医院等级保护建设介绍
xx医院等保建设方案实战
xx医院等保建设方案实战一、引言信息的安全对于医院来说至关重要。
医院涉及到大量的医疗和患者的个人信息,一旦泄露将会造成巨大的社会和经济损失,甚至危及患者的生命安全。
因此,必须加强xx医院的等保建设,确保患者信息和医疗设备的安全。
二、目标和范围1. 目标:确保xx医院的信息系统和网络安全,保护患者个人信息和医疗设备的安全,提高信息系统的可靠性和可用性。
2. 范围:涉及到xx医院的各类信息系统、网络设备、服务器以及与之相关的所有软硬件设备。
三、等级保护要求1. 根据国家相关法律法规和标准,将xx医院的信息系统划分为不同的安全等级,确定相应的等级保护要求。
2.根据等级保护要求,制定相应的技术措施和管理措施,确保各个等级的信息系统和设备的安全。
四、技术措施1.策略和规划- 制定xx医院的信息安全政策,确保所有员工遵守相关规定。
-设立信息安全管理部门,负责制定和执行信息安全管理制度。
-定期进行风险评估和安全事件响应演练,提前发现安全隐患和漏洞,并及时做出处理。
-建立安全事件报告制度,对于发生的安全事件及时上报和处理,以及总结经验教训,不断改进安全防护措施。
2.网络安全-建立网络安全管理系统,包括防火墙、入侵检测系统等,确保网络设备和系统的安全。
-对于医院内部的网络进行划分,设置网络隔离和访问控制,限制员工的访问权限,保证敏感数据的安全。
-加强对外部网络的监控和防护,防止未经授权的访问和攻击。
-建立网络安全策略和策略执行机制,确保信息的保密性、完整性和可用性。
3.信息系统安全-建立信息系统安全管理制度,确保系统的正常运行和安全实施。
-强化对于操作系统和应用系统的安全检测和漏洞修补,确保系统的稳定性和安全性。
-对于敏感数据进行加密存储和传输,确保数据的保密性。
-建立系统日志和审计机制,追踪系统的使用情况,发现异常行为和安全事件。
4.设备安全-建立设备管理制度,包括设备的购置、使用和报废等管理流程,确保设备的安全和合规性。
医院等级保护建设网络安全建设
医院等级保护建设网络安全建设数据存储过程中的完整性可以通过数据库的访问控制来实现。
(1) 读访问控制必须制定相应的控制措施,以确保获准访问数据库或数据库表的个体,能够在数据库数据的信息分类级别的合适的级别得到验证。
通过使用报表或者查询工具提供的读访问必须由数据所有人控制和批准,以确保能够采取有效的控制措施控制谁可以读取哪些数据。
(2) 读取/写入访问控制对于那些提供读访问的数据库而言,每个访问该数据的自然人以及/或者对象或进程都必须确立相应的账户。
该ID可以在数据库内直接建立,或者通过那些提供数据访问功能的应用予以建立。
这些账户必须遵从本标准规定的计算机账户标准。
用户验证机制必须基于防御性验证技术(比如用户ID/密码),这种技术可以应用于每一次登录尝试或重新验证,并且能够根据登录尝试的被拒绝情况指定保护措施。
为了保证数据库的操作不会绕过应用安全,定义角色的能力不得成为默认的用户特权。
访问数据库配置表必须仅限于数据库管理员,以防未经授权的插入、更新和删除。
5.4.2 数据保密性关于数据保密性,可以通过一些具体的技术保护手段,在数据和文档的生命周期过程中对其进行安全相关防护,确保内部数据和文档在整个生命周期的过程中的安全。
1) 加强对于数据的认证管理操作系统须设置相应的认证手段;数据本身也须设置相应的认证手段,对于重要的数据应对其本身设置相应的认证机制。
2) 加强对于数据的授权管理对文件系统的访问权限进行一定的限制;对网络共享文件夹进行必要的认证和授权。
除非特别必要,可禁止在个人的计算机上设置网络文件夹共享。
3) 数据和文档加密保护数据和文档的另一个重要方法是进行数据和文档加密。
数据加密后,即使别人获得了相应的数据和文档,也无法获得其中的内容。
网络设备、操作系统、数据库系统和应用程序的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性和存储保密性。
当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。
医院信息安全等级保护建设方案
等保技术要求 网络出口边界防护
域间防护 网络状态监测
网络安全
说明
CNGate产品
交换机、路由器、防火墙、 IDS/IPS
CNGate-USG CNGate-NGIPS
交换机、路由器、防火墙、 IDS/IPS
网络嗅探设备、网络测试仪等
CNGate-NGIPS CNGate-USG
CNGate-NGIPS
基于国际标准中关于下一代
虚拟化
安全设备的技术要求
下一代安全管理 支持IPv6
深度解析 全协议栈解码
某三甲医院网络安全威胁入侵及安全隐患分析服务
CNGate-USG 下一代防火墙-综合安全网关设备
CNGate USG最佳APT攻击防御能力 最佳性能 支持2.5Gbps-80Gbps 吞吐 独有的集群技术 防病毒 /防垃圾邮件/WEB过滤/应用控制 延时仅8us
2. 东院70 台,包括48 台交换机,22 台服务器,以及业务系统所用数据库ቤተ መጻሕፍቲ ባይዱ应用等 。
CNGate-下一代入侵防御系统 拥有唯一的反高级逃避技术专利
CNGate-IPS-AET 下一代边界防护设备
反高级逃避
精准性防御技术-事件分析关联技术
支持加密流量检测
DoS/DDoS防御 高性能
网络漏洞扫描
网络漏洞扫描工具
CNGate-NVS
网络防恶意代码 配置和行为审计
杀毒、内容过滤等网关类安全设 CNGate-USG 备
网络审计工具
CNGate-BAS
CNGate在医疗领域等级保护的解决方案
主机安全
技术要求 主机漏洞扫描
主机防恶意代码 主机安全加固 主机资源、性能监控
说明
医院等级保护
医院信息化安全是现在所有医院面临的重要课题。
为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。
