医院网络安全等级保护2.0

网络安全等级保护基本要求 第1部分：安全通用要求

一、技术要求: 基本要求 第一级 第二级 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 a) a) ; b) ; 第三级 a) ; b) ; 第四级 物理位置的选择 / 物理访问控制 a) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员 a) 应将机房设备或主要部件进行固定，并设置明显的不易除去的标记 a) 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员 a) ； b) ； c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 a) ； b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等 a) ； b) ； c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 物理和环境安全 防盗窃和防破坏 a) ； b) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 a) ; b) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 a) ; b) ; c) ; 防雷击 a) 应将各类机柜、设施和设备等通过接地系统安全接地 a) a) ; b

网络安全等级保护基本要求 第1部分：安全通用要求

一、技术要求: 基本要求 第一级 第二级 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内； b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 a) a) ; b) ; 第三级 a) ; b) ; 第四级 物理位置的选择 / 物理访问控制 a) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员 a) 应将机房设备或主要部件进行固定，并设置明显的不易除去的标记 a) 机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员 a) ； b) ； c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 a) ； b) 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等 a) ； b) ； c) 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 物理和环境安全 防盗窃和防破坏 a) ； b) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。 a) ; b) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员 a) ; b) ; c) ; 防雷击 a) 应将各类机柜、设施和设备等通过接地系统安全接地 a) a) ; b

[键入文档标题]

解决方案

2018年6月

医院等级保护建设网络安全建设

目录

1

概述 1.1 1.2 1.3 1.4 2

背景分析

等级保护建设目标和范围 方案设计 参照标准

信息系统现状 2.1 2.2 2.3

医院网络安全现状 医院网络安全风险分析 医院网络安全需求 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6

物理安全 网络安全 主机安全 应用安全 数据安全

安全域划分及边界防护

3 网络安全建设必要性 3.1

等级保护要求

3.2 4

医院系统面临安全威胁

网络安全建设目标 4.1 4.2

满足合规性要求 等级保护技术要求

5 安全技术体系方案设计 5.1 5.2

物理层安全 网络层安全 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7 5.2.8 5.2.9 5.3

安全域划分 边界访问控制 网络审计 网络入侵防范 边界恶意代码防范 网络设备保护 主机层安全 身份鉴别 强制访问控制 主机入侵防范 主机审计 恶意代码防范 剩余信息保护 资源控制

应用层安全 5.3.1 5.3.2 5.3.3 5

内蒙古自治区人民医院

信息安全等级保护制度

卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，我院按照卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发[2011]85号）、卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函[2011]1126号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）、内蒙古卫生厅做好卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（内卫信[2012]20号）、关于成立内蒙古自治区卫生信息系统安全等级保护工作领导小组的通知（内卫信字[2012]665号）、转发卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（内卫信字[2012]21号）、关于开展信息安全等级保护大检查工作的通知（内卫信字[2012]1号）等文件的精神，根据我院自身情况，制定了内蒙古自治区人民医院信息安全等级保护制度。

一、工作目标

依据国家信息安全等级保护制度，遵循相关标准规范，在我院全

信息网络安全等级保护工作

自检自查报告

XX县烟草专卖局（分公司）的信息网络安全建设在上级部门的关心指导下，近年取得了快速的进步和发展，实效性强，网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定，严格规范信息安全等级保护，提高企业对信息网络安全的防控能力，保障企业信息网络安全，保证公司各项办公自动化工作的正常进行，促进企业效益的稳步提升，按照《XX县人民政府办公室关于开展信息网络信息安全等级保护安全检查工作的通知》要求，我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查，现将自查情况报告如下。

一、 等级保护工作部署和组织实施情况

XX县烟草公司企业信息化建设在市局（公司）的统一领导下，按照“统一网络、统一平台、统一数据库”的要求，以打造“数字烟草”为战略目标，以“系统集成、资源整合、信息共享”为工作方针，取得了快速的发展，在积极推进企业信息化建设的过程中，更加重视网络信息的安全建设工作。从省公司到市公司、县公司，领导高度重视，统一规划，统一标准，同步实施。首先是逐级成立了领导小组和职能部门，XX分公司按照上级部门要求，2000年11月成立了信息化领导小组，下设信息办在公司办公室，并设置了计算机系统管理

医院信息系统安全等级保护定级报告

一、 医院信息系统描述

（一） 医院于2008年起逐步建立基于医院信息管理、电子 病历的信息系统，该信息系统由医院负责系统管理运维，医院为该信息系统定级的责任单位。

（二） 该信息系统使用了7台HP服务器，安装有Window 2003 Server操作系统，Mysql数据库，用于医院信息管理系统的运行。使用了5台HP服务器，安装有Window 2003 Server操作系统，用于新农合即时结报平台的运行。医院在内外网

