1. 首页
  2. 行业动态
  3. 医疗机构如何落实网络数据安全风险评估办法

医疗机构如何落实网络数据安全风险评估办法

  • 发布于 2026-06-23
  • 1 次阅读

2026年6月18日,国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》,并明确自2026年8月20日起施行。对医疗机构而言,这不是一次普通的“安全自查”,而是一次把数据资产、业务流程、系统安全、第三方合作和整改闭环全部串起来的制度化工作。 

医疗机构天然是高价值数据密集型组织。挂号、就诊、检查、检验、影像、病历、处方、医保结算、互联网诊疗、随访、科研、临床试验、AI辅助诊断、区域医联体、公共卫生上报,每一个环节都在产生和流动健康医疗数据。国家卫健委此前发布的《医疗卫生机构网络安全管理办法》也明确,医疗卫生机构的数据包括临床、科研、管理业务数据、医疗设备产生的数据、个人信息及数据衍生物,并要求医疗机构每年开展数据资产梳理、数据分类分级和数据安全风险评估。 

因此,《网络数据安全风险评估办法》落地到医院,核心不是“补一份报告”,而是建立一套可持续运行的院级数据安全风险管理机制。

一、先判断:医院是否属于“重要数据处理者”

《办法》明确,重要数据处理者应当每年度开展风险评估;重要数据安全状态发生重大变化、可能对数据安全造成不利影响的,应当及时对变化及影响部分开展风险评估;一般数据处理者则被鼓励至少每3年开展一次风险评估。 

对医疗机构来说,不宜简单按“三级医院、二级医院、专科医院、民营医院”来判断是否属于重要数据处理者,而应从数据本身和处理活动出发判断。建议重点核查以下几类数据:

第一,是否处理达到一定规模、精度或者覆盖范围的诊疗数据、电子病历、医学影像、检验检查、处方、医保结算、公共卫生、传染病监测、妇幼健康、慢病管理等数据。

第二,是否承担区域全民健康信息平台、医联体平台、专科联盟平台、公共卫生平台、互联网医院平台、临床科研数据平台等数据汇聚或交换职责。

第三,是否开展真实世界研究、临床试验、药械研发、AI模型训练、医学影像算法训练、专病数据库建设等高价值数据开发利用活动。

第四,是否涉及跨机构共享、委托处理、共同处理、第三方运营、云平台存储、数据出境、远程运维、外包开发等复杂数据处理场景。

第五,是否存在一旦泄露、篡改、毁损、滥用,可能影响公共健康、医疗秩序、患者生命安全、社会稳定或者国家安全的数据。

简言之,医院应先做“重要数据识别”,再决定年度风险评估的深度、频次和报送要求。不能等主管部门来认定,也不能把全部数据简单归为“一般数据”。

二、把评估对象从“系统”扩展到“数据处理活动”

很多医院过去做安全工作,习惯从信息系统入手,例如HIS、EMR、LIS、PACS、RIS、医保接口、互联网医院平台、OA、科研平台、数据中心等。这种做法必要,但不够。

《办法》所称风险评估,是对网络数据和网络数据处理活动安全进行风险识别、风险分析和风险评价。官方答记者问也明确,风险评估对象不只是系统,而是网络数据及其处理活动。 

医疗机构开展评估,应至少覆盖以下七类典型场景:

一是诊疗主流程数据。包括门急诊、住院、电子病历、医嘱、护理、检验、检查、影像、手术、麻醉、处方、病案首页等。

二是医保与支付数据。包括医保结算、DRG/DIP、商保直付、移动支付、财务收费、电子票据等。

三是互联网医疗数据。包括线上问诊、复诊续方、电子处方流转、患者上传资料、音视频问诊记录、随访数据、线上客服数据等。

四是科研与教学数据。包括临床研究数据库、专病库、真实世界数据、样本库关联数据、伦理审查材料、论文数据、AI训练数据等。

五是医疗设备和物联网数据。包括大型影像设备、床旁监护、输注泵、检验设备、手术机器人、可穿戴设备、院内物联网终端等。

六是公共卫生和监管上报数据。包括传染病直报、药品不良反应、病案质控、区域平台上报、行业统计、医疗质量监测等。

七是第三方处理数据。包括软件厂商运维、云服务、短信平台、随访外包、影像云、检查检验外送、科研合作、数据标注、算法供应商等。

医院应形成一张“数据处理活动地图”:数据从哪里来、流向哪里、谁在用、用来做什么、是否共享、是否出院、是否上云、是否出境、是否留痕、何时删除。没有这张图,风险评估很容易变成“系统漏洞扫描报告”,无法回答监管真正关心的问题。

