- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
近日,中国医院信息网络大会暨医疗信息技术和产品展览会(CHIMA 2025)正式对外发布《医院网络安全运营能力成熟度评估指南》(试行版)(以下简称“指南”),紫光股份旗下新华三集团参与指南编制,分享自身在医疗行业的安全体系建设思路和实践经验,以及基于全栈安全能力创新推出的“安全即服务”运营模式。这部首个医院网络安全 “体检标准” 的问世,标志着医院网络安全运营建设进入 “评估引导改进” 的新阶段。
从开题到发布
新华三聚焦医院安全痛点
以专业赋能安全评估指南编写
2024年,由中国医院协会信息专业委员会(CHIMA)牵头,南昌大学第一附属医院作为主编写单位,联合新华三集团及全国十余家三甲医院信息化专家共同启动了指南的编制工作。
作为参与并具备医疗行业安全服务能力的企业,新华三集团在开题会上围绕医院网络安全运营建设“工作看不清、做哪些工作、重心在哪里、如何跟踪闭环”等痛点问题提出建设性意见,并推动指南聚焦“制度流程、技术工具、人员组织、工作执行”四大运营能力为核心的安全评估体系建设,助力构建符合医院业务场景的网络安全运营能力成熟度模型。
新华三集团高级副总裁、新华三信息安全技术有限公司总裁孙松儿出席指南发布仪式并表示:“医院网络安全是智慧医院建设的核心底座。新华三依托在网络安全领域的技术积累与行业实践,将攻防实战经验、自动化工具能力与医院业务需求深度融合,助力指南成为兼具专业性与落地性的行业标准。”
新华三集团高级副总裁、新华三信息安全技术有限公司总裁
孙松儿(左三)参与指南发布仪式
“6+4+5”三维成熟度模型
明确安全进阶路径
构建医院安全运营评估体系
网络安全运营成熟度评估通过构建“过程域-能力域-层级域”三维框架,形成了一个覆盖安全运营全生命周期的动态演进体系,持续推动医院安全运营能力从初始级(L1)向持续优化级(L5)进化,最终实现安全效能与核心能力的协同提升。
指南基于政策法规、国家标准等要求梳理,引用新华三ASO主动安全运营IPDRV-M模型,涵盖从风险预测、主动防御、深度监测、响应恢复、模拟验证、运营管理六类工作,针对不同阶段的安全运营工作项进行有效管理和执行。
指南对安全运营所应具备的安全能力进行分类界定,它明确了被评估者的关键能力要素,包括组织人员、技术工具、制度流程、工作执行,为评估者提供安全运营关键能力的优势和不足情况评估。
●人员组织专业性:打造复合型安全团队
针对安全人才短缺问题,指南提出 “组织人员” 能力域,对安全人员能力进行分级定义,如 L3 级要求安全人员具备渗透测试、代码审计能力,L5 级则需安全人员掌握 AI 驱动的威胁分析技术,推动医院从依赖外部支持向自主安全能力建设转型。
●技术工具完备性:构建主动防御能力
在技术工具层面,指南强调 “技术工具” 能力域的重要性,涵盖资产管理平台、漏洞扫描工具、安全运营中心(SOC)等核心组件。例如,L4 级要求部署自动化渗透测试工具,实现对核心业务系统的批量安全检测;L5 级提出引入 AI 大模型实现资产自动探测与风险智能预警,推动安全技术从 “单点防护” 向 “体系化联动” 升级。
●制度流程规范性:建立制度流程闭环
指南围绕风险预测、主动防御、深度监测、响应恢复、模拟验证、运营管理六大过程域,要求医院建立覆盖资产全生命周期管理、漏洞闭环、应急响应等关键环节的制度体系。例如,在 “风险预测” 过程域中,明确资产变更审核需形成标准化流程,重大资产变更需进行安全影响评估并记录备案,确保管理动作可追溯、可复用。
●工作执行标准化:明确的工作执行标准
相较于其他成熟度模型来讲,指南不仅仅停留在建设层面,新增对工作执行结果的评估,以此来反馈实际工作效果,包括根据不同的安全工作内容,确定合理的执行频次,确保安全工作符合医院的网络环境情况和组织架构情况。
指南设置五级成熟度层级(L1 初始级至 L5 持续改进级),为医院提供清晰的进阶标尺。例如,二级医院需达到 L1-L2 级,重点完成基础安全设备部署与基础安全工作;三甲医院需实现 L3-L4 级,构建覆盖 “风险发现 - 威胁评估 - 处置闭环” 的量化管理体系;区域医疗中心则需迈向 L5 级,通过持续引入新技术(如区块链数据防篡改、零信任架构)实现安全能力迭代。
从开题到发布,从标准制定到实战落地,《医院网络安全运营能力成熟度评估指南》的诞生标志着医院网络安全运营进入“体系化建设、科学化评估、持续化改进”的新阶段。展望未来,新华三集团将继续以技术赋能行业标准,以实践反哺指南完善,推动医院逐步实现从 “被动防御” 到 “主动安全” 的安全能力跃升,为医院网络安全健康稳健发展奠定坚实基础。
