医院信息安全等级保护三级建设流程与要点

市中医院信息系统网络安全等级保护三级建设方案北京XX科技有限公司2022年3月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (8)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (45)5.6.3 信息安全项目建设管理 (47)5.6.4 满足指标 (53)5.7 等级保护实施管理解决方案 (57)5.7.1 信息系统描述 (59)5.7.2 等级指标选择 (68)5.7.3 安全评估与自测评 (71)5.7.4 方案与规划 (77)5.7.5 建设整改 (79)5.7.6 运维 (84)5.7.7 满足指标 (87)5.8 软件开发安全管理解决方案 (88)5.8.1 软件安全需求管理 (89)5.8.2 软件设计安全管理 (91)5.8.3 软件开发过程安全管理 (96)5.8.4 软件维护安全管理 (99)5.8.5 软件管理的安全管理 (101)5.8.6 软件系统安全审计管理 (102)5.8.7 满足指标 (103)5.9 安全事件处置与应急解决方案 (103)5.9.1 安全事件预警与分级 (104)5.9.2 安全事件处理 (110)5.9.3 安全事件通报 (116)5.9.4 应急响应流程 (118)5.9.5 应急预案的制定 (119)5.9.6 满足指标 (133)5.10 日常安全运维管理解决方案 (135)5.10.1 运维管理 (135)5.10.2 介质管理 (137)5.10.3 恶意代码管理 (139)5.10.4 变更管理管理 (141)5.10.5 备份与恢复管理 (143)5.10.6 设备管理管理 (147)5.10.7 网络安全管理 (152)5.10.8 系统安全管理 (156)5.10.9 满足指标 (160)5.11 安全组织机构设置解决方案 (168)5.11.1 安全组织总体架构 (168)5.11.2 满足指标 (174)5.12 安全沟通与合作解决方案 (176)5.12.1 沟通与合作的分类 (176)5.12.2 风险管理不同阶段中的沟通与合作 (178)5.12.3 满足指标 (179)5.13 定期风险评估解决方案 (180)5.13.1 评估方式 (181)5.13.2 评估内容 (182)5.13.3 评估流程 (184)5.13.4 满足指标 (186)第6章技术整改方案设计 (188)6.1 设计原则 (188)6.2 安全保障体系构成 (191)6.2.1 安全技术体系 (192)6.2.2 安全管理体系 (197)6.2.3 安全运维体系 (197)6.3 安全技术方案详细设计 (198)6.3.1 信息安全拓扑设计 (199)6.3.2 安全计算环境设计 (213)6.3.3 安全区域边界设计 (225)6.3.4 安全通信网络设计 (230)6.3.5 安全管理中心设计 (234)6.4 安全管理体系详细设计 (239)6.4.1 安全管理建设设计指导思想 (239)6.4.2 建立安全管理制度及策略体系的目的 (240)6.4.3 设计原则 (240)6.4.4 安全方针 (241)6.4.5 信息安全策略框架 (242)6.4.6 总体策略 (242)6.4.7 安全管理组织机构 (244)6.4.8 服务交付物 (247)6.5 安全运维体系详细设计 (251)6.5.1 门户网站安全监控 (251)6.5.2 应急响应服务 (256)6.5.3 安全通告服务 (259)6.5.4 网络及安全设备维护 (260)6.5.5 系统安全维护 (262)6.5.6 网络防护 (263)6.5.7 系统加固 (263)第7章技术体系符合性分析 (270)7.1 物理安全 (270)7.2 网络安全 (275)7.3 主机安全 (283)7.4 应用安全 (290)7.5 数据安全与备份恢复 (297)第8章工程建设 (300)8.1 工程一期建设 (300)8.1.1 区域划分 (300)8.1.2 网络环境改造 (301)8.1.3 网络边界安全加固 (301)8.1.4 网络及安全设备部署 (302)8.1.5 安全管理体系建设服务 (339)8.1.6 安全加固服务 (357)8.1.7 应急预案和应急演练 (364)8.1.8 安全等保认证协助服务 (364)8.2 工程二期建设 (365)8.2.1 安全运维管理平台（soc） (365)8.2.2 APT高级威胁分析平台 (369)第9章本期采购安全产品清单 (372)第1章方案概述1.1背景为了保障基于“健康云”、“智慧云”的XX中医院，我公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为市中医院需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。

