网络安全法、数据安全法、个人信息保护法、电子签名法
2、依据国标修订
●《信息安全技术网络安全等级保护基本要求》GB/T22239-2019
●《数据安全技术数据分类分级规则》GB/T43697-2024
●《信息安全技术个人信息安全规范》GB/T35273-2020
●《数据中心设计规范》GB50174-2019
●《综合布线系统工程设计规范》GB50311-2022
●《网络安全审查办法》
3、依照行业主管要求
●《医疗卫生机构网络安全管理办法》2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局印发(国卫规划发〔2022〕29号)
●关于落实卫生健康行业网络信息与数据安全责任的通知(国卫办规划发[2019]8号)
●医疗质量安全核心制度第18项
●《电子病历应用管理规范(试行)》
●《电子认证服务管理办法》2009年2月18日以中华人民共和国工业和信息化部令第1号公布,根据2015年4月29日中华人民共和国工业和信息化部令第29号《工业和信息化部关于修改部分规章的决定》修订。第五条,第六条
4、低级别提高要求
随着水平的提高,随着技术的发展,随着网络安全/数据安全/个人信息保护要求的提高,把2018版的有些要求下降到低级别。
例:低级别要有灾备机房
5、高级别增加要求
随着水平的提高,随着技术的发展,随着网络安全/数据安全/个人信息保护要求的提高,对高级别提出新的要求。
6、新增加要求已经应用验证
对高级别提出的新要求全部在一些医院已经得到应用验证。
7、技术要求深入、具体
例1:各重要信息系统具有身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范能力一(等保第三级要求)。
例2:定期对系统的弱口令进行排查,定期开展病毒查杀,保持病毒库最新。及时修补高风险系统漏洞。
例3:互联网暴露的信息系统具备应用层防护能力。
例4:内网的核心数据对互联网访问的控制方式。
9、新政策要求
1、信创技术应用。比如:服务器、服务器操作系统、数据库软件应使用信创产品。
2、密码应用。比如:互联网环境下患者敏感数据应采用国产加密算法进行加密存储、加密传输。重要数据进行加密传输、加密存储。