醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

1、醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)基本要求上海市衛(wèi)生局信息中心上海市信息安全測(cè)評(píng)認(rèn)證中心二八年十月目 錄1前言72范圍73一般模型73.1技術(shù)模型83.2管理模型93.3應(yīng)用模型104定級(jí)指導(dǎo)155威脅分析156安全目標(biāo)186.1技術(shù)目標(biāo)186.2管理目標(biāo)217安全要求（要素表）238安全基本要求288.1二級(jí)（一般）安全要求288.1.1技術(shù)要求288.1.1.1物理安全288.1.1.1.1物理位置的選擇288.1.1.1.2物理訪問(wèn)控制288.1.1.1.3防盜竊和防破壞298.1.1.1.4防雷擊298.1.1.1.5防火298.1.1.1.6防水和防潮298.1.1.1.7防靜電308.1

2、.1.1.8溫濕度控制308.1.1.1.9電力供應(yīng)308.1.1.1.10電磁防護(hù)308.1.1.2網(wǎng)絡(luò)安全318.1.1.2.1結(jié)構(gòu)安全318.1.1.2.2訪問(wèn)控制318.1.1.2.3邊界完整性檢查318.1.1.2.4網(wǎng)絡(luò)設(shè)備防護(hù)318.1.1.2.5網(wǎng)絡(luò)可用性328.1.1.3主機(jī)系統(tǒng)安全328.1.1.3.1身份鑒別328.1.1.3.2訪問(wèn)控制328.1.1.3.3安全審計(jì)338.1.1.3.4惡意代碼防范338.1.1.3.5資源控制338.1.1.3.6主機(jī)可用性338.1.1.4應(yīng)用安全338.1.1.4.1身份鑒別338.1.1.4.2訪問(wèn)控制348.1.1.4.3安全

3、審計(jì)348.1.1.4.4通信完整性358.1.1.4.5通信保密性358.1.1.4.6軟件容錯(cuò)358.1.1.4.7資源控制358.1.1.5數(shù)據(jù)安全358.1.1.5.1完整性358.1.1.5.2數(shù)據(jù)保密性358.1.1.5.3備份和恢復(fù)368.1.2管理要求368.1.2.1安全管理制度368.1.2.1.1管理制度368.1.2.1.2制定和發(fā)布368.1.2.1.3評(píng)審和修訂378.1.2.2安全管理機(jī)構(gòu)378.1.2.2.1崗位設(shè)置378.1.2.2.2人員配備378.1.2.2.3授權(quán)和審批378.1.2.2.4溝通和合作378.1.2.2.5審核和檢查388.1.2.3人員

4、安全管理388.1.2.3.1人員錄用388.1.2.3.2人員離崗388.1.2.3.3人員考核388.1.2.3.4安全意識(shí)教育和培訓(xùn)388.1.2.3.5外部人員訪問(wèn)管理398.1.2.4系統(tǒng)建設(shè)管理398.1.2.4.1系統(tǒng)定級(jí)398.1.2.4.2安全方案設(shè)計(jì)398.1.2.4.3產(chǎn)品采購(gòu)408.1.2.4.4自行軟件開(kāi)發(fā)408.1.2.4.5外包軟件開(kāi)發(fā)408.1.2.4.6工程實(shí)施408.1.2.4.7測(cè)試驗(yàn)收418.1.2.4.8系統(tǒng)交付418.1.2.4.9安全服務(wù)商選擇418.1.2.5系統(tǒng)運(yùn)維管理418.1.2.5.1環(huán)境管理418.1.2.5.2資產(chǎn)管理428.1.2.

