信息安全保护制度

内蒙古自治区人民医院

信息安全等级保护制度

卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，我院按照卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发[2011]85号）、卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函[2011]1126号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）、内蒙古卫生厅做好卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（内卫信[2012]20号）、关于成立内蒙古自治区卫生信息系统安全等级保护工作领导小组的通知（内卫信字[2012]665号）、转发卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（内卫信字[2012]21号）、关于开展信息安全等级保护大检查工作的通知（内卫信字[2012]1号）等文件的精神，根据我院自身情况，制定了内蒙古自治区人民医院信息安全等级保护制度。

一、工作目标

依据国家信息安全等级保护制度，遵循相关标准规范，在我院全

医院信息安全制度

为保证我院计算机网络的正常运行和健康发展，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律规定，结合我院实际情况，针对医院信息安全，特制定本规定。

（1）医院局域网（院内网）信息安全制度：

①医院局域网(院内网)的工作人员和连入院内网络的所有用户必须遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律、法规，严格执行本条例。

②院内网信息安全管理实施工作责任制和责任追究制。医院成立网络安全领导小组，院领导挂帅各部门主要负责人参与，建立健全医院的计算机网络安全管理制度，配备网络安全员，负责本部门内网络的信息安全管理工作。

③院内网的管理部门是信息科，负责院内网的规划、建设、应用开发、运行维护与用户管理。保障网络信息、运行环境的安全;保障网络系统的正常及安全运行，用户上网采用工号登陆方式，上网操作人员须经信息科考核合格后才能上网操作。

④院内网的信息安全监查工作由信息科负责。院内网的所有工作人员和用户必须接受医院有关部门的监督检查，并对医院采取的必要措施给予配合。

⑤院内网的IP地址由信息科统一管理

二甲医院实施国家信息安全等级保护制度

实施国家信息安全等级保护制度

1、 医疗卫生行业的信息化系统安全建设目标如下： 实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

2、 医疗卫生行业的信息化系统安全建设需求如下： 需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

 有信息系统安全措施和应急处理预案。  信息系统运行稳定、安全，具有防灾备份系统，实行网 络运行监控，有防  病毒、防入侵措施。  实行信息系统操作权限分级管理， 信息安全采用身份认 证、权限控制（包括数据库和运用系统）、病人数据 使用控制、保障网络信息安全和保护病人隐私。  有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。 

有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

 1有信息网络运行、 设备管理和维护、 技术文档管理

记录。 

2.有信息系统变更、发布、配置管理制度及相关记录。

二甲医院实施国家信息安全等级保护制度

 3.有信息系统软件更新、增补记录。 

4.有信息值班、交接班制度，

5.有完整的日常运维记录和

二甲医院实施国家信息安全等级保护制度

实施国家信息安全等级保护制度

1、 医疗卫生行业的信息化系统安全建设目标如下： 实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

2、 医疗卫生行业的信息化系统安全建设需求如下： 需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

 有信息系统安全措施和应急处理预案。  信息系统运行稳定、安全，具有防灾备份系统，实行网 络运行监控，有防  病毒、防入侵措施。  实行信息系统操作权限分级管理， 信息安全采用身份认 证、权限控制（包括数据库和运用系统）、病人数据 使用控制、保障网络信息安全和保护病人隐私。  有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。 

有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

 1有信息网络运行、 设备管理和维护、 技术文档管理

记录。 

2.有信息系统变更、发布、配置管理制度及相关记录。

二甲医院实施国家信息安全等级保护制度

 3.有信息系统软件更新、增补记录。 

4.有信息值班、交接班制度，

5.有完整的日常运维记录和

国家信息安全等级保护制度第三级要求

1 第三级基本要求

1.1技术要求 1.1.1 物理安全

1.1.1.1 物理位置的选择(G3) 本项要求包括:

a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;

b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。

1.1.1.2 物理访问控制(G3) 本项要求包括:

a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;

c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安

装等过渡区域;

d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人

员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括:

a) 应将主要设备放置在机房内;

b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;

c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括:

a) 机房建筑应设

国家信息安全等级保护制度

一、 医疗卫生行业的信息化系统安全建设目标如下：

实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

二、 医疗卫生行业的信息化系统安全建设需求如下：需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

有信息系统安全措施和应急处理预案。信息系统运行稳定、安全，具有防

灾备份系统，实行网 络运行监控，有防病毒、防入侵措施。实行信息系统操作权限分级管理，信息安全采用身份认证、权限控制（包括数据库和运用系统）、病人数据使用控制、保障网络信息安全和保护病人隐私。有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。

