三级医院信息安全等级保护要求

医院信息安全等级保护制度医院信息安全等级保护制度一、用户管理制度：为了保证员工账号和密码的安全，信息科不得向任何人透露员工的账号和密码。

医院员工必须遵守以下规定：1）新员工凭人事科报到单，到信息科配置账号和密码；员工离院时：到信息科注销账号和密码；人事科凭信息科“已注消账号和密码”的依据同意员工调出或离院；财务科凭信息科“已注消账号和密码”的依据结付相关费用。

2）员工不得将本人的账号和密码告诉其他人或写在任何其他人可得到的书面资料上，并每隔60天定期修改密码，对有疑问的密码应及时修改。

3）任何人员不得使用他人的账号和密码，也不得将工作范围内可接触到的数据告诉其他任何未经授权的人员，并在离开终端时及时退出计算机系统。

4）密码可以是字母与数字的组合。

二、系统操作分级管理制度为了保证系统的安全，本院系统管理分为1-3级别，以一级为最高等级。

不同的级别制定相应的密码权限安全管理方案。

具体分级细则由信息科内部协商判断而制定。

一级设备为主数据库服务器和核心网络设备。

这些设备的密码保存人为信息科主任与服务器管理员。

所能操作人员仅限于服务器最高权限的管理员。

采取统一入口管理。

对于一些重大操作，必须有文字记录。

二级设备主要是普通服务器、接入交换机和数据库密码。

密码保存人为信息科主任与信息科工作人员。

对于一些重大操作，必须有文字记录。

三级设备为安装在各使用部门的电脑，密码由相关科室设备负责人自行保管。

三、网络运行监控、防病毒、防入侵、桌面管理措施为了保护医院数据与网络的安全，保证网络的正常运行，促进网络更好的应用和发展，制定本制度。

利用防火墙将内部网络、外部网络、DMZ服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信。

利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全。

利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被拒绝。

利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内。

医院信息安全等级保护管理制度为规范医院信息安全等级保护管理，提高医疗信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《信息安全等级保护管理办法》等有关法律法规，制定了我院信息安全等级保护管理制度：
一、提高信息安全管理意识，加强医院信息安全管理。

二、建立医院信息安全等级保护组织机构，负责全院信息安全建设和运营。

三、按照《信息安全等级保护管理办法》等有关法律法规创建医院信息等级保护等级。

四、医院信息化建设要在信息安全的前提下求发展，由医院信息领导小组规划、监督、审核、实施。

五、医院所购的网络产品、电脑及周边设备、各类软件产品等应符合国家安保要求。

六、严格执行国家信息安全保密制度，加强医院信息应用、使用、建设的安全管理。

七、规范网络办公管理，加强信息网络应用安全思想教育和学习，每年至少开展一次信息网络安全培训学习。

八、加强信息安全巡查管理，由信息管理部门定期进行全院信息安全检查，对存在信息安全的隐患及时整改。

九、加强医院内部信息应用网络监督，对利用内部网络资源从事非法行为的个人，应予严惩，情节严重者追究其法
律责任。

三甲医院实施国家信息安全等级保护制度
Document number：NOCG-YUNOO-BUYTT-UU986-1986UT
国家信息安全等级保护制度
一、医疗卫生行业的信息化系统安全建设目标如下：
实施国家信息安全等级保护制度，实行信息系统操作权限分级管理，保障网络信息安全，保护患者隐私。