5、5.3介質(zhì)管理428.1.2.5.4設(shè)備管理428.1.2.5.5監(jiān)控管理438.1.2.5.6網(wǎng)絡(luò)安全管理438.1.2.5.7系統(tǒng)安全管理438.1.2.5.8惡意代碼防范管理448.1.2.5.9密碼管理448.1.2.5.10變更管理448.1.2.5.11備份與恢復(fù)管理448.1.2.5.12安全事件處置458.1.2.5.13應(yīng)急預(yù)案管理458.2二級(jí)（增強(qiáng)）安全要求468.2.1技術(shù)要求468.2.1.1物理安全468.2.1.1.1物理位置的選擇468.2.1.1.2物理訪問(wèn)控制468.2.1.1.3防盜竊和防破壞468.2.1.1.4防雷擊478.2.1.1.5防火478.2

6、.1.1.6防水和防潮478.2.1.1.7防靜電478.2.1.1.8溫濕度控制478.2.1.1.9電力供應(yīng)488.2.1.1.10電磁防護(hù)488.2.1.2網(wǎng)絡(luò)安全488.2.1.2.1結(jié)構(gòu)安全488.2.1.2.2訪問(wèn)控制498.2.1.2.3安全審計(jì)498.2.1.2.4邊界完整性檢查498.2.1.2.5入侵防范498.2.1.2.6網(wǎng)絡(luò)設(shè)備防護(hù)498.2.1.2.7網(wǎng)絡(luò)可用性508.2.1.3主機(jī)系統(tǒng)安全508.2.1.3.1身份鑒別508.2.1.3.2訪問(wèn)控制508.2.1.3.3安全審計(jì)518.2.1.3.4入侵防范518.2.1.3.5惡意代碼防范518.2.1.3.6資

7、源控制518.2.1.3.7主機(jī)可用性518.2.1.4應(yīng)用安全528.2.1.4.1身份鑒別528.2.1.4.2訪問(wèn)控制528.2.1.4.3安全審計(jì)538.2.1.4.4剩余信息保護(hù)538.2.1.4.5通信完整性538.2.1.4.6通信保密性538.2.1.4.7軟件容錯(cuò)538.2.1.4.8資源控制548.2.1.5數(shù)據(jù)安全548.2.1.5.1完整性548.2.1.5.2數(shù)據(jù)保密性548.2.1.5.3備份和恢復(fù)548.2.2管理要求558.2.2.1安全管理制度558.2.2.1.1管理制度558.2.2.1.2制定和發(fā)布558.2.2.1.3評(píng)審和修訂558.2.2.2安全管

8、理機(jī)構(gòu)568.2.2.2.1崗位設(shè)置568.2.2.2.2人員配備568.2.2.2.3授權(quán)和審批568.2.2.2.4溝通和合作568.2.2.2.5審核和檢查568.2.2.3人員安全管理578.2.2.3.1人員錄用578.2.2.3.2人員離崗578.2.2.3.3人員考核578.2.2.3.4安全意識(shí)教育和培訓(xùn)578.2.2.3.5外部人員訪問(wèn)管理588.2.2.4系統(tǒng)建設(shè)管理588.2.2.4.1系統(tǒng)定級(jí)588.2.2.4.2安全方案設(shè)計(jì)588.2.2.4.3產(chǎn)品采購(gòu)598.2.2.4.4自行軟件開(kāi)發(fā)598.2.2.4.5外包軟件開(kāi)發(fā)598.2.2.4.6工程實(shí)施598.2.2.4

9、.7測(cè)試驗(yàn)收598.2.2.4.8系統(tǒng)交付608.2.2.4.9安全服務(wù)商選擇608.2.2.5系統(tǒng)運(yùn)維管理608.2.2.5.1環(huán)境管理608.2.2.5.2資產(chǎn)管理608.2.2.5.3介質(zhì)管理618.2.2.5.4設(shè)備管理618.2.2.5.5監(jiān)控管理618.2.2.5.6網(wǎng)絡(luò)安全管理628.2.2.5.7系統(tǒng)安全管理628.2.2.5.8惡意代碼防范管理638.2.2.5.9密碼管理638.2.2.5.10變更管理638.2.2.5.11備份與恢復(fù)管理638.2.2.5.12安全事件處置648.2.2.5.13應(yīng)急預(yù)案管理64附錄a基本要求的選擇和使用651、判斷醫(yī)療機(jī)構(gòu)的信息系統(tǒng)是否

