醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)備案實(shí)施

1、醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)備案實(shí)施 根據(jù)國(guó)家信息安全等級(jí)保護(hù)制度，醫(yī)院實(shí)施了安全等級(jí)保護(hù)，闡述了醫(yī)院信息系統(tǒng)等級(jí)保護(hù)實(shí)施過(guò)程。提出要有持續(xù)改進(jìn)的理念，不斷加強(qiáng)安全措施確保醫(yī)院信息系統(tǒng)安全運(yùn)行，保障數(shù)據(jù)安全有效。 【關(guān)鍵詞】信息安全等級(jí)保護(hù) 測(cè)評(píng)實(shí)施 1 引言 醫(yī)院信息化建設(shè)快速發(fā)展，信息系統(tǒng)應(yīng)用深入到各個(gè)環(huán)節(jié)，信息業(yè)務(wù)系統(tǒng)承載了門診收費(fèi)、門診藥房、住院收費(fèi)、住院藥房、醫(yī)保、財(cái)務(wù)、門急診醫(yī)生護(hù)士站、住院醫(yī)生護(hù)士站、電子病歷、病案首頁(yè)、檢驗(yàn)lis系統(tǒng)、檢查pacs系統(tǒng)、體檢系統(tǒng)等。保障重點(diǎn)信息系統(tǒng)的安全，規(guī)范信息安全等級(jí)保護(hù)，完善信息保護(hù)機(jī)制，提高信息系統(tǒng)的防護(hù)能力和應(yīng)急水平，有效遏制重大網(wǎng)絡(luò)與

2、信息安全事件的發(fā)生，創(chuàng)造良好的信息系統(tǒng)安全運(yùn)營(yíng)環(huán)境勢(shì)在必要。根據(jù)衛(wèi)生部印發(fā)的衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)，衛(wèi)生信息安全工作是我國(guó)衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級(jí)保護(hù)工作，對(duì)于促進(jìn)衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要意義。 2 確定測(cè)評(píng)對(duì)象與等級(jí) 我院是一所二級(jí)甲等綜合醫(yī)院，日門診人次1000人左右，住院日人次400余人。醫(yī)院信息系統(tǒng)his、lis、pacs、電子病歷、體檢等50余個(gè)系統(tǒng)無(wú)縫結(jié)合，信息雙向交流。按照信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南定級(jí)原理，確定醫(yī)院信息業(yè)務(wù)系統(tǒng)的安全保護(hù)等級(jí)為第2級(jí)，其中業(yè)務(wù)信息安全保護(hù)等級(jí)為2級(jí)，系

3、統(tǒng)服務(wù)安全保護(hù)等級(jí)為2級(jí)。 2.1 招標(biāo)比選測(cè)評(píng)公司 醫(yī)院通過(guò)四川警察網(wǎng)了解到四川省獲得信息安全等級(jí)保護(hù)測(cè)評(píng)有資質(zhì)的5家公司。醫(yī)院電話通知該5家公司，簡(jiǎn)單介紹醫(yī)院信息化情況，其中有3家公司到現(xiàn)場(chǎng)進(jìn)行調(diào)查，掌握了信息系統(tǒng)情況。然后通過(guò)招標(biāo)比選確定一家公司為我院測(cè)評(píng)安全等級(jí)保護(hù)。 2.2 測(cè)評(píng)實(shí)施 2.2.1 準(zhǔn)備階段 醫(yī)院填報(bào)安全等級(jí)保護(hù)備案申報(bào)表、安全等級(jí)保護(hù)定級(jí)報(bào)告，確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、審計(jì)管理員、安全管理員。醫(yī)院組織相關(guān)人員到市級(jí)計(jì)算機(jī)安全學(xué)會(huì)進(jìn)行安全培訓(xùn)學(xué)習(xí)。確定醫(yī)院信息安全主管人員協(xié)助測(cè)評(píng)公司人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研，提交準(zhǔn)備資料。調(diào)研內(nèi)容涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

4、、線路鏈接情況、中心機(jī)房位置分布情況、應(yīng)用系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及相應(yīng)的ip地址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。 2.2.2 測(cè)評(píng)主要內(nèi)容 主要針對(duì)醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實(shí)施測(cè)評(píng)，其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全及備份恢復(fù)進(jìn)行5；安全管理包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。 2.2.3 測(cè)評(píng)方式與測(cè)評(píng)范圍 測(cè)評(píng)公司綜合采用了現(xiàn)場(chǎng)測(cè)評(píng)與風(fēng)險(xiǎn)分析方法測(cè)評(píng)、單元測(cè)評(píng)與整體測(cè)評(píng)。單元測(cè)評(píng)實(shí)施過(guò)程中采用現(xiàn)場(chǎng)訪談、檢查和測(cè)試等測(cè)評(píng)方法。就各類崗位人員進(jìn)行訪談，了解醫(yī)院業(yè)務(wù)運(yùn)作以

