医院等级保护.docx

医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全, 2011 年底,卫生部先后下达 85号通知和 1126 号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于 2015 年12月30日前完成等保建设整改并通过等级测评。 2007 年由公安部下发的 43号令拉开了各行业信息安全等保建设的序幕, 200 8 年颁布的国标《 GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是 HIS 、LIS 和RIS 。图1医院网络现状(如图 1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网, 其中: 内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的 HIS 、 PACS 、LIS 等系统; 外网即与 相联的网络,承载的业务包括邮件、 OA等; 设备网是一张新兴的网,承载 IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯, 如果不特别说明,上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房 VIP 业务等。无线网络中的内网业务都要访问 HIS 、RIS 等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范 业务为主的安全解决方案明显不同。一、安全等保的测评对象 GB/T 22239-2008 中的三级安全等保标准共 290 项内容,由技术( 136 项)和管理( 154 项) 2部分组成;技术要求中分为物理、网络、主机、应用和数据安全 5部分。根据各地的自有特点,以提高系统的安全性为目的,各地的等保测评机构会进行标准的补充。医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS 、LIS 和RIS 定级为三级信息系统,那么这 3 个系统之外的如 EMR 、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。二、安全等保网络安全解读作为安全等保的重要组成部分,网