2022年医疗行业网络安全报告2023-1数说安全研究院有限公司关键经营数据分析——现金流健康度继续下降 数说安全研究院 医疗行业报告•医疗行业信息化和政策概况•医疗行业市场概况•医疗行业供给侧分析•总结 关键经营数据分析——现金流健康度继续下降 数说安全研究院 医疗行业概况•研究主体•医疗行业信息化进程•医疗行业网络安全政策环境•医疗行业市场规模•医疗行业构成•医疗行业需求简要分析 关键经营数据分析——现金流健康度继续下降 数说安全研究院 我国的医疗健康体系主要包括医疗机构、医药、医保三类，其监管部门分别为国家及各地卫生健康委员会、国家药品监督管理局和国家医疗保障局。医疗机构主要包括各级别的医院、基层医疗机构、公共卫生机构、医联体等。医疗信息化指医疗服务的数字化、网络化、信息化，狭义上的医疗信息化包括医院管理信息化、临床管理信息化和区域信息化;广义上的医疗信息化还应包括医保信息化和药品流通信息化。本报告主要探讨的是医疗机构和医保局信息化的进程及带来的网络安全的需求，医药信息化不在此报告讨论。•研究主体卫健委医疗服务市场的整体秩序，医疗服务资质的合法合规，医疗质量及其安全性等医院基层医疗公共卫生机构医联体其他医疗机构医保局负责医保支付各地医保局药监局负责药品、医疗器械的监管药企医疗器械 关键经营数据分析——现金流健康度继续下降 数说安全研究院 •医疗机构构成2021年末，全国医疗卫生机构总数1030935个，比上年增加8013个。其中：医院36570个，与上年相比，医院增加1176个，基层医疗卫生机构增加7754个。医院中：三级医院3275个（其中：三级甲等医院1651个），与上年相比三级医院增加279家，三级甲等医院增加71家；二级医院10848个，一级医院12649个，未定级医院9798个。专业公共卫生机构中：疾病预防控制中心3376个，卫生监督机构3010个，妇幼保健机构3032个。疾病预防控制中心（3376个）•省级31个•地（市）410个•县（区、县级市）级2755个卫生监督机构（3010个）•省级25个•地（市）级315个•县（区、县级市）级2487个妇幼保健机构（3032个）•省级26个•地（市）级377个•县（区、县级市）级2554个数据来源：卫生健康委网站 关键经营数据分析——现金流健康度继续下降 数说安全研究院 管理信息化（HIS）•以HIS系统建设为主•实现医院挂号、收费、出入院、药品和收费的管理。临床医疗信息化（CIS）•以患者为中心的业务系统•包括电子病历（EMR）、影像系统（PACS）、化验系统（LIS）和手麻系统等区域医疗信息化（GMIS）•以电子病历为核心的互联互通；•互联网医院•数据集成平台•医联体建设•医保信息化标准化智慧医疗服务•智慧医院、区域医疗和家庭健康构成的全方位、全覆盖的医疗系统•医疗行业信息化现状 1.0十二五期间，基础信息系统建设基本完成2.0十三五期间，医疗子系统整合3.0十四五时期，建立智慧医疗雏形我国信息化建设30余年，主要分为三个阶段：1.0阶段：基础信息系统建设：我国医疗信息化起始于20世纪70年代，当时医院信息化建设以单机版为主，HIS系统应运而生，主要是简单的管理应用。随着网络技术和计算机技术的普及以及技术的成熟，医院信息化建设也逐渐从单机版向网络版发展，HIS系统以门诊、住院收费为基础，逐步扩展到收费管理、药品数据等。2010年掀起了HIS建设热潮，目前在全国范围内部署渗透率较高。21世纪初，我国医疗行业开始引进以患者为中心的CIS系统，自此信息化建设向临床信息化转移，主要包括EMR、PACS、LIS等诊疗系统，实现患者诊疗环节全部流程信息化，提升临床医疗效率。十二五期间，基础信息系统建设基本完成。2.0阶段：区域医疗信息化：十三五期间，国务院推动分级诊疗建设，开始强调电子病历等核心医疗数据的共享。但是医疗信息化建设涵盖诸多子系统，每个系统都有不同的供应商，不同产品之间的数据端口和格式不统一，为了解决院内信息系统的互联互通和数据管理的问题，医院构建了信息集成平台和数据集成平台。随着互联网应用的深入，“互联网”+医疗健康发展迅猛，2019年开始智慧服务分级评估，二级以上公立医院建设互联网医院成为标配。2018年以来卫健委、医保局等部委出台了大量的医疗信息化政策，主要集中在电子病历升级、医联体建设、互联网诊疗、医保信息标准化和医保收费制度改革5个领域。3.0阶段：智慧医疗服务：中国医疗信息化建设的最终目标是智慧医疗，由智慧医院、区域医疗和家庭健康构成的全方位、全覆盖应用场景广泛的医疗系统。 