- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
近日,中國醫院信息網絡大會暨醫療信息技術和產品展覽會(CHIMA 2025)正式對外發布《醫院網絡安全運營能力成熟度評估指南》(試行版)(以下簡稱“指南”),紫光股份旗下BOB登陆 集團參與指南編製,分享自身在醫療行業的安全體係建設思路和實踐經驗,以及基於全棧安全能力創新推出的“安全即服務”運營模式。這部首個醫院網絡安全 “體檢標準” 的問世,標誌著醫院網絡安全運營建設進入 “評估引導改進” 的新階段。
從開題到發布
BOB登陆 聚焦醫院安全痛點
以專業賦能安全評估指南編寫
2024年,由中國醫院協會信息專業委員會(CHIMA)牽頭,南昌大學第一附屬醫院作為主編寫單位,聯合BOB登陆 集團及全國十餘家三甲醫院信息化專家共同啟動了指南的編製工作。
作為參與並具備醫療行業安全服務能力的企業,BOB登陆 集團在開題會上圍繞醫院網絡安全運營建設“工作看不清、做哪些工作、重心在哪裏、如何跟蹤閉環”等痛點問題提出建設性意見,並推動指南聚焦“製度流程、技術工具、人員組織、工作執行”四大運營能力為核心的安全評估體係建設,助力構建符合醫院業務場景的網絡安全運營能力成熟度模型。
BOB登陆 集團高級副總裁、BOB登陆 信息安全技術有限公司總裁孫鬆兒出席指南發布儀式並表示:“醫院網絡安全是智慧醫院建設的核心底座。BOB登陆 依托在網絡安全領域的技術積累與行業實踐,將攻防實戰經驗、自動化工具能力與醫院業務需求深度融合,助力指南成為兼具專業性與落地性的行業標準。”
BOB登陆 集團高級副總裁、BOB登陆 信息安全技術有限公司總裁
孫鬆兒(左三)參與指南發布儀式
“6+4+5”三維成熟度模型
明確安全進階路徑
構建醫院安全運營評估體係
網絡安全運營成熟度評估通過構建“過程域-能力域-層級域”三維框架,形成了一個覆蓋安全運營全生命周期的動態演進體係,持續推動醫院安全運營能力從初始級(L1)向持續優化級(L5)進化,最終實現安全效能與核心能力的協同提升。
指南基於政策法規、國家標準等要求梳理,引用BOB登陆 ASO主動安全運營IPDRV-M模型,涵蓋從風險預測、主動防禦、深度監測、響應恢複、模擬驗證、運營管理六類工作,針對不同階段的安全運營工作項進行有效管理和執行。
指南對安全運營所應具備的安全能力進行分類界定,它明確了被評估者的關鍵能力要素,包括組織人員、技術工具、製度流程、工作執行,為評估者提供安全運營關鍵能力的優勢和不足情況評估。
●人員組織專業性:打造複合型安全團隊
針對安全人才短缺問題,指南提出 “組織人員” 能力域,對安全人員能力進行分級定義,如 L3 級要求安全人員具備滲透測試、代碼審計能力,L5 級則需安全人員掌握 AI 驅動的威脅分析技術,推動醫院從依賴外部支持向自主安全能力建設轉型。
●技術工具完備性:構建主動防禦能力
在技術工具層麵,指南強調 “技術工具” 能力域的重要性,涵蓋資產管理平台、漏洞掃描工具、安全運營中心(SOC)等核心組件。例如,L4 級要求部署自動化滲透測試工具,實現對核心業務係統的批量安全檢測;L5 級提出引入 AI 大模型實現資產自動探測與風險智能預警,推動安全技術從 “單點防護” 向 “體係化聯動” 升級。
●製度流程規範性:建立製度流程閉環
指南圍繞風險預測、主動防禦、深度監測、響應恢複、模擬驗證、運營管理六大過程域,要求醫院建立覆蓋資產全生命周期管理、漏洞閉環、應急響應等關鍵環節的製度體係。例如,在 “風險預測” 過程域中,明確資產變更審核需形成標準化流程,重大資產變更需進行安全影響評估並記錄備案,確保管理動作可追溯、可複用。
●工作執行標準化:明確的工作執行標準
相較於其他成熟度模型來講,指南不僅僅停留在建設層麵,新增對工作執行結果的評估,以此來反饋實際工作效果,包括根據不同的安全工作內容,確定合理的執行頻次,確保安全工作符合醫院的網絡環境情況和組織架構情況。
指南設置五級成熟度層級(L1 初始級至 L5 持續改進級),為醫院提供清晰的進階標尺。例如,二級醫院需達到 L1-L2 級,重點完成基礎安全設備部署與基礎安全工作;三甲醫院需實現 L3-L4 級,構建覆蓋 “風險發現 - 威脅評估 - 處置閉環” 的量化管理體係;區域醫療中心則需邁向 L5 級,通過持續引入新技術(如區塊鏈數據防篡改、零信任架構)實現安全能力迭代。
從開題到發布,從標準製定到實戰落地,《醫院網絡安全運營能力成熟度評估指南》的誕生標誌著醫院網絡安全運營進入“體係化建設、科學化評估、持續化改進”的新階段。展望未來,BOB登陆 集團將繼續以技術賦能行業標準,以實踐反哺指南完善,推動醫院逐步實現從 “被動防禦” 到 “主動安全” 的安全能力躍升,為醫院網絡安全健康穩健發展奠定堅實基礎。