医院信息安全等级保护体系建设方案1. 确定信息安全等级保护目标：首先，医院需要确定不同级别的信息安全等级保护目标，并根据这些目标来建立相应的保护措施。

例如，对于患者的个人信息，可能需要设定更高的保护级别。

2. 建立信息安全保护团队：医院可以组建一支专门的信息安全保护团队，负责制定和执行信息安全策略和措施。

这支团队应该由专业的信息安全人员和技术人员组成。

3. 制定信息安全政策和流程：医院需要建立一套完善的信息安全政策和流程，确保所有员工都能够遵守相关的安全规定。

这包括对数据的采集、存储、传输和处理等方面的操作规范。

4. 实施信息安全技术措施：医院需要投入一定的资金和资源来购置和实施信息安全技术相关的设备和系统，如防火墙、入侵检测系统、数据加密技术等。

这些技术措施可以有效地保护医院的数据和系统免受攻击和破坏。

5. 加强信息安全培训：为了确保员工能够正确地操作和使用信息安全技术，医院需要定期对员工进行信息安全培训，并加强对信息安全意识和责任的教育。

6. 建立信息安全检测和监控机制：医院需要建立一套信息安全检测和监控机制，确保能够及时发现和应对潜在的安全隐患和威胁。

7. 配备紧急应对措施：在发生信息安全事件或者紧急情况时，医院需要有相应的紧急应对措施，以尽快控制和解决问题，减少损失。

总的来说，建立一个完善的信息安全等级保护体系需要医院从政策、技术、人员培训和紧急应对等多方面综合考虑，投入足够的资源和精力，并持续加强和改进。

只有这样，医院的数据和系统才能得到有效的保护，患者和医护人员的隐私和安全才能得到更好的保障。

医院作为一个大规模的医疗机构，其信息安全等级保护体系的建设是非常重要的。

下面我们将继续探讨医院信息安全等级保护体系的建设方案。

8. 建立灾难恢复和业务连续性计划：医院需要制定并实施有效的灾难恢复和业务连续性计划，以应对意外事件和灾难情况，确保医院的关键业务能够在最短时间内恢复正常运行，保障患者的安全和健康。

三级等保安全建设方案————————————————————————————————作者：————————————————————————————————日期：目录三级等保安全设计思路 (4)1、保护对象框架 (4)2、整体保障框架 (4)3 、安全措施框架 (5)4、安全区域划分 (6)5、安全措施选择 (7)6、需求分析 (8)6.1、系统现状 (8)6.2、现有措施 (8)6.3 具体需求 (8)6.3.1 等级保护技术需求 (8)6.3.2 等级保护管理需求 (9)7、安全策略 (9)7.1 总体安全策略 (9)7.2 具体安全策略 (9)8、安全解决方案 (10)8.1 安全技术体系 (10)8.1.1 安全防护系统 (10)8.2 安全管理体系 (10)9、安全服务 (10)9.1 风险评估服务 (10)9.2 管理监控服务 (10)9.3 管理咨询服务 (11)9.4 安全培训服务 (11)9.5 安全集成服务 (11)10、方案总结 (12)11、产品选型 (12)三级等保安全设计思路1、保护对象框架保护对象是对信息系统从安全角度抽象后的描述方法，是信息系统内具有相似安全保护需求的一组信息资产的组合。

依据信息系统的功能特性、安全价值以及面临威胁的相似性，信息系统保护对象可分为计算区域、区域边界、网络基础设施、安全措施四类。

具体内容略。

建立了各层的保护对象之后，应按照保护对象所属信息系统或子系统的安全等级，对每一个保护对象明确保护要求、部署适用的保护措施。

保护对象框架的示意图如下：图1. 保护对象框架的示意图2、整体保障框架就安全保障技术而言，在体系框架层次进行有效的组织，理清保护范围、保护等级和安全措施的关系，建立合理的整体框架结构，是对制定具体等级保护方案的重要指导。