10、具備定級(jí)的基本條件652、根據(jù)醫(yī)療機(jī)構(gòu)的分級(jí)選擇不同級(jí)別的基本要求663、部分區(qū)縣中心（含）以上醫(yī)療機(jī)構(gòu)可對(duì)二級(jí)（增強(qiáng)）要求進(jìn)行選擇使用66附錄b基本要求的應(yīng)用注釋67b1. 物理環(huán)境的應(yīng)用注釋67b2.網(wǎng)絡(luò)隔離的應(yīng)用注釋67b3. 版本變更的應(yīng)用注釋69b4. 數(shù)據(jù)加密的應(yīng)用說(shuō)明69b5. 其他691 前言國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)，以下簡(jiǎn)稱“27號(hào)文件”）明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度，提出“抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。2004年9月發(fā)布的關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字200

11、466號(hào)，以下簡(jiǎn)稱“66號(hào)文件”）進(jìn)一步強(qiáng)調(diào)了開(kāi)展信息安全等級(jí)保護(hù)工作的重要意義，規(guī)定了實(shí)施信息安全等級(jí)保護(hù)制度的原則、內(nèi)容、職責(zé)分工、基本要求和實(shí)施計(jì)劃，部署了實(shí)施信息安全等級(jí)保護(hù)工作的操作辦法。27號(hào)文件和66號(hào)文件不但為各行業(yè)開(kāi)展信息安全等級(jí)保護(hù)工作指明了方向，同時(shí)也為各行業(yè)如何根據(jù)自身特點(diǎn)做好信息安全等級(jí)保護(hù)工作提出了更高的要求。醫(yī)療機(jī)構(gòu)作為涉及國(guó)計(jì)民生的重要組成部分，其安全保障事關(guān)社會(huì)穩(wěn)定，必須按照27號(hào)文件要求，全面實(shí)施信息安全等級(jí)保護(hù)。因此，組織編制醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)基本要求，提出針對(duì)醫(yī)療機(jī)構(gòu)信息安全等級(jí)保護(hù)工作的基本思路和具體要求，指導(dǎo)上海市醫(yī)療機(jī)構(gòu)的信息安全保障工作

12、。2 范圍本標(biāo)準(zhǔn)規(guī)定了醫(yī)療機(jī)構(gòu)信息系統(tǒng)的基本保護(hù)要求，包括基本技術(shù)要求和基本管理要求，適用于指導(dǎo)本市醫(yī)療機(jī)構(gòu)分等級(jí)的信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。3 一般模型醫(yī)療機(jī)構(gòu)信息系統(tǒng)（以下簡(jiǎn)稱his系統(tǒng)）模型的構(gòu)造是對(duì)his系統(tǒng)進(jìn)行威脅分析，從而確定安全保障目標(biāo)的基礎(chǔ)。his系統(tǒng)基本要求將分別從技術(shù)、管理和業(yè)務(wù)應(yīng)用三個(gè)層面提出各自的參考模型，具體如下。技術(shù)模型、管理模型和應(yīng)用模型既是三個(gè)相對(duì)獨(dú)立的體系，又是兩兩相互作用，存在密切關(guān)系的有機(jī)耦合體。技術(shù)模型支持應(yīng)用模型的實(shí)現(xiàn)，管理模型是技術(shù)模型正常工作的保障，應(yīng)用模型又是技術(shù)模型和管理模型支持和管理的核心。3.1 技術(shù)模型參考國(guó)際標(biāo)準(zhǔn)化組織（iso）制定

