医院信息安全等级保护三级建设思路.doc

医院信息安全等级保护三级建设思路.doc1 医院信息安全等级保护三级建设思路摘要随着医院信息化发展的不断深化, 医院的信息安全工作显得越为重要, 近期卫生部要求深化落实国家信息安全等级保护制度, 要求原则上医院核心信息系统定级不低于第三级。为此本文按照系统的定级、备案、整改、测评、自查与配合监察五个流程详细的介绍了医院进行信息安全等级保护三级建设的思路。关键词等级保护;安全;定级;测评中图分类号 TP39 文献标识码 A 文章编号 1674-6708 ( 2013 ) 99-0208-02 1 背景随着医院信息化的迅猛发展, 医院信息系统已经深入到医疗工作的各个环节之中, 信息系统的安全一旦受到威胁将会严重影响到医疗活动的顺利开展,因此该工作受到了医院越来越高的重视。信息安全等级保护是国家出台的针对信息安全分级保护的制度, 其最终目的就是保护重要的信息系统的安全, 提高信息系统的防护能力和应急水平。为了信息安全等级保护制度能够更好的在各医院得到有效的落实,国家有关部门针对医疗行业的实际现状印发了《卫生行业信息安全等级保护 2 工作的指导意见》的通知卫办发[2011] 85 号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。根据文件精神, 医院的核心业务信息系统安全保护等级原则上不低于第三级。 2 医院信息安全等级保护建设流程 信息系统定级信息系统定级主要考虑两个方面, 一是业务信息受到破坏时的客观对象是谁, 二是对于客观对象的损坏程度如何。两方面结合根据表 1 来制定本单位的具体哪个信息系统应该定位第几级。针对医院, 一般门诊量都比较大, 当在早晨挂号、就诊等高峰的时候就会有大量的患者排队,如果一旦发生系统瘫痪就会造成大面积患者排队, 很容易引发群体事件。因此, 定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。涉及的信息系统即与挂号、就诊等门诊患者密切相关的系统。 信息系统评审与备案按照等级保护管理办法和定级指南要求, 在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。完成评审后, 医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全 3 等级保护网”进行下载。最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续, 在拿到备案回执和审核结果通知后完成定级备案。 信息系统安全建设与整改在完成备案后需要开始对信息系统进行合规性建设与整改, 主要分为以下几个步骤完成。 等级保护差距分析等级保护的要求整体分为技术与管理两个方面,而技术又可以分为 SAG 三类,主要包括: 业务信息安全类(S类): 关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改, 比如在传输患者数据及费用数据是否进行了加密传输,在传输过程中如果出现异常能否及时发现等。系统服务安全类(A类): 关注的是保护系统连续正常的运行, 比如机房的电力方面、服务器的负载方面、 HIS 系统的容错性与资源控制,是否支持单机挂号、就诊、收费、取药, 能够在系统服务器瘫痪的情况下保存现有数据, 并继续开展诊疗活动, 再有就是灾备的建设情况, 是否可在系统瘫痪的情况下