5、及網(wǎng)絡(luò)運(yùn)行狀況；查看主機(jī)房、應(yīng)用系統(tǒng)軟件、主機(jī)操作系統(tǒng)及安全相關(guān)軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等技術(shù)類測(cè)評(píng)任務(wù)，以及安全管理類測(cè)評(píng)任務(wù)；查閱分析文檔、核查安全配置、監(jiān)聽(tīng)與分析網(wǎng)絡(luò)等檢查方法查證防火墻、路由器、交換機(jī)部署及其配置情況、端口開放情況等；測(cè)評(píng)人員采用手工驗(yàn)證和工具測(cè)試進(jìn)行漏洞掃描、系統(tǒng)滲透測(cè)試，檢查系統(tǒng)的安全有效性。 整體測(cè)評(píng)主要應(yīng)用于安全控制間、層面間和區(qū)域間等三個(gè)方面。主要就是針對(duì)同一區(qū)域內(nèi)、同一層面上或不同層面上的不同安全控制間存在的安全問(wèn)題以及不同區(qū)域間的互連互通時(shí)的安全性。

6、醫(yī)院信息系統(tǒng)運(yùn)用了身份鑒別措施、軟件容錯(cuò)機(jī)制、用戶權(quán)限分組管理、密碼賬戶登錄、數(shù)據(jù)庫(kù)表中記錄用戶操作、對(duì)重要事件進(jìn)行審計(jì)并留存記錄。網(wǎng)絡(luò)邊界處部署防火墻防御入侵，終端使用了趨勢(shì)網(wǎng)絡(luò)版本防病毒產(chǎn)品，抵御惡意代碼。開啟系統(tǒng)審計(jì)日志，制定和實(shí)施有效安全管理制度，加強(qiáng)安全管理，降低系統(tǒng)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)進(jìn)行了有效的區(qū)域劃分，區(qū)域之間通過(guò)訪問(wèn)控制列表實(shí)現(xiàn)安全控制，與社保局、醫(yī)管辦等第三方外聯(lián)區(qū)之間通過(guò)防火墻嚴(yán)格限制訪問(wèn)端口。 2.2.5 差距分析與測(cè)評(píng)整改 通過(guò)測(cè)評(píng)，測(cè)評(píng)公司寫出測(cè)評(píng)報(bào)告，提出整改建議。按照信息系統(tǒng)安全等級(jí)保護(hù)基本要求要求6，測(cè)評(píng)公司人員根據(jù)醫(yī)院當(dāng)前安全管理需要和管理特點(diǎn)，針對(duì)等級(jí)保護(hù)所要求

7、的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，從人員、制度、運(yùn)作、規(guī)范等角度，進(jìn)行全面的建設(shè)7，提供技術(shù)建設(shè)措施，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求，就各類人員進(jìn)行安全培訓(xùn)，提升醫(yī)院信息系統(tǒng)管理的能力。醫(yī)院分期逐步投入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等。 2.2.6 編制報(bào)告，成功備案 測(cè)評(píng)公司編制報(bào)告，上報(bào)市公安局備案成功，獲得二級(jí)信息系統(tǒng)備案證書。二級(jí)信息系統(tǒng)，每?jī)赡赀M(jìn)行一次信息安全等級(jí)測(cè)評(píng)。實(shí)施安全等級(jí)保護(hù)測(cè)評(píng)備案使醫(yī)院信息系統(tǒng)安全管理水平提高，安全保護(hù)能力增強(qiáng)，有效保障信息化健康發(fā)展。 3 結(jié)語(yǔ) 網(wǎng)絡(luò)安全問(wèn)題是一個(gè)集技術(shù)、管理和法規(guī)于一體的長(zhǎng)期系統(tǒng)工程，始終有其動(dòng)態(tài)性，

8、醫(yī)院需要不斷進(jìn)行完善，加強(qiáng)管理，持續(xù)增加安全設(shè)備以保障醫(yī)院數(shù)據(jù)安全有效，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。醫(yī)院信息安全建設(shè)要切合自身?xiàng)l件特點(diǎn)，分期分批循序建設(shè)，保證醫(yī)院各系統(tǒng)長(zhǎng)期穩(wěn)定安全運(yùn)行，以適應(yīng)醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需求8。 參考文獻(xiàn) 1衛(wèi)辦發(fā).201185號(hào)，衛(wèi)生部關(guān)于印發(fā)“衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)”的通知，2011. 2尚邦治.做好信息安全等級(jí)保護(hù)工作j.中國(guó)衛(wèi)生信息管理雜志，2005. 3王建英，陳文霞，胡雯，張鵬.醫(yī)院信息安全分析及措施j.中國(guó)病案，2013. 4王俊.醫(yī)院信息安全等級(jí)保護(hù)管理體系的構(gòu)建j.醫(yī)學(xué)信息，2013. 5韓作為.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)建設(shè)流程與要點(diǎn)j.中國(guó)數(shù)字醫(yī)學(xué)，2006. 作者單位 成都