之间搭建有天融信防火墙，门诊二楼安有用于无线终端连接内

网的两个无线AP，各科室配有连接医院内网的终端计算机。 （三） 该信息系统主要包含：医院信息管理系统（HIS），电子病历系统、LIS、卫生统计直报系统、医院门户网站等系统组成。

二、 医院信息系统安全保护等级的确定 （一） 业务信息安全保护等级的确定 1、 业务信息描述

本信息系统主要处理的业务有医院信息管理的日常运行、在院患者的日常管理、医院院务公开、对外宣传等工作。旨在保障医院业务正常运行，提高工作效率，增强院务透明度，扩大医院社会影响力。

2、 业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是患者、法人和医院

国家信息安全等级保护制度

一、 医疗卫生行业的信息化系统安全建设目标如下：

实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

二、 医疗卫生行业的信息化系统安全建设需求如下：需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

有信息系统安全措施和应急处理预案。信息系统运行稳定、安全，具有防

灾备份系统，实行网 络运行监控，有防病毒、防入侵措施。实行信息系统操作权限分级管理，信息安全采用身份认证、权限控制（包括数据库和运用系统）、病人数据使用控制、保障网络信息安全和保护病人隐私。有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。

三、 有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

1.有信息网络运行、设备管理和维护、技术文档管理记录。 2.有信息系统变更、发布、配置管理制度及相关记录。 3.有信息系统软件更新、增补记录。 4.有信息值班、交接班制度，

5.有完整的日常运维记录和值班记录，及时处置安全隐患。

6.有信息系统运行事件（如系统瘫痪）相关的应急预案并 组织

二甲医院实施国家信息安全等级保护制度

实施国家信息安全等级保护制度

1、 医疗卫生行业的信息化系统安全建设目标如下： 实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

2、 医疗卫生行业的信息化系统安全建设需求如下： 需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

 有信息系统安全措施和应急处理预案。  信息系统运行稳定、安全，具有防灾备份系统，实行网 络运行监控，有防  病毒、防入侵措施。  实行信息系统操作权限分级管理， 信息安全采用身份认 证、权限控制（包括数据库和运用系统）、病人数据 使用控制、保障网络信息安全和保护病人隐私。  有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。 

有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

 1有信息网络运行、 设备管理和维护、 技术文档管理

记录。 

2.有信息系统变更、发布、配置管理制度及相关记录。

二甲医院实施国家信息安全等级保护制度

 3.有信息系统软件更新、增补记录。 

4.有信息值班、交接班制度，

5.有完整的日常运维记录和

二甲医院实施国家信息安全等级保护制度

实施国家信息安全等级保护制度

1、 医疗卫生行业的信息化系统安全建设目标如下： 实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

2、 医疗卫生行业的信息化系统安全建设需求如下： 需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

 有信息系统安全措施和应急处理预案。  信息系统运行稳定、安全，具有防灾备份系统，实行网 络运行监控，有防  病毒、防入侵措施。  实行信息系统操作权限分级管理， 信息安全采用身份认 证、权限控制（包括数据库和运用系统）、病人数据 使用控制、保障网络信息安全和保护病人隐私。  有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。 

有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

 1有信息网络运行、 设备管理和维护、 技术文档管理

记录。 

2.有信息系统变更、发布、配置管理制度及相关记录。

二甲医院实施国家信息安全等级保护制度

 3.有信息系统软件更新、增补记录。 

4.有信息值班、交接班制度，

5.有完整的日常运维记录和

WORD

专业资料

信息系统安全等级保护

备案表

备 案 单 位： （盖章）

备 案 日 期：

受理备案单位： （盖章）

受 理 日 期：

备案表编号：

WORD

专业资料中华人民国公安部监制填表说明

一、制表依据。根据《信息安全等级保护管理办法》（公通字[2007]43号）之规定，制作本

表；

二、填表围。本表由第二级以上信息系统运营使用单位或主管部门（以下简称“备案单位”）

填写；本表由四表单构成，表一为单位信息，每个填表单位填写一；表二为信息系统基本信息，表三为信息系统定级信息，表二、表三每个信息系统填写一；表四为第三级以上信息系统需要同时提交的容，由每个第三级以上信息系统填写一，并在完成系统建设、整改、测评等工作，投入运行后三十日向受理备案公安机关提交；表二、表

三、表四可以复印使用；

三、保存方式。本表一式二份，一份由备案单位保存，一份由受理备案公安机关存档；

四、本表中有选择的地方请在选项左侧“”划“√”，如选择“其他”，请在其后的横线

中注明详细容；

五、封面中备案表编号（由受理备案的公安机关填写并校验）：分两部分共11位，第一部

分6位，为受理备案公安机关代码前六位（可参照行标GA380-2002）。第二部分5位，为受理备案的公安机关给出的备