服务的价值指南的目标和适用范围相关术语与定义医院网络安全托管服务的种类及选择医院网络安全托管服务种类及内容医院服务种类选择指引医院实施网络安全托管服务的基础条件医院网络技术条件医院基础防护技术条件人员及管理要求网络安全托管服务提供商的资质要求及选择服务技术资质服务团队要求服务管理资质服务能力要求服务效果要求服务体验要求服务成本要求目录 0101010102030307080808080909091111161718 网络安全托管服务协议约定责任声明服务协议主要条款安全托管责任界定医院网络安全托管服务流程服务启动阶段服务上线阶段服务持续运营阶段服务终止阶段医院网络安全托管服务的监管监管原则质量保障监督考核安全托管典型应用场景典型应用场景介绍医院最佳实践介绍附录附录A附录B附录C附录D181818181919192125262626272727283333343639 一、背景1.1 医院网络安全现状与挑战近年来国家及行业主管单位接连颁布了《中华人民共和国数据安全法》《关于落实卫生健康行业网络信息与数据安全责任的通知》《医疗卫生机构网络安全管理办法》等法律法规文件，明确要求定期开展安全检查，对信息系统安全性进行有效验证，以查促建、以查促管、以查促改、以查促防，促进网络安全能力稳步提升，杜绝网络信息与数据安全事件的发生。从相关调研数据来看，尽管全国约 75% 的三级医院已开展网络安全等级保护建设，但仍面临较多的安全挑战：1.3 指南的目标和适用范围关键资产管控难度大多数医院的互联网资产类型复杂、不可视；许多科室自建系统脱离统一管理，形成大量“影子资产”。安全运维效率低当前医院安全建设主要依赖传统安全设备和人工运维，存在漏洞修复滞后、告警处置率低等问题；常见隐患包括弱密码、高危漏洞、非必要开放端口等，但因人力不足、能力差异，难以及时闭环。1.2 网络安全托管服务的价值网络安全托管服务可作为医院安全体系建设的补充，医院可通过服务化技术托管方式，获得 7*24 小时不间断的威胁监测、研判分析、快速处置、事件闭环等安全运营能力及服务，能够经济、便捷地帮助医院建立安全监测预警防护体系，对抗网络信息安全威胁。医院实战能力薄弱大部分医院存在安全人员实战机会少、经验不足以及应急响应流程不完善等问题，难以应对外部专业、频繁的实战攻击。医院的安全运营防护能力还有进一步提升的空间。全天候防护能力：7×24 小时威胁监测、分析、处置，快速阻断攻击；结合 AI 自动化与人工研判，实现分钟级响应，降低业务中断风险。系统性风险管控 :覆盖资产梳理、漏洞修复、事件响应全流程，避免“头痛医头、脚痛医脚”；通过定期安全评估与加固，持续优化防护策略。合规与成本平衡：帮助医院满足法规要求，减少因违规导致的处罚风险；以服务化模式替代高成本自建团队，帮助医院节约投入成本。适用范围：本指南适用于医疗卫生行业网络安全服务供需双方开展网络安全服务内容、操作规范、服务响应能力以及相关合同编制等活动中，都可以在此规范中获取所需要的信息。规范服务选择：统一托管服务的内容、质量标准和实施流程，解决医院“选不准、用不好”问题。降低实施门槛：为医院提供可落地的操作模板（如合同条款、验收标准），减少试错成本。推动能力共建：引导医院借助外部专业力量，逐步培养自身安全团队，实现“授人以渔”。核心目标 01 1.4 相关术语与定义信息安全漏洞 Information security vulnerability信息安全漏洞（以下简称“漏洞”）是指计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。威胁 Threat可能导致信息系统危害的不期望事件的潜在缘由。威胁情报 Threat Intelligence业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签。