在国家等级保护2.0标准发布之前，医院医疗行业就已经是等级保护测评的重点对象了。随着互联网+的发展，医疗行业为了提供更便捷的就诊服务，也开始进行互联网的部分接入。而在开放便捷的就业渠道的同时，也为黑客，以及一些不法分子提供了攻击医疗网络的渠道。因此在等级保护测评2.0时代，医疗行业的测评对象也同样需要进行拓展，由原来的信息系统，拓展到新标准要求的测评范围。等级保护测评2.0将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。但是由于医疗行业的行业特征和特殊性，那么该如何开展等级保护测评工作，还需要结合自身实际，进行更为细致科学的调整。

2011年：国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统（可由各省卫健委自己定义）必须通过等级保护测评三级测评，二级医院重要业务系统必须通过等级保护测评二级测评；

2016年：国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定了重要业务系统必须达到等级保护测评三级标准才满足三级医院评审标准中对于网络安全的要求；

2018年：国家卫健委《国家健康医疗大数据标准、安全和服务管理办法（试行）》规定了承载健康医疗大数据的平台必须通过等级保护（未规定级别），一般引入大数据技术的医院都是三级甲等医院，基本以三级等级保护测评为主；国家卫健委《互联网医院管理办法（试行）》规定了承载互联网医院的平台必须通过等级保护测评三级测评。

中国医院协会信息专业委员会在去年发布了《2017-2018年度中国医院信息化状况调查报告》，其中对医院实施等级保护情况做了专门章节介绍。其中三级医院实施等级保护测评工作情况明显好于三级以下医院，经济发达地区实施等级保护测评工作的比例高于中等发达地区和经济欠发达地区。我国医院现有的安全保障体系尚处于初步建设阶段，尚不足以应对当前网络安全威胁，行业整体网络安全保障水平亟需提升。

安全就是‘三分技术、七分管理’，不是投入一堆硬件就安全了。很多高分通过等级保护测评三级的医院后来还是出现了安全问题，所以管理一定要跟得上。医院在开展网络安全建设时可以遵循两个原则：一是医院的信息系统不会因为硬件障而停运；二是一定要对核心数据进行安全有效的备份。在国家出台网络安全等级保护2.0标准的背景下，医院上云更加需要一种审慎的态度。尤其在选择云端安全产品时，一定要提前考虑等级保护测评2.0标准的要求，这也是上云必须要解决的问题。

第一，合理开展新业务系统及平台的定级备案工作，如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统，也需要加快等级保护测评建设步伐。

第二，在等级保护测评建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设，以防范特种木马或新型网络攻击。

第三，加强日常安全运维，引入可视化、统一运维等创新技术，让安全管理和运维更简单并且更加有效。

第四，加强主动防御能力，并通过全方位、多视角的风险分析，完善医院网络安全建设短板。从而降低安全风险，提高信息系统健壮性。

第五，适当选择安全厂商提供的安全服务，弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。

总而言之，开展医疗行业的等级保护测评以及加固网络安全等工作，需要参照等级保护测评2.0的标准开展。需要加强技术和管理的结合，从内部网络安全防护做起，提高医护人员和医疗信息系统操作人员的网络安全意识和网络安全技术。同时通过提升网络安全技术和网络安全设备检测能力，增强防御外界攻击的能力。其外，引进网络安全人才或者寻找安全服务商合作，是加强医院自身的网络安全防护能力的非常关键。