根据中办发[2003]27号文件，“坚持积极防御、综合防范的方针，全面提高提高信息安全防护能力”是国家信息保障工作的总体要求之一。

智慧医疗系统安全三级等保建设方案V2智慧医疗是现代医疗的重要组成部分，极大地提高了医疗效率和质量。

然而，智慧医疗系统的安全问题一直是大众关注的焦点。

为此，国家发布了“智慧医疗系统安全三级等保建设方案V2”，以保障智慧医疗系统的安全运行。

下面我们来分步骤阐述这一方案。

第一步，等级划分。

智慧医疗系统安全三级等保建设方案V2将智慧医疗系统分为三个等级，其中一级是针对普通的医疗信息系统，包括一些基本的医疗信息收集和处理；二级是专业的医疗信息系统，包括一些较为复杂的医疗信息收集和处理，如电子病历、医疗图片数据等；三级是医疗信息管理中心系统，包括病历管理、医学影像管理、医学数据库等较为高级的医疗信息系统。

第二步，安全等级划分。

根据实际情况，将医疗信息系统的风险等级分为三级，即低风险、中风险和高风险，根据风险等级不同，采取不同的安全措施，保护信息系统的安全运行。

第三步，安全措施的实施。

针对不同的风险等级，采取不同的措施，确保医疗信息系统的安全。

对于低风险的信息系统，主要是加强硬件设施的安全及其维护，包括防火墙设置、数据备份、日志审计等。

对于中风险的医疗信息系统，要加强内部管理和技术隔离，建立安全管理制度，加强安全培训和教育，加强访问控制等。

对于高风险的医疗信息系统，则需要采取更加严格的措施，包括建立应急预案、安全审计等。

第四步，安全运行监管。

建立专门的监督管理机构，指导医疗机构加强智慧医疗系统的安全管理，监督医疗信息系统的安全运行情况，并及时处理安全事件。

同时，对于未经授权、销毁数据、私自泄露数据等行为，要加大惩戒力度，形成安全管理的有效制度。

综上所述，“智慧医疗系统安全三级等保建设方案V2”是为确保智慧医疗系统的安全运行而制定的一项重要方案。

医疗机构应当根据实际情况，根据“等级划分”和“安全等级划分”，制定相应的安全措施和安全审查制度，保障智慧医疗系统的安全稳定运行。

同时，也需要社会各界的支持和监督，共同建设一个安全可靠的智慧医疗环境。

三甲医院实施国家信息安全等级保护制度
Document number：NOCG-YUNOO-BUYTT-UU986-1986UT
国家信息安全等级保护制度
一、医疗卫生行业的信息化系统安全建设目标如下：
实施国家信息安全等级保护制度，实行信息系统操作权限分级管理，保障网络信息安全，保护患者隐私。

推动系统运行维护的规范化管理，落实突发事件响应机制，保证业务的连续性。

二、医疗卫生行业的信息化系统安全建设需求如下：需要加强信息系统的安全保障和患者隐私保护，具体要求如下：
有信息系统安全措施和应急处理预案。

信息系统运行稳定、安全，具有防灾备份系统，实行网络运行监控，有防病毒、防入侵措施。

实行信息系统操作权限分级管理，信息安全采用身份认证、权限控制（包括数据库和运用系统）、病人数据使用控制、保障网络信息安全和保护病人隐私。

有安全监管记录，定期分析，及时处理安全预警，持续改进安全保障系统。

三、有信息安全应急演练需要加强信息系统运行维护，具体要求如下：
1.有信息网络运行、设备管理和维护、技术文档管理记录。

2.有信息系统变更、发布、配置管理制度及相关记录。

3.有信息系统软件更新、增补记录。

4.有信息值班、交接班制度，
5.有完整的日常运维记录和值班记录，及时处置安全隐患。

6.有信息系统运行事件（如系统瘫痪）相关的应急预案并组织演练，各部
门各科室有相应的应急措施，保障全院运营，尤其是医疗工作在系统恢
复之前不受影响。

7.有根据演练总结开展持续改进的方案和措施。

8.有完善的监控制度与监控记录，及时处理预警事件，定期进行信息系统运行维护评价和改进方案，并组织落实。

医院信息安全等级保护三级建设思路摘要随着医院信息化发展的不断深化，医院的信息安全工作显得越为重要，近期卫生部要求深化落实国家信息安全等级保护制度，要求原则上医院核心信息系统定级不低于第三级。

