医院等保应该如何定级

不同行业在做等保的过程中会有行业的明文规定，有些行业会规定下属单位系统在进行等保过程中如何定级，比如医疗行业就是典型的例子，在进行等保定级过程中除了要遵循《信息安全技术 网络安全等级保护定级指南》GA/T 1389—2017、《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020两个标准之外，还需要遵循卫办发[2011]85号《卫生行业信息安全等级保护工作的指导意见》相关要求，针对要求内容对系统定级进行下一步的细分。

比如细则中严格规定：

以下重要卫生信息系统安全保护等级原则上不低于第三级：

（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；

（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；

（3）三级甲等医院的核心业务信息系统；

（4）卫生部网站系统；

（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。

所以如果您的系统即便是不含太多重要信息，但是属于以上五种系统中的一个，那也是三级系统，需要定级为三级等保。

如果您的系统不在上述五个系统之内，并且是单纯的网页展示类或者内网类，可以定为二级系统，比如官方网站，内部OA系统等。

所以医院系统在进行定级时候需要依据《卫生行业信息安全等级保护工作的指导意见》中细则要求比对本单位系统所处范围再进行定级。