三、建立院级项目组,而不是交给信息科单独完成

医疗数据安全不是信息科单兵作战。国家卫健委《医疗卫生机构网络安全管理办法》要求医疗卫生机构成立网络安全和信息化工作领导小组,由单位主要负责人任组长;同时要求建立数据安全管理组织架构,明确业务部门与管理部门在数据安全全生命周期中的权责。 

建议医院在现有网络安全和信息化领导小组下,设立“网络数据安全风险评估专项工作组”。职责可以这样分:

院领导负责统筹资源和重大风险决策。

信息中心或网络安全部门负责项目组织、系统清单、技术检查、日志核验、整改跟踪。

医务、护理、门诊、住院、药学、检验、影像、病案、医保、财务、科研、教学、设备、公共卫生等业务部门负责确认数据来源、使用目的、共享对象、业务必要性和风险影响。

法务、合规、审计、纪检部门负责审查制度、合同、授权、知情同意、委托处理、共同处理、数据出境、第三方责任等事项。

采购和设备部门负责梳理供应商、医疗设备厂商、维保单位、云服务商、外包团队的接入权限和安全义务。

第三方评估机构可以参与评估实施,但不能代替医院承担主体责任。《办法》明确,网络数据处理者可以自行或者委托第三方评估机构开展风险评估;自行开展的,应指定专人负责;委托第三方的,应通过合同等法律文件明确双方权利义务。 

四、医院可采用“八步法”完成一次有效评估

第一步,制定年度评估计划。明确评估范围、系统边界、数据范围、重点场景、人员分工、时间安排、访谈对象、抽样方式和交付物。建议与等级保护测评、年度安全自查、密码应用评估、个人信息保护影响评估、内控审计等工作统筹安排,避免重复检查、重复访谈、重复整改。

第二步,建立数据资产台账。至少记录系统名称、数据类别、数据字段、数据规模、数据级别、责任部门、存储位置、备份位置、共享对象、接口清单、保存期限、删除机制、是否含敏感个人信息、是否可能构成重要数据等。

第三步,开展数据分类分级。医疗机构不能只做“系统资产分类”,还要做“数据分类分级”。可结合《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025)、《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)以及卫生健康行业数据分类分级要求开展。GB/T 45577-2025已作为现行推荐性国家标准,明确了数据安全风险评估的实施流程、评估内容、分析评价方法和报告模板;GB/T 39725-2020则是健康医疗数据安全领域的重要参考标准。 

第四步,梳理处理活动清单。每一类数据都要对应具体处理活动,例如收集、存储、使用、加工、传输、提供、公开、删除。每一项处理活动都要回答四个问题:目的是否明确,范围是否最小,权限是否受控,日志是否可查。

第五步,识别重点风险。医疗机构常见风险包括:医生或内部人员越权查询非诊疗相关患者信息;供应商共用远程运维账号;数据库管理员权限过大;PACS影像外发缺少脱敏和审批;科研数据未经伦理、脱敏或授权即导出;医保、商保、随访、短信等接口传输字段超范围;互联网医院音视频资料保存期限不清;医疗设备使用弱口令或老旧系统;备份数据未加密;移动介质、微信群、个人邮箱传输患者资料;AI训练使用患者数据但缺少合规评估;勒索攻击导致诊疗系统中断。

第六步,开展风险分析和评价。建议采用“可能性×影响程度”的矩阵法,但影响程度不能只看经济损失,还要看患者权益、医疗安全、诊疗连续性、公共卫生影响、监管处罚、社会舆情和医院声誉。对重要数据、高敏感个人信息、关键业务系统,应提高风险权重。

第七步,形成整改闭环。每一项风险必须对应整改责任部门、责任人、整改措施、完成时限、验证方式和剩余风险说明。对高风险事项,应提交院级会议决策,明确预算、人员和技术建设计划。

第八步,编制并留存风险评估报告。重要数据处理者应在年度风险评估完成后的20个工作日内,按照主管部门要求报送风险评估报告;主管部门不明确的,向省级网信部门或者国家网信部门报送。风险评估报告至少保存3年。 

五、风险评估报告不能写成“模板作文”

医院的风险评估报告至少应包括以下内容:

