医院网络安全等级保护定级

医院信息系统安全等级保护定级报告

一、 医院信息系统描述

（一） 医院于2008年起逐步建立基于医院信息管理、电子 病历的信息系统，该信息系统由医院负责系统管理运维，医院为该信息系统定级的责任单位。

（二） 该信息系统使用了7台HP服务器，安装有Window 2003 Server操作系统，Mysql数据库，用于医院信息管理系统的运行。使用了5台HP服务器，安装有Window 2003 Server操作系统，用于新农合即时结报平台的运行。医院在内外网

之间搭建有天融信防火墙，门诊二楼安有用于无线终端连接内

网的两个无线AP，各科室配有连接医院内网的终端计算机。 （三） 该信息系统主要包含：医院信息管理系统（HIS），电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。

二、 医院信息系统安全保护等级的确定 （一） 业务信息安全保护等级的确定 1、 业务信息描述

本信息系统主要处理的业务有医院信息管理的日常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。旨在保障医院业务正常运行，提高工作效率，增强院务透明度，扩大医院社会影响力。

2、 业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是患者、法人和医院

《人事系统安全等级保护定级报告》

一、 人事信息系统描述

XX有限公司人事管理部承担人事系统信息安全保护责任，完成本系统的定级工作。本系统具备信息系统的基本要素：（1）系统应用部署单独服务器上，数据库统一部署在数据库服务器上；（2）人事管理系统主要用于对公司内部员工、部门等人事信息进行管理，并提供了相关人事职能，为人事管理部提供了管理工具，同时让员工可以通过公司内部网络实现自我管理，提高了整体运作效能；（3）系统承载了人事信息、人才队伍、招聘管理、培训发展、劳动关系、薪酬福利等几大栏目； (4)承担本系统的边界设备包括XX的防火墙和VPN、XX的路由器。

二、人事信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定 1、业务信息描述

人事管理系统业务信息包含公司全体员工、法人和组织的全部信息，薪酬福利等专属于个人、机构的保密信息。

2、业务信息受到破坏时所侵害客体的确定

人事管理系统受到破坏时侵害的是公民、法人和其他组

织的合法权益。

3、信息受到破坏后对侵害客体的侵害程度的确定

人事管理系统受到破坏时对公民、法人和其他组织的合法权益造成严重损害。

4、业务信息安全等级的确定

网络安全等级保护基本要求 第1部分：安全通用要求

一、技术要求: 基本要求 第一级 第二级 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 a) a) ; b) ; 第三级 a) ; b) ; 第四级 物理位置的选择 / 物理访问控制 a) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员 a) 应将机房设备或主要部件进行固定，并设置明显的不易除去的标记 a) 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员 a) ； b) ； c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 a) ； b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等 a) ； b) ； c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 物理和环境安全 防盗窃和防破坏 a) ； b) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 a) ; b) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 a) ; b) ; c) ; 防雷击 a) 应将各类机柜、设施和设备等通过接地系统安全接地 a) a) ; b

网络安全等级保护基本要求 第1部分：安全通用要求

一、技术要求: 基本要求 第一级 第二级 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 a) a) ; b) ; 第三级 a) ; b) ; 第四级 物理位置的选择 / 物理访问控制 a) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员 a) 应将机房设备或主要部件进行固定，并设置明显的不易除去的标记 a) 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员 a) ； b) ； c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 a) ； b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等 a) ； b) ； c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 物理和环境安全 防盗窃和防破坏 a) ； b) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 a) ; b) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 a) ; b) ; c) ; 防雷击 a) 应将各类机柜、设施和设备等通过接地系统安全接地 a) a) ; b

《信息系统安全等级保护定级报告》

一、马尔康县人民检察院门户网站信息系统描述

（一）该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门，信息股为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。

服务器托管在九龙县电信公司机房

（三）该信息系统业务主要包含：等业务。

二、马尔康县人民检察院门户网站信息系统安全保护等级确定

（一）业务信息安全保护等级的确定 1、业务信息描述

该信息系统业务主要包含：九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。

2、业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是社会秩序和公众利

— 9 —

益。

侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害

形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务

信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对社会秩序和公众利益造成影响和损害，可以表现为：发布虚假信息，影响公共利益，造成不良影响，引起法律纠

《信息系统安全等级保护定级报告》

一、XXX信息系统描述

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4、业务信息安全等级的确定

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定

1、系统服务描述

描述信息系统的服务范围、服务对象等。

2、系统服务受

附录A

（规范性附录）

《信息系统安全等级保护定级报告》

一、XXX信息系统描述（XX电力公司生产管理（PSMS）信息系统）

简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

? 生产管理（PSMS）管理信息系统作为该电力公司生产部、安全监督部、调度三个部门的信息系统，涵盖了省公司以及各个地区局电力生产的各个业务操作流程、以及与之相关联的业务数据和管理数据。整个系统采用省地分布式网络，省地之间两侧采用防火墙进行隔离。地区局系统作为下属单位主要的侧重点在于业务流程，省电力公司侧重的主要是进行流程的审核、数据的分类汇总、统计分析。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）

（一）业务信息安全保护等级的确定

1、业务信息描述

描述信息系统处理的主要业务信息等。

安全信息系统主要的业务信息主要包括：电网概况、设备台帐以及相

XX信息系统安全等级保护定级报告

（起草参考实例）

一、 X省邮政金融网中间业务系统描述

（一）该中间业务于*年*月*日由*省邮政局科技立项，省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门，省邮政局委托技术局为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分，（图略），第一部分为省数据中心，第二部分为市局局域网。

在省数据中心的核心设备部署了华为的S**三层交换机，……

在省数据中心的网络中配置了两台与外部网络互联的边界设备：天融信 NGFW 4**防火墙和Cisco 2**路由器……

省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略，只能现场配置，不可远程拨号登录。

整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分，而

NGFW 4** 以内的部分包括与各地市互联的部分

[键入文档标题]

解决方案

2018年6月

医院等级保护建设网络安全建设

目录

1

概述 1.1 1.2 1.3 1.4 2

背景分析

等级保护建设目标和范围 方案设计 参照标准

信息系统现状 2.1 2.2 2.3

医院网络安全现状 医院网络安全风险分析 医院网络安全需求 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6

物理安全 网络安全 主机安全 应用安全 数据安全

安全域划分及边界防护

3 网络安全建设必要性 3.1

等级保护要求

3.2 4

医院系统面临安全威胁

网络安全建设目标 4.1 4.2

满足合规性要求 等级保护技术要求

5 安全技术体系方案设计 5.1 5.2

物理层安全 网络层安全 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7 5.2.8 5.2.9 5.3

安全域划分 边界访问控制 网络审计 网络入侵防范 边界恶意代码防范 网络设备保护 主机层安全 身份鉴别 强制访问控制 主机入侵防范 主机审计 恶意代码防范 剩余信息保护 资源控制

应用层安全 5.3.1 5.3.2 5.3.3 5

内蒙古自治区人民医院

信息安全等级保护制度

卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，我院按照卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发[2011]85号）、卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函[2011]1126号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）、内蒙古卫生厅做好卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（内卫信[2012]20号）、关于成立内蒙古自治区卫生信息系统安全等级保护工作领导小组的通知（内卫信字[2012]665号）、转发卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（内卫信字[2012]21号）、关于开展信息安全等级保护大检查工作的通知（内卫信字[2012]1号）等文件的精神，根据我院自身情况，制定了内蒙古自治区人民医院信息安全等级保护制度。

一、工作目标

依据国家信息安全等级保护制度，遵循相关标准规范，在我院全