13、的開(kāi)放系統(tǒng)互聯(lián)標(biāo)準(zhǔn)（osi）標(biāo)準(zhǔn)和tcp/ip標(biāo)準(zhǔn)對(duì)信息系統(tǒng)技術(shù)組成的構(gòu)造方法，結(jié)合his系統(tǒng)業(yè)務(wù)應(yīng)用分類，給出his系統(tǒng)的技術(shù)模型，如下圖所示。his系統(tǒng)的技術(shù)參考模型描述主要從物理環(huán)境、網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)4個(gè)層面進(jìn)行描述。a.物理環(huán)境包括機(jī)房、場(chǎng)地、布線、設(shè)備、存儲(chǔ)媒體等內(nèi)容。b.網(wǎng)絡(luò)系統(tǒng)指his系統(tǒng)所基于的網(wǎng)絡(luò)標(biāo)準(zhǔn)和網(wǎng)絡(luò)結(jié)構(gòu)；網(wǎng)絡(luò)標(biāo)準(zhǔn)主要基于tcp/ip協(xié)議、ipx/spx的網(wǎng)絡(luò)標(biāo)準(zhǔn)，網(wǎng)絡(luò)結(jié)構(gòu)主要采用lan、wan的結(jié)構(gòu)。c.主機(jī)系統(tǒng)主機(jī)系統(tǒng)指服務(wù)器操作系統(tǒng)平臺(tái)及公共應(yīng)用平臺(tái)。服務(wù)器操作系統(tǒng)主要采用服務(wù)器版的操作系統(tǒng)，通常有windows、unix 等類型；公共應(yīng)用平臺(tái)主要有數(shù)

14、據(jù)庫(kù)平臺(tái)和web、mail、中間件等。數(shù)據(jù)庫(kù)平臺(tái)一般采用可提供多個(gè)事務(wù)共享數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)，常用的數(shù)據(jù)系統(tǒng) sqlserver, oracle, db2, sybase 等，數(shù)據(jù)訪問(wèn)通常采用兩層或三層中間件結(jié)構(gòu)。d.應(yīng)用系統(tǒng)醫(yī)院信息系統(tǒng)目前主要可分為綜合業(yè)務(wù)、臨床業(yè)務(wù)、行政管理三種類型。3.2 管理模型參考國(guó)家標(biāo)準(zhǔn)gb/t 19716信息技術(shù) 信息安全管理實(shí)用規(guī)則和iso/iec 17799information technology：code of practice for information security management管理模型的構(gòu)造方式，結(jié)合his系統(tǒng)業(yè)務(wù)管理特點(diǎn)，將管

15、理模型分為信息安全管理基礎(chǔ)（管理機(jī)構(gòu)、管理制度、人員安全）和信息安全管理生命周期管理方法（建設(shè)管理、運(yùn)維管理），具體如下圖所示。a.管理制度主要包括管理制度、制定和發(fā)布、評(píng)審和修訂3個(gè)控制點(diǎn)。b.管理機(jī)構(gòu)主要包括崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查5個(gè)控制點(diǎn)。c.人員安全主要包括人員錄用、人員離崗、人員考核、安全意識(shí)教育培訓(xùn)、外部人員訪問(wèn)管理等5個(gè)控制點(diǎn)。d.建設(shè)管理主要包括系統(tǒng)定級(jí)、方案設(shè)計(jì)、產(chǎn)品采購(gòu)、自行開(kāi)發(fā)、外包開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)11個(gè)控制點(diǎn)。e.運(yùn)維管理主要包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、安全中心、

