XXXXX院涉密网络分级保护实施方案

市中医院信息系统网络安全等级保护三级建设方案北京XX科技有限公司2022年3月目录第1章方案概述 (5)1.1 背景 (5)1.2 方案设计目标 (8)1.3 方案设计原则 (8)1.4 方案设计依据 (9)第2章信息系统定级情况 (12)第3章安全需求分析 (13)3.1 安全指标与需求分析 (13)第4章信息安全体系框架设计 (16)第5章管理体系整改方案 (17)5.1 安全制度制定解决方案 (17)5.1.1 策略结构描述 (17)5.1.2 安全制度制定 (20)5.1.3 满足指标 (21)5.2 安全制度管理解决方案 (21)5.2.1 安全制度发布 (21)5.2.2 安全制度修改与废止 (22)5.2.3 安全制度监督和检查 (22)5.2.4 安全制度管理流程 (23)5.2.5 满足指标 (26)5.3 安全教育与培训解决方案 (27)5.3.1 信息安全培训的对象 (27)5.3.2 信息安全培训的内容 (28)5.3.3 信息安全培训的管理 (29)5.3.4 满足指标 (30)5.4 人员安全管理解决方案 (30)5.4.1 普通员工安全管理 (30)5.4.2 安全岗位人员管理 (32)5.4.3 满足指标 (37)5.5 第三方人员安全管理解决方案 (37)5.5.1 第三方人员短期访问安全管理 (38)5.5.2 第三方人员长期访问安全管理 (39)5.5.3 第三方人员访问申请审批流程信息表 (41)5.5.4 第三方人员访问申请审批流程图 (42)5.5.5 满足指标 (42)5.6 系统建设安全管理解决方案 (43)5.6.1 系统安全建设审批流程 (43)5.6.2 项目立项安全管理 (45)5.6.3 信息安全项目建设管理 (47)5.6.4 满足指标 (53)5.7 等级保护实施管理解决方案 (57)5.7.1 信息系统描述 (59)5.7.2 等级指标选择 (68)5.7.3 安全评估与自测评 (71)5.7.4 方案与规划 (77)5.7.5 建设整改 (79)5.7.6 运维 (84)5.7.7 满足指标 (87)5.8 软件开发安全管理解决方案 (88)5.8.1 软件安全需求管理 (89)5.8.2 软件设计安全管理 (91)5.8.3 软件开发过程安全管理 (96)5.8.4 软件维护安全管理 (99)5.8.5 软件管理的安全管理 (101)5.8.6 软件系统安全审计管理 (102)5.8.7 满足指标 (103)5.9 安全事件处置与应急解决方案 (103)5.9.1 安全事件预警与分级 (104)5.9.2 安全事件处理 (110)5.9.3 安全事件通报 (116)5.9.4 应急响应流程 (118)5.9.5 应急预案的制定 (119)5.9.6 满足指标 (133)5.10 日常安全运维管理解决方案 (135)5.10.1 运维管理 (135)5.10.2 介质管理 (137)5.10.3 恶意代码管理 (139)5.10.4 变更管理管理 (141)5.10.5 备份与恢复管理 (143)5.10.6 设备管理管理 (147)5.10.7 网络安全管理 (152)5.10.8 系统安全管理 (156)5.10.9 满足指标 (160)5.11 安全组织机构设置解决方案 (168)5.11.1 安全组织总体架构 (168)5.11.2 满足指标 (174)5.12 安全沟通与合作解决方案 (176)5.12.1 沟通与合作的分类 (176)5.12.2 风险管理不同阶段中的沟通与合作 (178)5.12.3 满足指标 (179)5.13 定期风险评估解决方案 (180)5.13.1 评估方式 (181)5.13.2 评估内容 (182)5.13.3 评估流程 (184)5.13.4 满足指标 (186)第6章技术整改方案设计 (188)6.1 设计原则 (188)6.2 安全保障体系构成 (191)6.2.1 安全技术体系 (192)6.2.2 安全管理体系 (197)6.2.3 安全运维体系 (197)6.3 安全技术方案详细设计 (198)6.3.1 信息安全拓扑设计 (199)6.3.2 安全计算环境设计 (213)6.3.3 安全区域边界设计 (225)6.3.4 安全通信网络设计 (230)6.3.5 安全管理中心设计 (234)6.4 安全管理体系详细设计 (239)6.4.1 安全管理建设设计指导思想 (239)6.4.2 建立安全管理制度及策略体系的目的 (240)6.4.3 设计原则 (240)6.4.4 安全方针 (241)6.4.5 信息安全策略框架 (242)6.4.6 总体策略 (242)6.4.7 安全管理组织机构 (244)6.4.8 服务交付物 (247)6.5 安全运维体系详细设计 (251)6.5.1 门户网站安全监控 (251)6.5.2 应急响应服务 (256)6.5.3 安全通告服务 (259)6.5.4 网络及安全设备维护 (260)6.5.5 系统安全维护 (262)6.5.6 网络防护 (263)6.5.7 系统加固 (263)第7章技术体系符合性分析 (270)7.1 物理安全 (270)7.2 网络安全 (275)7.3 主机安全 (283)7.4 应用安全 (290)7.5 数据安全与备份恢复 (297)第8章工程建设 (300)8.1 工程一期建设 (300)8.1.1 区域划分 (300)8.1.2 网络环境改造 (301)8.1.3 网络边界安全加固 (301)8.1.4 网络及安全设备部署 (302)8.1.5 安全管理体系建设服务 (339)8.1.6 安全加固服务 (357)8.1.7 应急预案和应急演练 (364)8.1.8 安全等保认证协助服务 (364)8.2 工程二期建设 (365)8.2.1 安全运维管理平台（soc） (365)8.2.2 APT高级威胁分析平台 (369)第9章本期采购安全产品清单 (372)第1章方案概述1.1背景为了保障基于“健康云”、“智慧云”的XX中医院，我公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为市中医院需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。