推动系统运行维护的规范化管理，落实突发事件响应机制，保证业务的连续性。

二、医疗卫生行业的信息化系统安全建设需求如下：需要加强信息系统的安全保障和患者隐私保护，具体要求如下：
有信息系统安全措施和应急处理预案。

信息系统运行稳定、安全，具有防灾备份系统，实行网络运行监控，有防病毒、防入侵措施。

实行信息系统操作权限分级管理，信息安全采用身份认证、权限控制（包括数据库和运用系统）、病人数据使用控制、保障网络信息安全和保护病人隐私。

有安全监管记录，定期分析，及时处理安全预警，持续改进安全保障系统。

三、有信息安全应急演练需要加强信息系统运行维护，具体要求如下：
1.有信息网络运行、设备管理和维护、技术文档管理记录。

2.有信息系统变更、发布、配置管理制度及相关记录。

3.有信息系统软件更新、增补记录。

4.有信息值班、交接班制度，
5.有完整的日常运维记录和值班记录，及时处置安全隐患。

6.有信息系统运行事件（如系统瘫痪）相关的应急预案并组织演练，各部
门各科室有相应的应急措施，保障全院运营，尤其是医疗工作在系统恢
复之前不受影响。

7.有根据演练总结开展持续改进的方案和措施。

8.有完善的监控制度与监控记录，及时处理预警事件，定期进行信息系统运行维护评价和改进方案，并组织落实。

浅谈三甲医院信息安全等级保护工作浅谈三甲医院信息安全等级保护工作1、建设背景随着医院信息化建设的不断的发展，医院各项工作的开展都不同程度的采用了网络信息系统，信息系统在三甲医院中的角色也越来越重要，现代医院的发展建设已经和信息化建设结合为一体；当医院信息系统安全受到攻击或破坏从而导致医院不能正常开展各项医疗工作时，就很容易引发社会性的群体事故，如泄露患者个人隐私信息（重大疾病）、挂号系统中断引发患者情绪不满在医院闹事，因此如何保证医院信息系统安全也成为医院信息化建设需重视的问题。

为了进一步做好医院信息安全保护工作，卫生部针对我国现阶段各医疗行业的现状，下发了《卫生行业信息安全等级保护工作的指导意见》的通知{2011}85号，在该通知中明确了信息安全等级保护与医疗行业信息安全保护的联系，根据该文件的指导精神，三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。

2、建设过程医院信息安全等级保护工作建设主要分为以下几个过程：2.1医院信息系统定级评审根据信息安全等级保护的相关规定，当信息系统遭到攻击或破坏时引发的后果可分为对国家安全、社会秩序及公共利益、公民及个人的合法利益的受损害程序来进行等级划分。

对比此规定，按照卫生行业信息安全等级保护工作的相关要求，三甲医院应按照信息安全等级保护三级标准来对医院核心业务进行定级，并组织各方相关信息安全专家完成医院信息系统的定级工作。

2.2医院信息系统备案在对医院信息系统进行定级评审后，医院需将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及相关文档上交给当地卫生主管部门，有卫生部门报市级以上公安机关进行备案登记，等拿到备案回单后完成信息系统的定级工作。

2.3医院信息系统等级保护测评在完成信息系统定级及备案工作后，需选择当地公安部门授权的具有信息安全等级保护测评资质的专业测评机构对医院信息系统进行整体测评。

其测评目的在于对医院信息系统的安全防护能力做出客观评价，通过对物理安全、网络安全、应用安全、数据安全、主机安全、安全管理几个方面的安全检查，以国家信息安全等级保护基本要求作为安全基线，进行客观的符合性判定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和风险所在。

三院医疗信息系统安全三级等保建设方案目录1、某市三院医疗信息系统现状分析 (4)1.1拓扑图 (4)1.2网站/BS应用现状................................................................... 错误！未定义书签。

1.3漏洞扫描.................................................................................. 错误！未定义书签。

1.4边界入侵保护.......................................................................... 错误！未定义书签。

1.5安全配置加固.......................................................................... 错误！未定义书签。

1.6密码账号统一管理.................................................................. 错误！未定义书签。

1.7数据库审计、行为审计.......................................................... 错误！未定义书签。

1.8上网行为管理.......................................................................... 错误！未定义书签。

2、某市三院医疗信息系统潜在风险 (4)2.1黑客入侵造成的破坏和数据泄露 (4)2.2医疗信息系统漏洞问题 (5)2.3数据库安全审计问题 (5)2.4平台系统安全配置问题 (6)2.5平台虚拟化、云化带来的新威胁.......................................... 错误！未定义书签。