2007 年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。
卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、 LIS和RIS。
图1医院网络现状(如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中:内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统;外网即与Internet相联的网络,承载的业务包括邮件、OA等;设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。
各医院实际网络建设模式会有不同。
传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。
内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。
医院的网络根据承载介质的不同可分为有线网络和无线网络。
根据传统习惯,如果不特别说明,上述的内网、外网和设备网均特指有线网络。
但实际上无线网络承载的业务也有内外网之分。
有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。
无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。
医院信息安全等级保护三级建设流程与要点
医院信息安全等级保护三级建设流程与要点1 背景随着医院尤其是三级甲等大型医院信息化的迅猛发展,医院信息系统已经深入到医疗的各个环节当中,一旦发生故障将严重影响医疗活动的顺利开展,因此信息安全工作得到了越来越多医院的重视。
信息安全等级保护是国家层面出台的针对信息安全分级保护的制度,其目的是保护重要信息系统的安全,提高信息系统防护能力和应急水平。
为了信息安全等级保护能够更好的在各医院实施,卫生部针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。
根据文件精神,三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程2.1 信息系统定级[1]信息系统定级主要考虑两方面,一是业务信息受到破坏时客体的是谁,二是对于客体的侵害程度如何。
两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
表1针对三级甲等医院,因门诊量普遍较大,当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊,当发生信息系统瘫痪后会造成大面积患者排队,极易引发群体事件。
因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。
涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。
2.2. 信息系统评审与备案按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。
在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。
最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
XX医院等级保护技术方案
XX医院等级保护方案北京网御星云信息技术有限公司2021年3月目录1工程项目背景52系统分析63等级保护建设流程64方案参照标准85安全区域框架96安全等级划分96.1.1定级流程96.1.2定级结果117安全风险与需求分析127.1安全技术需求分析127.1.1物理安全风险与需求分析127.1.2计算环境安全风险与需求分析127.1.3区域边界安全风险与需求分析157.1.4通信网络安全风险与需求分析167.2安全管理需求分析188技术体系方案设计188.1方案设计目标188.2方案设计框架198.3安全技术体系设计198.3.1物理安全设计198.3.2计算环境安全设计218.3.2.1身份鉴别218.3.2.2访问控制228.3.2.3系统安全审计238.3.2.4入侵防范248.3.2.5主机恶意代码防范258.3.2.6软件容错258.3.2.7数据完整性与保密性268.3.2.8备份与恢复278.3.2.9资源控制288.3.2.10客体安全重用298.3.2.11抗抵赖298.3.3区域边界安全设计308.3.3.1边界访问控制308.3.3.2边界完整性检查318.3.3.3边界入侵防范328.3.3.4边界安全审计338.3.3.5边界恶意代码防范348.3.4通信网络安全设计348.3.4.1网络结构安全348.3.4.2网络安全审计358.3.4.3网络设备防护358.3.4.4通信完整性368.3.4.5通信保密性368.3.4.6网络可信接入368.3.5安全管理中心设计388.3.5.1系统管理388.3.5.2审计管理398.3.5.3安全管理408.3.6不同等级系统互联互通41 9安全管理体系设计4210安全运维服务设计4310.1安全扫描4410.2人工检查4410.3安全加固4510.3.1流程4510.3.2内容4510.3.3风险规避4710.4日志分析4810.4.1流程4910.4.2内容4910.5补丁管理5010.5.1流程5010.5.2内容5010.6安全监控5110.6.1流程5110.6.2内容5210.7安全通告5210.8应急响应5310.8.1入侵调查5410.8.2主机、网络异常响应5410.8.3其他紧急事件5410.8.4响应流程5510.9安全运维服务的客户价值56 11整体配置方案5611.1部署拓扑5611.2部署说明5811.3设备列表5812方案合规性分析5812.1技术部分5912.2管理部分7713附录:9113.1等级划分标准9113.2技术要求组合确定9213.3安全域划分方法941工程项目背景近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,XX医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院信息安全等级保护建设方案
