26.卫生行业的等级保护与安全管理标准-2013信息安全周

卫生行业的等级保护与安全管理标准秦 峰PMP/ITIL/COBIT ISO20000/27001 LA上海安言信息技术有限公司2013/11/6

医疗机构信息安全管理需求 医疗机构等级保护标准要求 医疗机构信息安全建设模型

医疗机构HIS系统基本模型应用模型决 策 支 持 业 务 应 用 基 础 建 设 基础 网络 建设管理 HMIS 临床 CIS综合查询与决策分析知识库管理及辅助诊疗行政管理部分综合业务部分临床业务部分系统 操作 平台政务 外网 接入网站 建设安全 解决 方案系统 管理 规范外部 接口技术模型应用 系统综合业 务 临床业 务 行政管 理 ……信 息 安 全 管 理 生 命 周 期管理模型过程管理设 备 管 理 应 急 预 案 管 理 介 质 管 理 安 全 事 件 处 置建设管理资 产 管 理 网 络 安 全 管 理 环 境 管 理 系 统 安 全 管 理 密 码 管 理主机 系统Web服 务 Windo wsMail服 务 Solaris数据库多媒体 平台 Linux中间件……系统定级 工程实施 测试验收方案设计 软件外包 系统交付产品使用 自行开发AIXHP-UX……恶 意 代 码 防 范 管 理变 更 管 理备 份 与 恢 复 管 理网络 系统 物理 环境TCP/IPIPX/SP XSNMP……信 息 安 全 管 理 基 础场地机房网络布 线设备存储设 备……管理机构管理制度人员安全

医疗机构信息安全管理基本需求 医疗机构的主要信息系统应用： 医院信息管理系统； 远程医疗诊断； 网上就医； 急救调度响应； 疫情监控系统； 医疗保险系统； ………… 安全防护目标 避免医疗信息被偷窃、修改及未授权的访问； 保护患者的隐私； 遵守政府法规的要求； 避免病毒或攻击造成网络瘫痪而影响医院业务运行； ……

医疗机构信息安全管理需求 医疗机构等级保护标准要求 医疗机构信息安全建设模型

医疗机构信息安全等级保护发展2011年11月，卫生部印发了《卫生行业信息安全等级保护工作的指导意见》通知， 通知明确提出卫生行业信息安全等级保护工作的指导意见，包括工作目标、工作原则、工作 机制、工作任务、工作要求等，有力促进卫生行业信息安全等级保护工作的开展。其中： 工作目标：全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息 安全保障重点，落实 信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生 行业信息安全防护能力、隐患发现能力、应急处置能力，为卫生信息化健康发展提供可靠 保障， 全面维护公共利益、社会秩序和国家安全。 工作原则：遵循标准，重点保护；行业指导，属地管理；同步建设，动态完善。 工作任务：1.定级备案；2.建设与整改；3.等级测评；4.宣传培训；5.监督检查。

等级保护相关标准 GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 22239—2008 信息系统安全等级保护基本要求 GB/T 22240—2008 信息系统安全等级保护定级指南 GB/T 25058-2010信息系统安全等级保护实施指南 GB/T 25070-2010信息系统等级保护安全设计技术要求 GB/T 28449-2012信息系统安全等级保护测评过程指南 GB/T 28448-2012信息系统安全等级保护测评要求

信息系统安全等级保护制度体系结构

医疗机构信息安全等级实施流程1、系统定级 2、安全规划设计重大变更3、安全实施/实现局部调整4、安全运行管理5、系统终止

医疗机构等级保护定级备案流程省公安厅 省卫生厅 材料 报备 市卫生局 市公安局备案材料 报备材料 报备备案厅属和省级医疗卫生单位区县卫生局、市属医疗卫生单 位及辖区内三乙以上医院二级系统：根据标准开展安全分析、确定安全需求，设计整改方案，报属地公安机关及卫生 行政部门备案； 三级系统：安全建设整改方案应当经信息安全技术专家委员会论证，每年选择等级测评机构， 对第三级以上（含第三级）卫生信息系统进行等级测评，将测评报告报数地公安机关及卫生 行政部门备案；

医疗机构等级保护定级建议系统名称 基础支撑系统 数据库系统 面向患者服务信息系统 内部行政管理信息系统 系统名称 门户网站 电子政务系统 区域化业务系统 市级 二级 二级 三级 三甲 三级 三级 三级 三级 三乙 三级 三级 三级 三级 区县 一级 一级 二级

