醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)基本要求 上海市衛(wèi)生局信息中心 上海市信息安全測(cè)評(píng)認(rèn)證中心 二 八 年 十 月 2 目 錄 1 前言 . 7 2 范圍 . 7 3 一般模型 . 7 3.1 技術(shù)模型 . 8 3.2 管理模型 . 9 3.3 應(yīng)用模型 . 10 4 定級(jí)指導(dǎo) . 15 5 威脅分析 . 15 6 安全目標(biāo) . 18 6.1 技術(shù)目標(biāo) . 18 6.2 管理目標(biāo) . 21 7 安全要求（要素表） . 23 8 安全基本要求 . 28 8.1 二級(jí)（一般）安全要求 . 28 8.1.1 技術(shù)要求 . 28 8.1.1.1 物理安全 . 28 8.1.1.1.1 物理位置的選擇 . 28 8.1.1.1.2 物理訪問控制 . 28 8.1.1.1.3 防盜竊 和防破壞 . 29 8.1.1.1.4 防雷擊 . 29 8.1.1.1.5 防火 . 29 8.1.1.1.6 防水和防潮 . 29 8.1.1.1.7 防靜電 . 30 8.1.1.1.8 溫濕度控制 . 30 8.1.1.1.9 電力供應(yīng) . 30 8.1.1.1.10 電磁防護(hù) . 30 8.1.1.2 網(wǎng)絡(luò)安全 . 31 8.1.1.2.1 結(jié)構(gòu)安全 . 31 8.1.1.2.2 訪問控制 . 31 8.1.1.2.3 邊界完整性檢查 . 31 8.1.1.2.4 網(wǎng)絡(luò)設(shè)備防護(hù) . 31 8.1.1.2.5 網(wǎng)絡(luò)可用性 . 32 8.1.1.3 主機(jī)系統(tǒng)安全 . 32 8.1.1.3.1 身份鑒別 . 32 8.1.1.3.2 訪問控制 . 32 8.1.1.3.3 安全審計(jì) . 33 8.1.1.3.4 惡意代碼防范 . 33 8.1.1.3.5 資源控制 . 33 8.1.1.3.6 主機(jī)可用性 . 33 8.1.1.4 應(yīng)用安全 . 33 8.1.1.4.1 身份鑒別 . 33 3 8.1.1.4.2 訪問控制 . 34 8.1.1.4.3 安全審計(jì) . 34 8.1.1.4.4 通信完整性 . 35 8.1.1.4.5 通信保密性 . 35 8.1.1.4.6 軟件容錯(cuò) . 35 8.1.1.4.7 資源 控制 . 35 8.1.1.5 數(shù)據(jù)安全 . 35 8.1.1.5.1 完整性 . 35 8.1.1.5.2 數(shù)據(jù)保密性 . 35 8.1.1.5.3 備份和恢復(fù) . 36 8.1.2 管理要求 . 36 8.1.2.1 安全管理制度 . 36 8.1.2.1.1 管理制度 . 36 8.1.2.1.2 制定和發(fā)布 . 36 8.1.2.1.3 評(píng)審和修訂 . 37 8.1.2.2 安全管理機(jī)構(gòu) . 37 8.1.2.2.1 崗位設(shè)置 . 37 8.1.2.2.2 人員配備 . 37 8.1.2.2.3 授權(quán)和審批 . 37 8.1.2.2.4 溝通和合作 . 37 8.1.2.2.5 審核和檢查 . 38 8.1.2.3 人員安全管理 . 38 8.1.2.3.1 人員錄用 . 38 8.1.2.3.2 人員離崗 . 38 8.1.2.3.3 人員考核 . 38 8.1.2.3.4 安全意識(shí)教育和培訓(xùn) . 38 8.1.2.3.5 外部人員訪問管理 . 39 8.1.2.4 系統(tǒng)建設(shè)管理 . 39 8.1.2.4.1 系統(tǒng)定級(jí) . 39 8.1.2.4.2 安全方案設(shè)計(jì) . 39 8.1.2.4.3 產(chǎn)品采購 . 