医院信息安全等级保护建设方案.doc

-1-医院信息系统等级保护建设方案-2-??信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行::通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域-3-划分原则设计系统安全域架构。:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。:参照国家相关等级保护安全要求,设计等级安全指标库。:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。:针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全技术解决方案。:针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行安全管理建设。通过如上步骤,医院的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。信息系统实施等级保护的过程如图所示:系统定级、备案安全规划设计安全实施安全运维重大变更局部调整系统终止图信息系统安全等级保护实施的基本过程-4-,参考的主要标准如下:?《计算机信息系统安全保护等级划分准则》(G