医院信息系统等级保护建设方案1.为什么需要等级保护?1.1 什么是等级保护?信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.2 等级保护的重要性等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。
便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。
然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
1.3 国家强制性等保要求国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。
2. 等级保护实施过程“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。
最新医院信息安全等级保护建设方案
医院信息系统等级保护建设方案1.为什么需要等级保护?1.1 什么是等级保护?信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.2 等级保护的重要性等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。
便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。
然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
1.3 国家强制性等保要求国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。
2. 等级保护实施过程“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 基于信息流的资产、风险全程识别与控制
• 正视现实,按照等级保护的要求制定适宜安全策略 • 重视残余风险的识别与控制 • 综合、专业的安全运维和管理
核心
人、安全意识 医院信息系统等级保护建设
等级保护基本要求
概述
医院信息系统等级保护建设
基本要求--GB/T 22239
GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 管理要求 GB/T 20269-2006 《信息安全技术 信息系统安全管理要求》 GB/T 20282-2006《 信息安全技术 信息系统安全工程管理要求》
医院信息系统等级保护建设
6
等级保护之五级划分
等级
第一级 第二级 对象 一般 系统
医院信息系统等级保护建设
应坚持的基本原则
上网的机器不触“敏”
怎么能保证上网机未触及敏感信息
触“敏”的机器不上网或者严控上网
怎么能保证触“敏”机安全连接外部网络
严禁介质交叉使用
如何严控一般介质插入触敏机使用 如何严控敏感介质插入一般机使用
医院信息系统等级保护建设
对安全保障的感想
医院信息系统等级保护建设
基本要求--GB/T 22239
控 制 点
安全要求类 技术要求
管理要求
合计 级差
层面 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 / /
一级 7 3 4 4 2 2 4 4 9 9 48 /
以 自 身 业 务 为 主
特征:实现数字医院,医疗和管理信息处理无纸化和无胶片 化 、医院间联网,电子病例网上传递
信 息 共 享 与 交 换
区域卫生医疗服务(HGIS)
建设内容:区域一体化医院信息、人口健康档案、疫情上报 与应急指挥、远程医疗等系统 特征:社会医疗保健资源和服务整合
医院信息系统等级保护建设
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统; (5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级) 的信息系统。
医院信息系统等级保护建设
基本要求--GB/T 22239
基本要求
技术要求 管理要求
要求标注
业 务 信 息 安 全 类 ︵ ︶
通用安全保护类要求(G)
医院信息系统等级保护建设
8
等级保护定级指南--GB/T 22240
定级方法
医院信息系统等级保护建设
9
卫生行业信息安全等级保护工作的指导意见
2011年11月,卫生部印发了《卫生行业信息安全等级保护工作的指 导意见》通知,明确提出卫生行业信息安全等级保护工作的指导意见。 以下重要卫生信息系统安全保护等级原则上不低于第三级: (1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报 告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信 息系统; (2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保 健等国家级数据中心;
医院信息系统等级保护建设
适宜的安全需求分析方法 ?如何为信息系统确定既满足等级保护要求,
自身需求的安全需求分析方法。
• 对一个正在运行的信息系统确定定级之后, 运行使用单位最关心的是 系统当前的保护状况是否满足等级保护的基本安全要求。 • 产生该问题的原因是: 等级保护作为政策性要求在系统建设之初并没有作为安全需求加 以考虑, 因此系统的安全保障体系或安全保护措施只能满足本部门、 本单位的安全需求。