为此本文按照系统的定级、备案、整改、测评、自查与配合监察五个流程详细的介绍了医院进行信息安全等级保护三级建设的思路。

关键词等级保护；安全；定级；测评1 背景随着医院信息化的迅猛发展，医院信息系统已经深入到医疗工作的各个环节之中，信息系统的安全一旦受到威胁将会严重影响到医疗活动的顺利开展，因此该工作受到了医院越来越高的重视。

信息安全等级保护是国家出台的针对信息安全分级保护的制度，其最终目的就是保护重要的信息系统的安全，提高信息系统的防护能力和应急水平。

为了信息安全等级保护制度能够更好的在各医院得到有效的落实，国家有关部门针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发[2011] 85 号，此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。

根据文件精神，医院的核心业务信息系统安全保护等级原则上不低于第三级。

2 医院信息安全等级保护建设流程2.1 信息系统定级信息系统定级主要考虑两个方面，一是业务信息受到破坏时的客观对象是谁，二是对于客观对象的损坏程度如何。

两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。

针对医院，一般门诊量都比较大，当在早晨挂号、就诊等高峰的时候就会有大量的患者排队，如果一旦发生系统瘫痪就会造成大面积患者排队，很容易引发群体事件。

因此，定义为对“社会秩序、公共利益”造成“严重损害”，即信息安全等级保护定级为第三级。

涉及的信息系统即与挂号、就诊等门诊患者密切相关的系统。

2.2 信息系统评审与备案按照等级保护管理办法和定级指南要求，在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。

在定级审批过程中，卫生部组织专家进行评审，并出具《审批意见》。

医院信息系统建设、管理制度为规范我院医院信息系统建设工作，加强医院信息系统的领导和管理，促进医院信息化的应用与发展，保证信息系统安全稳定运行。

现制订我院《信息系统建设、管理制度》如下：一、成立医院信息化建设与信息安全管理领导小组。

领导小组是医院信息化建设与应用的领导、管理专职机构，全面领导医院信息化建设工作（其职责参见《医院信息化建设与网络安全管理领导小组职责》），领导小组下设办公室，办公地点设在信息科。

二、信息科是医院信息化建设的执行部门，负责落实医院信息化建设规划及日常管理工作。

三、信息系统建设原则：顶层设计、整体规划、分步实施、安全稳定、互联互通、科学严谨、精益求精。

四、信息系统应符合国家相关标准和规范，具备信息集成与交互共享功能，实现院内信息资源共享，为区域信息资源共享打下基础。

五、信息系统建设应做好可研论证、需求调研、组织实施、培训测试、资料整理、项目验收、运维管理等工作。

六、信息系统管理应以安全稳定运行为目的，以满足医院发展需求为宗旨，对信息系统进行改造和维护管理。

七、信息系统的管理实行分工负责制。

八、信息系统的运行管理，严格遵循《医院信息系统运维监控制度》要求，对于重大故障应参照《医院信息系统应急预案》予以处理。

九、信息系统的建设、管理参照《信息使用与信息管理部门沟通协调机制》执行。

信息使用与信息管理部门沟通协调机制为了建立科学、规范、合理的信息使用与信息管理机制，不断完善信息化建设、优化管理流程，增进信息使用与信息管理部门间交流互通，现制定相关协调机制如下：一、信息使用部门（科室）如有相关信息系统建设、改进需求，应先填写《信息系统需求申请登记表》，并参照《信息系统需求申请流程》执行。

二、在信息化建设过程中，当所开展项目涉及多个使用部门时，信息科应结合实际情况，组织召开多部门协调会议，确保项目的顺利实施。

三、信息科根据工作开展情况，每年进行全院性问卷调查，以了解现有信息系统运行、使用情况及改进需求；问卷调查为不记名填报，但应涵盖填报人除姓名以外的基本信息，便于针对反馈制定个性化解决方案。