2022年，卫生健康行业主管部门印发《医疗卫生机构网络安全管理办法》，提出了构建“管理、技术、运营”三位一体的安全防护体系。各级医院先后启动了医院安全防护体系建设。然而，由于不同医院在其网络安全管理水平、技术人员能力、以及资金投入等方面的差距，在落实《医疗卫生机构网络安全管理办法》要求，建立安全防护体系的成效上缺少客观评价的依据。

为此，中国医院协会信息专业委员会（CHIMA）组织相关专家编制了《医院网络安全运营能力成熟度评估指南》【试行版】，旨在为医院安全运营建设提供一套科学、系统、规范的评估标准和验证流程，为医院信息系统的安全、稳定和高效运行提供更好保障。

该网络安全运营能力成熟度评估框架包括：安全策略与制度，风险管理，安全技术措施，人员能力与安全意识，应急响应能力和持续改进机制等方面内容，形成完整评估链条，如图所示：

安全运营能力成熟度评估框架

过程域定义“做什么”，能力域回答“如何做”，层级域明确“做到什么程度”。

• 过程域：在实施网络安全运营工作时，首要任务是明确网络安全运营工作的具体内容，将所有相关工作进行系统化整理，整理结果即为过程域。

• 能力域：这些工作需要具备何种能力，如图所述，安全运营能力体现在“组织人员、制度流程、技术工具、工作执行”这四个维度上，每个工作项都应在这些维度上满足相应的条件要求，这四个维度即为能力域。

• 层级域：鉴于安全运营是一个持续优化的管理过程，为了体现工作在四个能力维度上的效果，我们将安全运营工作划分为五个阶段性的层级，以展示安全运营工作的持续优化过程，这五个阶段即为层级域。

围绕各框架中过程域的具体工作项，基于四项能力维度和五级层级体系，构建了系统化、分层次的标准化指标评估体系结构，通过量化指标要素建立网络安全能力评估标准，如下图结构所示，每项工作会分为四个能力项，每个能力项又具备5个等级，每个等级会有具体的指标项要求，整篇指南可评估指标项500+。

指南评估指标结构对照

CHIMA提到，指南用于医院自行评估，旨在协助医院进行“指导医院规划-评估运营现状-改进建设不足”，各个医院可自行选择开展。

特别声明：智慧医疗网转载其他网站内容，出于传递更多信息而非盈利之目的，同时并不代表赞成其观点或证实其描述，内容仅供参考。版权归原作者所有，若有侵权，请联系我们删除。

凡来源注明智慧医疗网的内容为智慧医疗网原创，转载需获授权。