医疗机构等级保护定级建议（三级参考）卫生统计网络直报系统 传染性疾病报告系统国家、省、地市三级卫生信息平台 新农合、卫生监督、妇幼保健卫生监督信息报告系统 突发公共卫生事件应急指挥 信息系统三级甲等医院核心业务系统卫生部网站系统经安全技术专家评定的第三级信息系统

医疗机构信息安全管理需求 医疗机构等级保护标准要求 医疗机构信息安全建设模型

等级化安全管理建设模型——总体设计安全组织体系 安全机构组织 安全人员职责 人员教育培训 人员安全 安全服务组织 应急响应队伍D安全管理安全策略体系 安全策略规划与制订 安全管理制度 技术规范、标准 安全系统工程建设 安全系统建设管理 组织职责P 安全技术体系 等级保护安全运维体系 C网络运维监控 网络安全管理 系统及网络加固 资产、介质管理 恶意代码防范管 漏洞扫描、补丁升级 数据备份与恢复 安全事件响应、处置 应急预案发布与管理身份认证 访问控制 安全域划分 防病毒、恶意代码 入侵检测与保护 网络安全审计 终端安全管理 数据备份与容灾安全技术 A

等级化安全管理建设模型——管理设计明确主管领导、落实责任部门 落实安全岗位和人员 信息系统安全管理现状分析&项目实施方案详细设计 确定安全管理策略、制定安全管理制度 落实安全管理措施人员安全管理系统运维管理环境和资产管理设备和介质管理 日常运行维护 集中安全管理系统建设管理事件处置和应急响应灾难备份 安全监测 ……安全自查和调整

等级化安全管理建设模型——技术设计安全计算环境1）用户身份鉴别 2）自主访问控制 3）标记和强制访问控制 4）系统安全审计 5）用户数据完整性保护 6）用户数据保密性保护 7）客体安全重用 8）程序可信执行保护安全管理中心 1）系统管理 2）安全管理 3）审计管理安全区域边界1）区域边界访问控制 2）区域边界包过滤 3）区域边界安全审计 4）区域边界完整性保护等级保护 1) 通信网络安全审计 2) 通信网络数据传输完整性保护 3) 通信网络数据传输保密性保护 4) 通信网络可信接入保护安全通信网络

等级化安全管理建设模型——持续改进1、落实安全管理机构及 安全管理人员，明确角 色与职责，制定安全规划 2、开发安全策略 7、保证配置、变更 的正确与安全3、实施风险管理8、进行安全审计4、制定业务持续性计 划和灾难恢复计划信息安全管理9、保证维护支持5、选择与实施安全措施10、进行监控、检查， 处理安全事件6、人员安全管理11、安全意识 安全教育

医疗机构信息安全管理体系架构设计信息安全管理体系主要内容信息安全技术体系信息安全管理体系物 理 安 全 建 设网 络 安 全 建 设主 机 安 全 建 设应 用 安 全 建 设数 据 安 全 建 设安 全 管 理 机 构安 全 管 理 制 度人 员 安 全 管 理系 统 建 设 管 理系 统 运 维 管 理

等级化安全管理建设模型——实践模型医疗行业信息系统等级保障体系持续改进等 级 保 护医疗行业信息系统划分和定级医疗行业保护对象影响等级定级基本安全要求 特殊安全要求 风险分析 安全规划国 家 等 级 保 护 政 策、 安 全 标 准、 安 全 规 范安 全 需 求医疗行业保护对象安全需求 医疗行业保护对象纵深防御体系安全管理体系 安全技术体系 安全隔离与交换信息系统 网络基础设施安全安全运行体系安全服务管理平台 安全审计、安全监控 运行维护中心 容灾备份操作管理 灾难恢复应急响应安 全 设 计安全策略、安全组织 安全法律、法规、标准 人员安全 安全培训 安全规划应用系统安全物理安全 检测与响应安 全 实 施持续 改进安全产品定级医疗行业保护对象安全措施调整医疗行业保护对象安全措施实施医疗行业信息系统等级保护安全措施有效性测试 评价医疗行业信息系统等级保护效果医 疗 行 业 信 息 系 统 风 险 分 析 与 评 估

医疗机构信息安全管理发展方向医 院病 人政 府 监 督安全性 可用性 可靠性医 疗 保 险可用性医疗机构信 息管理系统提升整体竞争力提高医疗水平改善服务质量改革管理模式

关于等级安全理念的分享安全是相对的，不安全是绝对的！实施前强调分级分类，找出信息安全保护重点、 要点把有限的资源投入到关键部位

本文来源：https://www.bwwdw.com/article/q4ge.html