关键经营数据分析——现金流健康度继续下降 数说安全研究院 十四五期间医疗行业信息化趋势Ø医院：三位一体智慧医院建设，“以评促建”政策体系搭建完成Ø互联网+医疗健康：互联网+配套政策文件完善Ø区域医疗：分级诊疗制度体系建设基本完成Ø医保：支付改革目标已经确立 云计算大数据物联网移动应用5G人工智能政策科技医联体区域医疗智慧医院医共体应用场景互联网+医疗健康医保支付改革政策医院：院内系统：三位一体智慧医院建设，“以评促建”政策体系搭建完成2018.12月《电子病历系统应用水平分级评价管理办法（试行）及评价标准（试行）》；2019.3月《医院智慧服务分级评估标准体系（试行）》；2020.8月《医院信息互联互通标准化成熟度测评方案》；2021.3月《医院智慧管理分级评估标准体系》互联网+医疗健康配套文件完善国务院指导文件：《关于促进“互联网+ 医疗健康”发展的意见》(国办发〔2018〕26 号》；卫健委配套文件：《互联网诊疗管理办法(试行)》和《互联网医院管理办法及标准(试行)》以及《远程医疗服务管理规范》，管理办法要求医疗机构开展互联网诊疗活动，应当具备满足互联网技术要求的设施信息系统、技术人员以及信息安全系统，并实施第三级信息安全等级保护。区域医疗：分级诊疗制度体系建设基本完成•2017年8月国务院办公厅印发《关于推进医疗联合体建设和发展的指导意见》将我国医联体分为四种组织模式：城市医疗集团、县域医共体、专科联盟、远程医疗协作网。•2019年《国家医学中心和国家区域医疗中心设置实施方案》，提出在全国建设高水平的国家医学中心和国家区域医疗中心，进一步完善医疗服务体系顶层设计，优化优质医疗资源布局，提升区域医疗服务保障能力，减少患者异地就医。•2020年7月，《医疗联合体管理办法（试行）》，文件提出加快推进医联体建设，逐步实现医联体网格化布局管理，并印发了《紧密型县域医疗卫生共同体建设评判标准和监测指标体系（试行）的通知》。•2021年，《“十四五”优质高效医疗卫生服务体系建设实施方案》，提出2025年各地建设120个左右省级区域医疗中心。•自此我国分级诊疗制度体系建设逐渐完善，一是国家层面设置国家医学中心和国家区域医疗中心，建立国家、省、地市、县四级医疗卫生服务体系；二是，加强和规范医联体建设，推广远程医疗服务，深入开展城乡医院对口支援，特别是增强县级医院的综合服务能力。医保局：支付改革目标已经确立2021年10月国家医疗保障局《印发DRG/DIP 支付方式改革三年行动计划的通知》国家医保局依托全国统一的医保信息平台制定DRG/DIP 相关信息系统标准和规范。区域医疗目标10%国家医学中心专家解决疑难杂症40%病案管理：市县专科与综合医院大病医治「50公里」50%健康档案：社区专科与家庭医生签约服务慢病管理、康复护理「15分钟」国家地方大型医院市县二级医院基层社区中心立体到位扁平到家医联体远程医疗医共体•医疗行业信息化现状 关键经营数据分析——现金流健康度继续下降 数说安全研究院 •医疗行业网络安全建设政策背景 “十二五”时期（2011-2015）国家层面：2015年7月《国家安全法）；行业监管层面：2007.公安部等四部门发布等保1.0管理办法：为信息安全建设提供了框架标准的具体要求。2011.卫生部《卫生行业信息安全等级保护工作的指导意见》：明确提出三级甲等医院的核心系统必须通过等保三级测评。国家层面：2017年6月1日，《网络安全法》正式开始施行；2020年1月，《密码法》，开始实施；行业监管层面：公安部：2019.5公安部发布《信息安全技术网络安全等级保护基本要求》：卫健委：2018.4《全国医院信息化建设标准与规范（试行）》对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。2018.9《国家健康医疗大数据标准、安全和服务管理办法（试行）》：明确责任单位应当落实网络安全等级保护制度要求，对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。2019.3《关于印发全国基层医疗卫生机构信息化建设标准与规范》明确了基层医疗卫生机构未来5-10 年信息化建设和信息安全的基本内容和要求。2020.12《全国公共卫生信息化建设标准与规范》着眼未来5-10年全国公共卫生信息化建设，对信息安全提出要求。2020.9《关于加强全民健康信息标准化体系建设的意见》完善加强推进对网络安全、数据安全、应用安全标准体系建设。医保局：2020.2《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》要求不断提升信息化水平，同步做好互联网医保服务有关数据的网络安全工作，防止数据泄露。国家层面：2021年1月，《个人信息保护法》开始实施;2021年9月，《数据安全法》正式实施；2021年9月，《关键信息基础设施保护条例》；2022年2月，《网络安全审查办法》；行业监管层面：医保局：2021.4《关于加强网络安全和数据保护工作的指导意见》明确提出到2022年基本建成基础强、技术优、制度全、责任明