高级可持续威胁：Advanced Persistent Threat 简称：APT持续攻击是指对特定对象展开的持续有效的攻击活动。事件响应剧本 Playbook事件响应剧本是基于安全专家对各类安全事件的深入理解，以及丰富的实战经验固化出来的一种事件响应最佳实践，并将其固化到平台中，提升安全事件响应的效率及专业程度。黑客 hackers泛指对网络或联网系统进行未授权访问，但无意窃取或造成损坏的人。黑客的动因被认为是想了解系统如何工作，或是想证明或反驳现有安全措施的有效性。信息安全事件 information security incident由单个或一系列意外或有害的信息安全事态所组成的，有可能危害业务运行和威胁信息安全。攻击 attack在信息系统中，对系统或信息进行破坏、泄露、更改或使其丧失功能的行为（包含窃取数据）。服务水平协议 SLA服务水平协议是指通过书面形式对服务交付成果进行明确约定，一般包含一系列可测量的服务指标。一般来说，SLA 是服务提供者与医院之间协商并签订的一个具有法律约束力的合同或协议，规定了服务提供过程中双方所承担的商务条款，简称服务指标。安全编排自动化及响应 SOARSOAR（Security Orchestration, Automation and Response）技术是指一种可自动防范网络攻击和自动进行响应的服务和工具。这种自动化是通过统一集成、定义任务运行方式和制定满足组织需求的事件响应计划来实现的。 02 国际咨询机构 IDC 将安全托管服务（MSS）定义为安全服务提供商（MSSP）通过安全运营中心进行全天候监控和管理的 IT 安全服务。服务范围包括部署在本地、外部数据中心和云上的安全托管服务。医院网络安全托管服务（MSS）是指医院通过外包托管的方式获取 7*24 小时持续有效、高质量的安全运营能力，实现“合规可达、风险可管、事件可控”的医院网络安全目标。网络安全服务商通过安全托管服务平台和服务团队，围绕资产、脆弱性、威胁、事件四个核心安全风险要素，提供风险预防、威胁监测和事件响应闭环等一系列服务。二、医院网络安全托管服务的种类及选择03运作流程基础配置：医院通过信息安全等级保护建设的安全设备（如防火墙、终端防护系统）建立基础防护。日志上传：重要安全设备的日志加密上传至云端运营中心。云端分析：结合AI引擎、威胁情报及人工研判，识别真实事件并生成处置方案。协同闭环：云端团队与医院本地人员配合完成事件处置。2.1 医院网络安全托管服务种类及内容2.1.1 远程网络安全托管服务在当前的安全服务选择中，主要分为两类：本地网络安全托管服务和远程网络安全托管服务。特点：通过云端平台提供7×24小时威胁监测、分析及处置，覆盖安全事件全生命周期管理，具备灵活、经济的特点。外网业务区办公区内网核心业务区互联网医院门户网站微信挂号智慧问诊办公系统供应商管理系统外网办公终端各科室办公终端临床科室工作站医保系统全民信息健康平台不良事件管理EMRHISPACS管理员日志加密上传远程联动态势感知边界防火墙流量采集探针 终端安全管理软件...按需协助处置按需协助处置疑难杂症紧急事件 / 威胁 / 漏洞一般事件 / 威胁 / 漏洞SLA 指标项目汇报 \ 沟通 \ 管理本地化服务安全运营服务平台（医院威胁情报、热点攻击事件、行业专属处置方案、攻防实战经验、工单系统、报告中心 ...）安全能力中台（数据湖、安全分析与检测引擎、行业专属检测规则 ...）安全托管服务运营架构安全专家组（专家会诊）云端分析师（日常管理）医院服务经理（跟踪协调）本地安全服务工程师安全工程师（应急响应 \ 威胁挖掘）服务质量管理互联网云地协同图 2—1 安全托管服务运营框架 安全托管服务 -本地团队医院侧安全托管服务 -远程服务团队质量运营专家项目管理PMO本地项目经理医院 IT 工程师服务质量管理 托管