隨著互聯網、大數據以及云計算在醫療信息化中廣泛應用，其信息安全越來越受到關注。不夸張地說，安全已經成為醫療信息化的根基所在。如何證明所提供的服務是安全可靠、值得依賴的，這對醫療信息化企業而言是一個問題。動脈網也對目前信息化安全部分的重要認證進行了盤點，希望能夠有所參考。

?

信息安全認證是什么，有多重要？

信息安全管理體系（ISMS，Information Security Management Systems）是企業整體管理體系的一個部分，是基于風險評估建立、實施、運行、監視、評審、保持和持續改進信息安全等一系列的管理活動。可用于企業信息安全管理和建設，通過管理體系保障企業全方面的信息安全。

?

企業通過信息安全管理體系的認證準備工作極為復雜，通常會讓企業上下感覺“脫了一層皮”。不過，通過信息安全管理體系的相關認證對于企業來說確實利大于弊。

?

一般來說，通過信息安全管理體系的相關認證能給企業帶來四方面的好處：對內部，它可以顯著提升企業的信息安全管理能力，增強員工對信息安全管理的認知，有效防范和控制信息安全風險；對客戶，它是國家認可的第三方客觀認證證明，讓客戶對通過認證的企業提供的產品和服務感到信賴和放心；對合作商，它是企業與國際信息安全標準的接軌證明，與通過同類認證的企業合作時可以直接互認對方的信息安全管理水平；對行業，它是信息安全行業內的標桿，既能展示企業信息安全管理水平，也能提升企業品牌形象和行業競爭力。”

?

企業通過信息安全認證就好比一個初出茅廬的新人通過辛苦的閉關修煉，最終被認可為武林高手。

?

信息安全變得越來越重要，它的發展過程是什么？

近年來，我國逐步加強了對信息安全的標準制定，并制定了不少政策法規。

在這個大背景下，國家醫療保障局近年來加快推進醫保信息化和標準化工作，并在2019年提出將“持續推進標準化和信息化建設”作為年度重點工作，凸顯了“個人健康和疾病數據”安全在當前的重要性，“確保數據安全”被提到了前所未有的高度。

?

提到信息安全，首先要看的就是ISO 27001。這是ISO 27000系列認證的主標準，類似于ISO 9000系列中的ISO 9001。

?

毫不夸張的說，ISO 27001是國際上最權威、最嚴格，也是最被廣泛接受和應用的信息安全領域的體系認證標準。組織機構通過ISO 27001認證，就表示組織的信息安全管理已建立了一套科學有效的管理體系作為保障，能夠為用戶提供可靠的信息服務。

?

此外，ISO 27017及ISO 27018也是目前云服務最為常見的國際標準。

近年來，醫療信息化不僅成為醫療行業發展的重要方向，也是“十三五”國家網絡安全和信息化建設重點。在該細分產業中不乏老牌巨頭，如東軟集團、衛寧科技等，也不乏跨界新秀，比如平安集團旗下的平安醫保科技。

據悉，平安醫保科技作為后起之秀，早在去年年底已正式獲得由SGS（通標標準技術服務有限公司）頒發的ISO 27017和ISO 27018國際安全體系認證。

?

“結合今年上半年已獲得的ISO 27001國際信息安全管理體系標準認證，我們（平安醫保科技）已經集齊了信息安全領域關鍵的三重保障，開發及運維水平達到國際認可水準。”平安醫保科技對于自身的信息安全水平非常有信心。

?

動脈網認為，上述認證使得平安醫保科技在滿足公司業務招投標和日常信息安全管理的同時，更能被國外的投資機構所認可，值得為廣大信息企業借鑒。

?

從開發著手，運維緊跟，知識產權護航，信息安全不能成為“空中樓閣”

毫無疑問，一切安全都是構建在開發基礎之上。沒有堅實成熟的軟件開發體系，所謂安全只能是如空中樓閣一般的幻影。

?

例如，CMMI（Capability Maturity Model Integration），即軟件能力成熟度集成模型，是用于衡量企業軟件研發能力成熟度和項目管理水平的國際權威標準，被公認為軟件企業走向國際市場的通行證。去年10月，平安醫保科技收獲了其最高等級的CMMI 5級資質，成為平安集團旗下第一家獲取CMMI 5級資質的子公司。

?

同時，該公司早期還通過了軟件安全開發三級認證，引入了模化敏捷框架SAFE4.0，并順利通過ITSS運維三級認證，幾乎囊括了相關領域的所有認證標準；在知識產權方面，平安醫保科技目前累計申請專利近千件，軟件著作權近百件，在法律層面保障了信息安全管理體系覆蓋的IT系統的合法權益。

?

這些重要認證的通過、研發過程的敏捷轉型、知識產權的保證，標志著它在軟件研發的過程組織能力、技術研發能力、項目管理能力、方案交付能力等方面都達到了國際領先水平。

?

領先行業，信息安全助力平安醫保科技不斷斬獲成功

正是由于信息安全的基礎保障堅固，能將任何信息泄露的風險、系統安全隱患都降到最低，平安醫保科技才能在市場上被政府部委和更多的客戶所認可。

?

動脈網了解到，單去年一年內，平安醫保科技的實力就得到了各級醫保局的認可。2019年5月，平安醫保科技中標國家醫療保障局醫療保障信息平臺宏觀決策大數據應用子系統、運行監測子系統的建設工程采購項目，為國家醫保局開展科學決策和精細化管理提供專業化、系統化的支持，協助國家醫保局構建“決策規劃-政策執行-運行監測-分析反饋”的管理閉環。

隨后，又相繼中標了青島市醫療保障局醫保監管服務項目、山東省醫療保障局智能監管系統信息化平臺項目等，捷報頻傳。

?

“截至2019年底，我們的市場已覆蓋全國近30個省、200余個城市，為8億社會公眾提供服務。”平安醫保科技相關負責人介紹道。

?

同時，平安醫保科技取得的成績也獲得了專業媒體的認可。就在去年底結束的動脈網“2019未來醫療100強”論壇上，平安醫保科技繼2018年榮膺“2018未來醫療100強中國醫療榜TOP 100榜首”后，再度榮膺“2019未來醫療100強-中國數字醫療榜”榜首，并摘得“年度創新企業”榮譽稱號。

?

寫在最后

近年來，醫療信息化、互聯網醫療領域重量級政策和標準頻發。盡管這些創新帶來了極大的便利，但無論是醫院信息化建設、互聯網醫院還是遠程醫療，都不能避開系統安全和數據安全的問題。云時代的來臨，更讓醫療相關機構保障信息系統和數據的安全性，顯得尤為重要。

?

我們認為，有能力的企業應該持續追求最先進的IT技術，如人工智能、區塊鏈、云等，這些代表著先進的生產力。同時企業也應該堅持高標準的相關認證，并重視各項信息安全的管理實際落地。只有這樣，企業才能真正為醫療信息化建設行業賦能。