求。如,某一信息系统,根据《定级指南》确定系统等级为 3 级,首先 从《基本要求》中选择三级的安全要求。 第二步 根据定级过程中确定业务信息安全保护等级和系统服务安 全保护等级, 确定该信息系统的安全需求类,例如,L(3,2),将所选 择的《基本要求》的三级要求中标识为 A类的控制点要求, 替换为二级 要求中的相应控制点要求, 低级别的基本要求中没有相应的控制点,则
安全性, 同时也关注保护系统的连续可用性。
S
A
医院信息系统等级保护建设
系统基本保护要求的组合
第一级 S1A1G1
第二级 S1A2G2,S2A2G2,S2A1G2
第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3, S3A1G3
第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4, S4A3G4,S4A2G4,S4A1G4
物理安全 环境 设备、介质
控制点 物理位置的选择(G) 物理访问控制(G) 防盗窃和防破坏(G) 防雷击(G) 防火(G) 防水和防潮(G) 防静电(G) 温湿度控制(G) 电力供应-(A) 电磁防护-(S) 合计
23
一级
* * * * * * * 7
二级 * * * * * * * * * * 10
系 统 服 务 保 证 类 ︵ ︶
业务信息安全类要求(标记为S类) —关注的是保护数据在存
储、传输、处理过程中不被泄漏、破坏和免受未授权的修改
系统服务保证类要求(标记为A类)—关注的是保护系统连续
正常的运行, 避免因对系统的未授权修改、破坏而导致系统不可用
通用安全保护类要求(标记为G类)—既关注保护业务信息的
实施指南--GB/T 25058-2010
等级保护实施过程 基本原则 角色、职责 基本流程 主要过程及其活动
信息系统定级
总体安全规划
等级变更
国家管理部门(4家)
信息系统主管部门 信息系统运营、使用单位 信息安全服务机构
安全设计与实施
局部调整
安全运行维护 信息系统终止
信息安全等级测评机构 信息安全产品供应商
该控制点将不作为该系统的要求。
注意:G 类要求是每个等级系统必备的要求,不能调整,G 类要 求体现了相应等级系统的综合保护能力。
医院信息系统等级保护建设
第三步 根据系统所面临的威胁特点调整安全要求
根据《基本要求》的整体设计思路,每级安全要求的实现是为了达 到相应等级的威胁对抗能力和恢复能力,这种设计思路是面向所有信息 系统的。 • 当面临一个特定信息系统时,还需要具体分析其所面临的具体威胁。 如果某个安全威胁对于该特定信息系统来讲是不会发生的,那么为对抗 该威胁的相应安全要求对于该系统来讲,是不适用的。 • 因此,需要进行相应的调整。 这种情况在网络安全方面尤为明显,
侵害客体
合法权益 合法权益
侵害程度
损害 严重损害
监管强度
自主保护 指导
社会秩序和公共利益 第三级
第四级 第五级
损害 严重损害
损害 特别严重损害 严重损害 特别严重损害 专门监督检查 强制监督检查
重要 系统
社会秩序和公共利益
国家安全 社会秩序和公共利益 国家安全 国家安全
监督检查
极端 重要 系统
医院信息系统等级保护建设
L (业务信息安全保护等级,系统服务安全保护等级) =Max(业务信息安全保护等级,系统服务安全保护等级)
医院信息系统等级保护建设
确定该信息系统的等级保护基本安全需求
在确定了系统的安全保护等级后, 信息系统的运营使用单位人员可 以参照以下步骤确定该信息系统的等级保护基本安全需求:
第一步 根据其等级从《基本要求》中选择相应等级的基本安全要
医院信息系统
等级保护建设
四川大学 信息安全研究所 周安民 2014.11 医院信息系统等级保护建设
医疗信息化建设阶段
医院管理信息化(HMIS)
建设内容:部门级信息化管理、全院级信息化管理 特征:数据共享和基于财务核算为中心
临床管理信息化(HCIS)
建设内容:电子病例、医生工作站、PACS、LIS、RIS等系统
又满足系统
信息系统定级之后发现,对于业务重要性相同的不同行业或地区
的信息系统,由于建设年代不同、所在地域差异、设计人员和实施人 员的水平差距等都会造成其信息系统的保护水平参差不齐。
医院信息系统等级保护建设
选择、调整基本安全要求
在根据《定级指南》除了可以确定信息系统的安全保护等级外, 还同时确定了信息系统在业务信息安全和系统服务安全两个方面的安 全保护等级 这两个等级反映了信息系统在数据安全保护和服务能力保护的需 求方面可能是不均衡的。 在政务系统中, 单个数据信息(例如文件) 本身的安全性要 求比较高, 对于通过信息系统提供及时的数据服务的要求不高, 对于生产控制系统和调度系统,其重要性不体现在每条控制指 令数据上,而体现在整个控制系统或调度系统不能停止运行或不 正常运行。
三级 * * * * * * * * * * 10
14
一级 9 9 6 7 2 3 4 7 20 18 85 /
二级 19 18 19 19 4 7 9 11 28 41 175 90
三级 32 33 32 31 8 11 20 16 45 62 290 115
四级 33 32 36 36 11 14 20 18 48 70 318 28
管理要求
合计 级差
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统; (5)其他经过信息安全技术专家委员会评定为第三级以上(含第 三级)的信息系统。
医院信息系统等级保护建设
信息安全等级保护法规政策体系
医院信息系统等级保护建设
5
等级保护标准
GB/T 22240-2008 《信息安全技术 信息系统安全保护等级定级指南》 GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》 等保实施 GB/T 28448-2012 《信息系统安全等级保护测评要求》 GB/T 28449-2012 《信息系统安全等级保护测评过程指南》 技术要求 GB17859 等保测评