40 8.1.2.4.4 自行軟件開發(fā) . 40 8.1.2.4.5 外包軟件開發(fā) . 40 8.1.2.4.6 工程實(shí)施 . 40 8.1.2.4.7 測(cè)試驗(yàn)收 . 41 8.1.2.4.8 系統(tǒng)交付 . 41 8.1.2.4.9 安全服務(wù)商 選擇 . 41 8.1.2.5 系統(tǒng)運(yùn)維管理 . 41 8.1.2.5.1 環(huán)境管理 . 41 8.1.2.5.2 資產(chǎn)管理 . 42 8.1.2.5.3 介質(zhì)管理 . 42 8.1.2.5.4 設(shè)備管理 . 42 8.1.2.5.5 監(jiān)控管理 . 43 8.1.2.5.6 網(wǎng)絡(luò)安全管理 . 43 4 8.1.2.5.7 系統(tǒng)安全管理 . 43 8.1.2.5.8 惡意代碼防范管理 . 44 8.1.2.5.9 密碼管理 . 44 8.1.2.5.10 變更管理 . 44 8.1.2.5.11 備份與恢復(fù)管理 . 44 8.1.2.5.12 安全事件處置 . 45 8.1.2.5.13 應(yīng)急預(yù)案管理 . 45 8.2 二級(jí)（增強(qiáng)）安全要求 . 46 8.2.1 技術(shù)要求 . 46 8.2.1.1 物理安全 . 46 8.2.1.1.1 物理位置的選擇 . 46 8.2.1.1.2 物理訪問控制 . 46 8.2.1.1.3 防盜竊和防破壞 . 46 8.2.1.1.4 防雷擊 . 47 8.2.1.1.5 防火 . 47 8.2.1.1.6 防水和防潮 . 47 8.2.1.1.7 防靜電 . 47 8.2.1.1.8 溫濕度控制 . 47 8.2.1.1.9 電力供應(yīng) . 48 8.2.1.1.10 電磁防護(hù) . 48 8.2.1.2 網(wǎng)絡(luò)安全 . 48 8.2.1.2.1 結(jié)構(gòu)安全 . 48 8.2.1.2.2 訪問控制 . 49 8.2.1.2.3 安全 審計(jì) . 49 8.2.1.2.4 邊界完整性檢查 . 49 8.2.1.2.5 入侵防范 . 49 8.2.1.2.6 網(wǎng)絡(luò)設(shè)備防護(hù) . 49 8.2.1.2.7 網(wǎng)絡(luò)可用性 . 50 8.2.1.3 主機(jī)系統(tǒng)安全 . 50 8.2.1.3.1 身份鑒別 . 50 8.2.1.3.2 訪問控制 . 50 8.2.1.3.3 安全審計(jì) . 51 8.2.1.3.4 入侵防范 . 51 8.2.1.3.5 惡意代碼防范 . 51 8.2.1.3.6 資源控制 . 51 8.2.1.3.7 主機(jī)可用性 . 51 8.2.1.4 應(yīng)用安全 . 52 8.2.1.4.1 身份鑒別 . 52 8.2.1.4.2 訪問控制 . 52 8.2.1.4.3 安全審計(jì) . 53 8.2.1.4.4 剩余信息保護(hù) . 53 8.2.1.4.5 通信完整性 . 53 8.2.1.4.6 通信保密性 . 53 8.2.1.4.7 軟件容錯(cuò) . 53 5 8.2.1.4.8 資源控制 . 54 8.2.1.5 數(shù)據(jù)安全 . 54 8.2.1.5.1 完整性 . 54 8.2.1.5.2 數(shù)據(jù)保密性 . 54 8.2.1.5.3 備份和恢復(fù) . 54 8.2.2 管理要求 . 55 8.2.2.1 安全管理制度 . 55 8.2.2.1.1 管理制度 . 55 8.2.2.1.2 制定和發(fā)布 . 55 8.2.2.1.3 評(píng)審和修訂 . 55 8.2.2.2 安全管理機(jī)構(gòu) . 56 8.2.2.2.1 崗位設(shè)置 . 56 8.2.2.2.2 人員配備 . 56 8.2.2.2.3 授權(quán)和審批 . 56 8.2.2.2.4 溝