xx医院等保建设方案实战一、引言信息的安全对于医院来说至关重要。

医院涉及到大量的医疗和患者的个人信息，一旦泄露将会造成巨大的社会和经济损失，甚至危及患者的生命安全。

因此，必须加强xx医院的等保建设，确保患者信息和医疗设备的安全。

二、目标和范围1. 目标：确保xx医院的信息系统和网络安全，保护患者个人信息和医疗设备的安全，提高信息系统的可靠性和可用性。

2. 范围：涉及到xx医院的各类信息系统、网络设备、服务器以及与之相关的所有软硬件设备。

三、等级保护要求1. 根据国家相关法律法规和标准，将xx医院的信息系统划分为不同的安全等级，确定相应的等级保护要求。

2.根据等级保护要求，制定相应的技术措施和管理措施，确保各个等级的信息系统和设备的安全。

四、技术措施1.策略和规划- 制定xx医院的信息安全政策，确保所有员工遵守相关规定。

-设立信息安全管理部门，负责制定和执行信息安全管理制度。

-定期进行风险评估和安全事件响应演练，提前发现安全隐患和漏洞，并及时做出处理。

-建立安全事件报告制度，对于发生的安全事件及时上报和处理，以及总结经验教训，不断改进安全防护措施。

2.网络安全-建立网络安全管理系统，包括防火墙、入侵检测系统等，确保网络设备和系统的安全。

-对于医院内部的网络进行划分，设置网络隔离和访问控制，限制员工的访问权限，保证敏感数据的安全。

-加强对外部网络的监控和防护，防止未经授权的访问和攻击。

-建立网络安全策略和策略执行机制，确保信息的保密性、完整性和可用性。

3.信息系统安全-建立信息系统安全管理制度，确保系统的正常运行和安全实施。

-强化对于操作系统和应用系统的安全检测和漏洞修补，确保系统的稳定性和安全性。

-对于敏感数据进行加密存储和传输，确保数据的保密性。

-建立系统日志和审计机制，追踪系统的使用情况，发现异常行为和安全事件。

4.设备安全-建立设备管理制度，包括设备的购置、使用和报废等管理流程，确保设备的安全和合规性。

西城检察院涉密信息系统分级保护设计方案
通过专家评审
2009年9月10日，北京市西城区人民检察院组织召开了《北京市西城区人民检察院涉密信息系统分级保护方案》的评审会，评审小组由国家保密局、区保密局、高检保密办等单位的五位专家组成。

我院主管副检察长杨淑雅，办公室、技术处、行装处的相关人员参加了此次评审会。

评审会上，专家认真听取了我院的方案汇报，并就有关细节问题进行了质询。

经过评议，专家组认为：该方案遵照国家相关安全保密标准，结合西城区检察院安全保密的实际需求，在安全保密风险分析和评估的基础上，从物理安全、运行安全、信息安全保密和安全保密管理等方面进行了方案设计。

该方案能够满足西城区检察院的实际需求，基本符合国家相关安全保密标准。

专家组同意该方案通过评审。

同时，评审组专家也提出一些改进意见，如：“建议细化系统现有的涉密笔记本电脑及移动存储介质的使用的基本情况，并明确涉密系统数据导入及导出的安全保密管理措施。

”
会上，专家组还认真解答我院分级保护工作中的一些具体问题，并就今后方案实施、系统使用时应注意的问题，提出了意见和建议。

通过此次评审会使我们对分级保护工作有了更清楚的理解和认识，我们将进一步完善分级保护工作的组织架构，合理配置有关人员，明确安全人员责任、细化管理制度，为分级保护方案的实施做好充分的准备。