三、 有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

1.有信息网络运行、设备管理和维护、技术文档管理记录。 2.有信息系统变更、发布、配置管理制度及相关记录。 3.有信息系统软件更新、增补记录。 4.有信息值班、交接班制度，

5.有完整的日常运维记录和值班记录，及时处置安全隐患。

6.有信息系统运行事件（如系统瘫痪）相关的应急预案并 组织

国家信息安全等级保护制度

一、 医疗卫生行业的信息化系统安全建设目标如下：

实施国家信息安全等级保护制度，实行信息系统操 作权限分级管理，保障网络信息安全，保护患者隐私。推动 系统运行维护的规范化管理，落实突发事件响应机制，保证 业务的连续性。

二、 医疗卫生行业的信息化系统安全建设需求如下：需要加强信息系统的安全保障和患者隐私保护，具体要求如下：

有信息系统安全措施和应急处理预案。信息系统运行稳定、安全，具有防

灾备份系统，实行网 络运行监控，有防病毒、防入侵措施。实行信息系统操作权限分级管理，信息安全采用身份认证、权限控制（包括数据库和运用系统）、病人数据使用控制、保障网络信息安全和保护病人隐私。有安全监管记录，定期分析，及时处理安全预警，持续 改进安全保障系统。

三、 有信息安全应急演练 需要加强信息系统运行维护，具体要求如下：

1.有信息网络运行、设备管理和维护、技术文档管理记录。 2.有信息系统变更、发布、配置管理制度及相关记录。 3.有信息系统软件更新、增补记录。 4.有信息值班、交接班制度，

5.有完整的日常运维记录和值班记录，及时处置安全隐患。

6.有信息系统运行事件（如系统瘫痪）相关的应急预案并 组织

交互式网站

交互式信息安全管理制度

目录

安全管理制度要................................................................................................................. 法律责任............................................................................................................................. 人员安全管理..................................................................................................................... 访问控制管理..................................................................................................................... 网络操作与安全.....

网络与信息安全保护措施

一、 网络安全保障措施

为了全面确保本公司网络安全，在本公司网络平台解决方案设

计中，主要将基于以下设计原则： a安全性

在本方案的设计中，我们将从网络、系统、应用、运行管理、系统冗余等角度综合分析，采用先进的安全技术，如防火墙、加密技术，为

热点网站提供系统、完整的安全体系。确保系统安全运行。 b高性能

考虑本公司网络平台未来业务量的增长，在本方案的设计中，我们将从网络、服务器、软件、应用等角度综合分析，合理设计结构与配置

，以确保大量用户并发访问峰值时段，系统仍然具有足够的处理能力，保障服务质量。

页 第 1

本文部分内容来自互联网，不为其真实性及所产生的后果负责，如有异议请联系我们及时删除。

c可靠性

本公司网络平台作为企业门户平台，设计中将在尽可能减少投资的情况下，从系统结构、网络结构、技术措施、设施选型等方面综合考虑

，以尽量减少系统中的单故障节点，实现7×24小时的不间断服务

d可扩展性

优良的体系结构（包括硬件、软件体系结构）设计对于系统是否能够适应未来业务的发展至关重要。在本系统的设计中，硬件系统（如服务器

、存贮设计等）将遵循可扩充的原则，以确保系统随着业务量的不断增长

网络与信息安全保护措施

一、 网络安全保障措施

为了全面确保本公司网络安全，在本公司网络平台解决方案设

计中，主要将基于以下设计原则： a安全性

在本方案的设计中，我们将从网络、系统、应用、运行管理、系统冗余等角度综合分析，采用先进的安全技术，如防火墙、加密技术，为

热点网站提供系统、完整的安全体系。确保系统安全运行。 b高性能

考虑本公司网络平台未来业务量的增长，在本方案的设计中，我们将从网络、服务器、软件、应用等角度综合分析，合理设计结构与配置

，以确保大量用户并发访问峰值时段，系统仍然具有足够的处理能力，保障服务质量。

页 第 1

本文部分内容来自互联网，不为其真实性及所产生的后果负责，如有异议请联系我们及时删除。

c可靠性

本公司网络平台作为企业门户平台，设计中将在尽可能减少投资的情况下，从系统结构、网络结构、技术措施、设施选型等方面综合考虑

，以尽量减少系统中的单故障节点，实现7×24小时的不间断服务

d可扩展性

优良的体系结构（包括硬件、软件体系结构）设计对于系统是否能够适应未来业务的发展至关重要。在本系统的设计中，硬件系统（如服务器

、存贮设计等）将遵循可扩充的原则，以确保系统随着业务量的不断增长