等保二级和三级的认定标准# 等保二级和三级的认定标准## 一、前言嘿，朋友！你有没有听说过等保呀？等保呢，就是信息安全等级保护的简称。

随着咱们现在网络越来越发达，各种各样的信息系统那是多得数都数不过来。

这些信息系统里可都是有很多重要的数据呢，比如说企业的财务数据、政府部门的政务信息、还有咱们老百姓的一些个人隐私信息之类的。

为了保护这些信息的安全，等保就应运而生啦。

它就像是一个信息安全的守门员，按照不同的标准来给信息系统的安全程度定个等级，这样就能有针对性地保护好这些信息啦。

今天呢，咱们就来好好唠唠等保二级和三级的认定标准，这可对很多单位和组织都非常重要哦。

## 二、适用范围（一）等保二级适用范围等保二级适用的范围还是挺广的。

一般来说呢，像一些小型的企业、或者是普通的商业网站，只要涉及到一定量的用户信息或者是商业数据的，就可能适用等保二级。

比如说，一个小型的电商网站，虽然它可能规模不是特别大，但是它有用户注册登录的功能，存储了用户的姓名、地址、联系方式这些基本信息，还涉及到商品的库存、订单这些商业数据。

这种情况下，这个电商网站就应该按照等保二级的标准来进行安全保护。

说白了，就是只要你的信息系统有点重要的数据，但是规模和影响力又不是超级大的那种，等保二级就比较适合你。

（二）等保三级适用范围等保三级的适用范围可就更上一层楼啦。

像一些中型规模的企业，特别是涉及到金融、医疗、教育等重要行业的信息系统，往往需要达到等保三级的标准。

比如说银行的网上银行系统，这里面可是涉及到大量用户的资金信息啊，像账户余额、交易记录这些，那可都是非常敏感的数据。

还有医院的信息系统，里面有病人的病历、诊断结果、用药信息等隐私信息。

学校的教育管理系统，包含学生的成绩、学籍信息等重要数据。

这些系统一旦出了安全问题，那影响可就大了去了。

所以它们就得按照等保三级的标准来建设和保护自己的信息系统。

## 三、术语定义（一）信息系统这个就很好理解啦，简单说就是由计算机硬件、软件、网络设备、数据等组成的一个有机整体，这个整体是用来处理信息的。

黑龙江省卫生厅关于印发三甲医院开展信息安全等级保护工作实施方案的通知文章属性•【制定机关】黑龙江省卫生厅•【公布日期】2013.03.28•【字号】黑卫办发[2013]84号•【施行日期】2013.03.28•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】医疗机构与医师正文黑龙江省卫生厅关于印发三甲医院开展信息安全等级保护工作实施方案的通知（黑卫办发〔2013〕84号）各市（行署）卫生局、绥芬河市、抚远县卫生局，省农垦总局、森工总局卫生局，三级甲等医院：为贯彻落实国家信息安全等级保护制度，规范和指导全省卫生行业信息安全等级保护工作，按照卫生部《关于印发卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）和《关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号）要求，省卫生厅制定了《三甲医院开展信息安全等级保护工作实施方案》，现印发给你们，请遵照执行。

联系人：刘骞、张偲盟电话：*************、85985904黑龙江省卫生厅2013年3月28日三甲医院开展信息安全等级保护工作实施方案为推动三甲医院开展核心业务系统安全建设整改与等级测评工作，切实提高各医院信息安全防护能力、隐患发现能力、应急处置能力，在总结部分医院工作的基础上，制定本实施方案。

一、工作目标贯彻落实深化医药卫生体制改革文件精神，按照卫生部统一部署，推进全省三甲医院核心业务系统等级保护工作，为卫生信息化的健康发展提供可靠保障，全面维护患者利益和社会秩序。

省委常委、副省长刘国中在今年的全省网络与信息安全协调小组第一次会议上指出，要加快推进建设医疗卫生行业的信息安全设施。

赵忠厚厅长在2013年全省卫生工作会议上也明确指出，今年要全面推进全省卫生行业信息安全等级保护，开展卫生信息系统安全大检查工作。

可见，建设好、运用好、管理好卫生行业内信息安全，做好信息安全保障工作尤为重要。