关于做好信息安全等级保护工作的通知各科室：医院信息系统是医疗服务的重要支撑体系。

为贯彻落实国家信息安全等级保护制度，确保我院信息系统安全可靠运行，根据《海南省深化信息安全等级保护工作方案》（琼等保办〔2010〕3号）精神，并结合我院信息系统应用的特点，就相关事项通知如下。

一、组织领导组长：xxx组员：xxx、xxx、xxx、xxx领导小组办公室设在信息科，xxx、xxx同志负责具体工作。

二、工作任务1、做好系统定级工作。

定级系统包括基础支撑系统，面向患者服务信息系统，网络直报系统，定级方法由县卫生局统一与县公安局等信息安全相关部门协商。

2、做好系统备案工作。

按照省卫生系统信息安全等级保护划分定级要求，对信息系统进行定级后，将本单位《信息系统安全等级保护备案表》《信息系统定级报告》和备案电子数据报卫生局，由卫生局报属地公安机关办理备案手续。

3、做好系统等级测评工作。

完成定级备案后，选择省卫生厅推荐的等级测评机构，对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准开展等级测评，信息系统测评后，及时将测评机构出具的《信息系统等级测评报告》向属地公安机关报备。

4、完善等级保护体系建设做好整改工作。

按照测评报告评测结果，对照《信息系统安全等级保护基本要求》等有关标准，组织开展等级保护安全建设整改工作，具体要求如下：三、工作要求1、切实加强组织领导。

拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，召开专题会议，确保信息安全等级保护工作顺利实施。

2、建立健全信息系统安全管理制度。

根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

3、制定保障医疗活动不中断的应急预案。

按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

医院信息系统安全等级保护工作实施方案医院信息系统是医疗机构管理和运营的重要工具，它包括了病历管理、医嘱管理、药品管理、医技科室管理、财务管理等多个功能模块。

因此，保障医院信息系统的安全等级保护工作具有重要意义。

本文将从策略制定、组织架构、安全设备和工具、运维管理等多个方面，提出医院信息系统安全等级保护工作的实施方案。

一、策略制定1.制定医院信息系统安全保护策略，包括规定安全目标、建立安全意识和安全文化等。

2.进行风险评估，确定风险等级，并制定相应的应对措施。

3.制定安全管理制度和规范，明确各级人员的安全责任和权限。

二、组织架构1.设立安全管理机构，明确安全管理工作的职责和权限。

2.配备专职安全人员，负责医院信息系统的安全保护工作。

3.建立安全管理委员会，负责协调、指导和监督医院信息系统的安全工作。

三、安全设备和工具1.部署防火墙、入侵检测系统、反病毒系统等安全设备，保护医院信息系统的安全。

2.配备安全管理工具，如安全信息和事件管理系统、日志分析工具等，实时监测医院信息系统的安全状况。

3.加强对网络设备、服务器和终端设备的管理，及时修补漏洞，提高系统的抗攻击能力。

四、运维管理1.制定运维管理规范和流程，包括设备的安装、配置、更新、维护和备份等。

2.进行定期的系统巡检和漏洞扫描，及时发现和修复系统漏洞。

3.加强系统日志管理，建立日志审计机制，记录和分析关键操作。

4.对系统进行备份和灾备，确保数据的安全性和可恢复性。

5.建立灾难恢复计划，明确各级人员的职责和行动方案，保证医院信息系统的连续性。

五、安全意识教育1.进行定期的安全意识教育和培训，提高医务人员的信息安全意识。

2.组织安全演练，模拟各类安全事件，提升应急处置能力。

3.加强对外部合作单位和人员的安全培训，确保数据的安全共享和交流。

六、安全审计和评估1.进行定期的安全审计和评估，发现隐患和问题，提出改进意见。

2.密切关注医院信息系统安全的最新技术和漏洞动态，及时采取相应的补救措施。

医院网络安全等级保护建设实施方案目录第一章项目概述 (1)1.1建设背景 (1)1.2建设目标 (1)1.3建设范围 (2)1.4建设内容 (3)第二章建设方案编制依据 (4)2.1国家相关政策文件 (4)2.2国家相关标准文件 (5)2.3方案设计原则 (5)2.4方案设计标准 (6)第三章项目需求分析与建设必要性 (9)3.1新安全威胁分析 (9)3.1.1未知威胁防御现状分析 (9)3.1.2安全服务能力现状分析 (11)3.2 项目建设必要性 (11)3.2.1 医院信息化系统建设的基本手段 (11)3.2.2 医院信息化系统安全建设的重要性 (12)第四章安全需求分析 (13)4.1安全技术需求 (13)4.2安全管理需求 (14)第五章总体安全规划 (14)5.1总体设计目标 (15)5.2总体安全设计思路 (16)5.2.1合规性设计 (16)5.2.2前瞻性设计 (16)5.2.3安全管理体系设计 (17)5.2.4等级保护方案效果目标设计 (17)5.4安全域划分 (18)第六章项目方案设计 (20)6.1专线出口域设计 (20)6.2运维管理域设计 (20)6.3互联网出口区域设计 (21)第七章项目方案设计 (22)7.1安全管理策略和制度 (22)7.2安全管理机构和人员 (22)7.3安全建设管理 (22)7.4安全运维管理 (23)第一章项目概述1.1建设背景网络的飞速发展促进了的信息化建设，近几年来医院走过了不断发展、完善的信息化历程，先后经过了几次网络升级和改造，构成了一个配置多样的综合性网络平台。