机构基本情况,包括医院等级、业务类型、信息系统总体情况、数据安全组织架构、数据安全制度建设情况。

评估范围和方法,包括纳入评估的系统、数据、处理活动、第三方、接口、云平台和抽样规则。

数据资产和分类分级结果,包括一般数据、重要数据、核心数据识别情况,以及敏感个人信息和高风险处理活动清单。

数据处理活动分析,包括收集、存储、使用、加工、传输、提供、公开、删除等环节的合法性、必要性、安全性评价。

现有安全措施,包括身份认证、访问控制、最小权限、日志审计、数据加密、脱敏、备份恢复、接口管控、终端管控、数据库审计、数据防泄漏、态势感知、应急响应等。

风险清单和风险等级,包括风险描述、涉及系统、涉及数据、风险原因、可能后果、风险等级、责任部门。

整改计划和验证结果,包括整改措施、完成时限、责任人、验证证据、剩余风险和管理层接受情况。

结论和建议,包括是否存在重大数据安全风险,是否需要立即整改,是否需要暂停某些数据处理活动,是否需要开展专项评估。

真正有价值的报告,应当能支持院领导回答三个问题:医院最重要的数据在哪里,当前最大的风险是什么,下一步资源应投向哪里。

六、第三方评估机构要选得慎重、管得严格

《办法》鼓励相关评估机构通过认证,并要求评估机构公正客观作出风险判断,对报告真实性、有效性、完整性负责;同时规定评估机构不得转委托,同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。 

医疗机构选择第三方时,不能只看报价。建议重点审查以下事项:

是否具备数据安全、个人信息保护、医疗行业、等级保护、密码应用、云安全、渗透测试、数据库安全、接口安全等复合能力。

是否熟悉HIS、EMR、LIS、PACS、医保、互联网医院、科研数据平台、医疗设备等医疗场景。

是否能够提供方法论、项目计划、访谈清单、取证清单、风险矩阵、报告模板和整改辅导。

是否签署保密协议、数据处理协议和廉洁承诺。

是否明确数据访问范围、账号权限、现场评估方式、远程接入方式、评估数据删除方式和资料归还方式。

是否承诺不转委托、不违规留存数据、不将医院数据用于培训、宣传、案例展示或其他商业目的。

医院要记住:第三方可以帮医院“做评估”,但不能替医院“担责任”。

七、把风险评估嵌入医院日常治理

一次评估解决不了所有问题。医疗机构应把风险评估制度化,形成“年度全面评估+重大变化专项评估+高风险场景即时评估”的机制。

以下场景建议触发专项评估:

新建互联网医院、AI诊疗、医学影像云、区域医联体平台、科研数据平台、患者服务平台等系统上线前。

HIS、EMR、LIS、PACS、医保接口、数据中心、云平台发生重大升级或迁移前。

新增外部数据共享、委托处理、共同处理、商保合作、科研合作、数据标注、算法训练等项目时。

发生数据泄露、勒索攻击、越权查询、接口异常调用、批量导出、供应商违规操作等事件后。

涉及重要数据出境、跨境远程访问、境外合作研究、境外云服务或境外接收方时。

医疗机构还应把评估结果转化为预算和建设任务。例如,高风险集中在账号权限,就建设统一身份认证、单点登录、特权账号管理和行为审计;高风险集中在接口,就建设API网关、接口审批、字段级控制和调用监测;高风险集中在科研数据,就建设脱敏平台、数据沙箱、可信执行环境或“数据可用不可见”机制。

八、建议医院按90天完成首轮落地

第一阶段:0—15天,完成组织和边界确认。成立专项工作组,明确牵头部门和责任人;确定是否涉及重要数据;梳理核心系统、重点数据和第三方清单;确定年度评估计划和报告模板。

第二阶段:15—45天,完成资产和活动盘点。建立数据资产台账、系统清单、接口清单、第三方清单、数据处理活动清单;完成初步分类分级;识别重要数据和敏感个人信息处理活动。

第三阶段:45—70天,完成现场评估和风险分析。开展部门访谈、制度核查、合同核查、权限核查、日志抽样、接口核查、数据库检查、远程运维检查、备份恢复检查、医疗设备安全检查、科研数据流转检查。

第四阶段:70—90天,完成报告和整改闭环。形成风险评估报告、风险清单、整改台账和管理层汇报材料;对高风险事项立即整改;对中长期事项纳入预算、项目建设和绩效考核;需要报送的,按主管部门要求完成报送。九、给医院管理者的12项落地清单

一份年度网络数据安全风险评估计划。

一份数据安全组织架构和职责分工表。

一份数据资产台账。

一份数据分类分级清单。

一份重要数据识别清单。

一份数据处理活动清单。

一份系统、接口、第三方、云平台和远程运维清单。

一份高风险场景清单。

一份风险评估报告。

一份整改台账和验证记录。

一套报告报送和留存材料。

一套持续监测、应急处置和复评机制。

医疗机构落实《网络数据安全风险评估办法》,不是为了“应付检查”,而是为了在数字化医疗持续深化的过程中,守住三条底线:患者隐私不能泄露,诊疗秩序不能中断,重要数据不能失控。

未来,医院的数据安全能力将不再只体现在防火墙、等保测评或安全设备数量上,而是体现在能否说清楚数据在哪里、谁在用、怎么流动、风险多大、如何整改。谁先把这套机制建起来,谁就能在合规监管、业务创新、科研转化和患者信任之间取得更稳的平衡。