医疗信息化服务需要哪些安全认证？

随着互联网、大数据以及云计算在医疗信息化中广泛应用，其信息安全越来越受到关注。不夸张地说，安全已经成为医疗信息化的根基所在。如何证明所提供的服务是安全可靠、值得依赖的，这对医疗信息化企业而言是一个问题。动脉网也对目前信息化安全部分的重要认证进行了盘点，希望能够有所参考。

信息安全认证是什么，有多重要？

信息安全管理体系（ISMS，Information Security Management Systems）是企业整体管理体系的一个部分，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动。可用于企业信息安全管理和建设，通过管理体系保障企业全方面的信息安全。

企业通过信息安全管理体系的认证准备工作极为复杂，通常会让企业上下感觉“脱了一层皮”。不过，通过信息安全管理体系的相关认证对于企业来说确实利大于弊。

一般来说，通过信息安全管理体系的相关认证能给企业带来四方面的好处：对内部，它可以显着提升企业的信息安全管理能力，增强员工对信息安全管理的认知，有效防范和控制信息安全风险；对客户，它是国家认可的第三方客观认证证明，让客户对通过认证的企业提供的产品和服务感到信赖和放心；对合作商，它是企业与国际信息安全标准的接轨证明，与通过同类认证的企业合作时可以直接互认对方的信息安全管理水平；对行业，它是信息安全行业内的标杆，既能展示企业信息安全管理水平，也能提升企业品牌形象和行业竞争力。”

企业通过信息安全认证就好比一个初出茅庐的新人通过辛苦的闭关修炼，最终被认可为武林高手。

信息安全变得越来越重要，它的发展过程是什么？

近年来，我国逐步加强了对信息安全的标准制定，并制定了不少政策法规。

在这个大背景下，国家医疗保障局近年来加快推进医保信息化和标准化工作，并在2019年提出将“持续推进标准化和信息化建设”作为年度重点工作，凸显了“个人健康和疾病数据”安全在当前的重要性，“确保数据安全”被提到了前所未有的高度。

提到信息安全，首先要看的就是ISO 27001。这是ISO 27000系列认证的主标准，类似于ISO 9000系列中的ISO 9001。

毫不夸张的说，ISO 27001是国际上最权威、最严格，也是最被广泛接受和应用的信息安全领域的体系认证标准。组织机构通过ISO 27001认证，就表示组织的信息安全管理已建立了一套科学有效的管理体系作为保障，能够为用户提供可靠的信息服务。

此外，ISO 27017及ISO 27018也是目前云服务最为常见的国际标准。

近年来，医疗信息化不仅成为医疗行业发展的重要方向，也是“十三五”国家网络安全和信息化建设重点。在该细分产业中不乏老牌巨头，如东软集团、卫宁科技等，也不乏跨界新秀，比如平安集团旗下的平安医保科技。

据悉，平安医保科技作为后起之秀，早在去年年底已正式获得由SGS（通标标准技术服务有限公司）颁发的ISO 27017和ISO 27018国际安全体系认证。

“结合今年上半年已获得的ISO 27001国际信息安全管理体系标准认证，我们（平安医保科技）已经集齐了信息安全领域关键的三重保障，开发及运维水平达到国际认可水准。”平安医保科技对于自身的信息安全水平非常有信心。

动脉网认为，上述认证使得平安医保科技在满足公司业务招投标和日常信息安全管理的同时，更能被国外的投资机构所认可，值得为广大信息企业借鉴。

从开发着手，运维紧跟，知识产权护航，信息安全不能成为“空中楼阁”

毫无疑问，一切安全都是构建在开发基础之上。没有坚实成熟的软件开发体系，所谓安全只能是如空中楼阁一般的幻影。

例如，CMMI（Capability Maturity Model Integration），即软件能力成熟度集成模型，是用于衡量企业软件研发能力成熟度和项目管理水平的国际权威标准，被公认为软件企业走向国际市场的通行证。去年10月，平安医保科技收获了其最高等级的CMMI 5级资质，成为平安集团旗下第一家获取CMMI 5级资质的子公司。

同时，该公司早期还通过了软件安全开发三级认证，引入了模化敏捷框架SAFE4.0，并顺利通过ITSS运维三级认证，几乎囊括了相关领域的所有认证标准；在知识产权方面，平安医保科技目前累计申请专利近千件，软件着作权近百件，在法律层面保障了信息安全管理体系覆盖的IT系统的合法权益。

这些重要认证的通过、研发过程的敏捷转型、知识产权的保证，标志着它在软件研发的过程组织能力、技术研发能力、项目管理能力、方案交付能力等方面都达到了国际领先水平。

领先行业，信息安全助力平安医保科技不断斩获成功

正是由于信息安全的基础保障坚固，能将任何信息泄露的风险、系统安全隐患都降到最低，平安医保科技才能在市场上被政府部委和更多的客户所认可。

动脉网了解到，单去年一年内，平安医保科技的实力就得到了各级医保局的认可。2019年5月，平安医保科技中标国家医疗保障局医疗保障信息平台宏观决策大数据应用子系统、运行监测子系统的建设工程采购项目，为国家医保局开展科学决策和精细化管理提供专业化、系统化的支持，协助国家医保局构建“决策规划-政策执行-运行监测-分析反馈”的管理闭环。

随后，又相继中标了青岛市医疗保障局医保监管服务项目、山东省医疗保障局智能监管系统信息化平台项目等，捷报频传。

“截至2019年底，我们的市场已覆盖全国近30个省、200余个城市，为8亿社会公众提供服务。”平安医保科技相关负责人介绍道。

同时，平安医保科技取得的成绩也获得了专业媒体的认可。就在去年底结束的动脉网“2019未来医疗100强”论坛上，平安医保科技继2018年荣膺“2018未来医疗100强中国医疗榜TOP 100榜首”后，再度荣膺“2019未来医疗100强-中国数字医疗榜”榜首，并摘得“年度创新企业”荣誉称号。

写在最后

近年来，医疗信息化、互联网医疗领域重量级政策和标准频发。尽管这些创新带来了极大的便利，但无论是医院信息化建设、互联网医院还是远程医疗，都不能避开系统安全和数据安全的问题。云时代的来临，更让医疗相关机构保障信息系统和数据的安全性，显得尤为重要。

我们认为，有能力的企业应该持续追求最先进的IT技术，如人工智能、区块链、云等，这些代表着先进的生产力。同时企业也应该坚持高标准的相关认证，并重视各项信息安全的管理实际落地。只有这样，企业才能真正为医疗信息化建设行业赋能。

来源：动脉网   作者： 陈鹏