为促进信息化建设、应用、管理和服务水平的持续提高，保障医院内部网络、信息系统的安全、稳定运行，需要对目前的网络进行安全加固，并严格参照《信息系统安全基本要求》、《信息系统安全实施指南》《网络安全法》等标准开展信息系统安全加固，但是安全建设是需要动态防御的，要不断更新防御手段和新增更多的防御措施。

医院网络信息安全等级保护制度汇编2篇卫生网络信息安全工作是我国卫生事业发展的重要组成部分。

做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。

为贯彻落实国家信息安全等级保护制度，我院按照**等文件的精神，根据我院自身情况，制定了**人民医院信息安全等级保护制度。

一、工作目标依据国家信息安全等级保护制度，遵循相关标准规范，在我院全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为我院卫生信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。

二、工作原则(一)遵循标准，重点保护。

遵循国家信息安全等级保护相关标准规范，结合卫生行业信息系统特点以及我院实际情况，优先保护重要卫生信息系统，优先满足重点信息安全需求。

(二)行业指导，明确责任。

我院严格按照国家信息安全等级保护制度有关要求，贯彻落实本院卫生信息系统安全等级保护的指导和管理工作。

按照上级要求，制定“谁主管、谁负责，谁运营、谁负责”的责任制度，落实信息安全责任。

(三)同步建设，动态完善。

在信息系统规划设计与建设过程中，同步开展信息安全等级保护工作。

因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时，应当重新调整信息系统安全保护等级，及时完善安全保障措施。

三、工作机制在分管院长、院办主任的领导下，由我院信息中心落实本院卫生信息安全等级保护工作，负责对我院卫生行业信息安全等级保护工作的组织协调、监督指导，积极开展信息安全等级保护工作。

按照上级相关要求，我院建立信息安全等级保护工作联络员机制，设置信息安全等级保护工作联络员。

联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准，掌握本院信息安全等级保护工作动态和总体情况，代表我院与卫生行政部门]以及信息安全等级保护管理部门进行日常联系和交流，协调落实本院信息安全等级保护工作。

XXX信息系统网络安全等级保护建设方案2020年7月1、技术方案1.1建设背景面对我国信息安全的严峻形势，自2006年以来，以公安部、工信部、国家保密局等单位牵头，在全国范围内陆续发布了等级保护、分级保护等信息安全政策和执行标准。

2014年2月27日，中央网络安全与信息化领导小组成立，该领导小组着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。

2017年《中华人民共和国网络安全法》颁布实施，该法案明确规定国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；对网络运营者不履行规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

2019年5月13日，公安部正式发布了网络安全等级保护制度2.0标准，并于2019年12月1日开始按照2.0标准实施，该标准是在网络安全领域又一规范性条例，在操作性、指导性和强制性力度更强。

XXXX目前的主要业务系统是XX系统、XX系统等系统，系统涉及到参保结算人员的各方面信息，按照《网络安全法》和等保2.0标准对被定义成国家关键信息基础设施的网络、业务系统需要按照等级保护标准建设，XXXX需要结合实际情况，对照国家及相关监管单位要求，理清安全现状，并对现有的信息系统按照等保2.0标准二级安全要求建设。

1.2建设依据本次方案设计严格按照国家有关网络安全等级保护、信息安全保密方面的各项标准、规范、指南和管理部分要求，紧紧围绕国家信息安全发展战略进行规划设计。

国家相关文件及法律政策：《网络安全等级保护条例》《中华人民共和国网络安全法》《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）《国务院关于印发“十三五”国家信息化规划的通知》（国发[2016]73号）《“健康中国2030”规划纲要》《“十三五”深化医药卫生体制改革规划》《“十三五”全国人口健康信息化发展规划》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进”互联网+医疗健康“发展的意见》《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函[2011]1126号）卫生部《基于健康档案与区域卫生信息平台的妇幼保健信息系统技术解决方案（征求意见稿）》；《卫生部办公厅关于印发2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目管理方案的通知》；《2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目技术方案》等。