16、網(wǎng)絡(luò)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理等13個(gè)控制點(diǎn)。3.3 應(yīng)用模型根據(jù)國(guó)家衛(wèi)生部發(fā)布的醫(yī)院信息系統(tǒng)基本功能規(guī)范和市衛(wèi)生局發(fā)布的上海市醫(yī)院信息系統(tǒng)功能規(guī)范有關(guān)要求，結(jié)合上海市醫(yī)療機(jī)構(gòu)應(yīng)用業(yè)務(wù)系統(tǒng)建設(shè)實(shí)際，按如下框架構(gòu)建應(yīng)用模型：基礎(chǔ)建設(shè)業(yè)務(wù)應(yīng)用決策支持基礎(chǔ)網(wǎng)絡(luò)建設(shè)系統(tǒng)操作平臺(tái)政務(wù)外網(wǎng)接入網(wǎng)站建設(shè)安全解決方案系統(tǒng)管理規(guī)范靶子外部接口臨床業(yè)務(wù)部分綜合業(yè)務(wù)部分行政管理部分綜合查詢與決策分析知識(shí)庫(kù)管理及輔助診療管理 hmis臨床 cis其中綜合業(yè)務(wù)部分分為：綜合業(yè)務(wù)部分門急診掛號(hào)分系統(tǒng)門急診劃價(jià)收費(fèi)分系統(tǒng)住院病人入出轉(zhuǎn)管理分系統(tǒng)住院收費(fèi)分系統(tǒng)物資

17、管理分系統(tǒng)設(shè)備管理分系統(tǒng)其它分系統(tǒng)臨床業(yè)務(wù)部分分為：臨床業(yè)務(wù)部分門診醫(yī)生工作站分系統(tǒng)住院醫(yī)生工作站分系統(tǒng)護(hù)士工作站分系統(tǒng)臨床檢驗(yàn)分系統(tǒng)醫(yī)學(xué)影像分系統(tǒng)輸血管理分系統(tǒng)手術(shù)、麻醉管理系統(tǒng)藥品管理分系統(tǒng)其它分系統(tǒng)行政管理部分分為：行政管理部分財(cái)務(wù)管理分系統(tǒng)人事管理分系統(tǒng)科研管理分系統(tǒng)教育管理分系統(tǒng)oa分系統(tǒng)其它分系統(tǒng)綜合查詢與決策分析部分分為：綜合查詢與決策分析部分院長(zhǎng)綜合查詢與分析分系統(tǒng)經(jīng)濟(jì)核算管理分系統(tǒng)醫(yī)療統(tǒng)計(jì)分系統(tǒng)病人咨詢服務(wù)分系統(tǒng)其它分系統(tǒng)知識(shí)庫(kù)管理及輔助診療部分分為：知識(shí)庫(kù)管理及輔助診療部分合理用藥咨詢及審核分系統(tǒng)病案管理分系統(tǒng)循證臨床路徑指引分系統(tǒng)臨床輔助診療分系統(tǒng)數(shù)字醫(yī)學(xué)圖書館分系統(tǒng)其它

18、分系統(tǒng)另外，外部接口部分包括：社區(qū)衛(wèi)生服務(wù)接口公共衛(wèi)生信息交換接口遠(yuǎn)程醫(yī)療咨詢系統(tǒng)接口外部接口部分計(jì)分析部分醫(yī)療保險(xiǎn)接口其它接口電子病歷共享交換接口（以上粗體標(biāo)注的為衛(wèi)生部醫(yī)院信息系統(tǒng)基本功能規(guī)范明確的子系統(tǒng)）相應(yīng)的數(shù)據(jù)類型大體可分為四類：1. 患者基本信息：患者姓名、住址、聯(lián)系方式等。2. 診療相關(guān)的信息：包括電子病歷、醫(yī)囑、檢驗(yàn)結(jié)果等。這類數(shù)據(jù)不僅要保證完整性，還要防篡改，修改后必須留有痕跡，而且還應(yīng)做到隱私性保護(hù)。3. 經(jīng)濟(jì)相關(guān)的費(fèi)用信息：包括藥品材料管理、檢驗(yàn)價(jià)目等，要求受限訪問(wèn)，設(shè)限修改。4. 管理相關(guān)的業(yè)務(wù)信息：包括人事數(shù)據(jù)、資產(chǎn)管理等。4 定級(jí)指導(dǎo)作為定級(jí)對(duì)象，信息系統(tǒng)安全等級(jí)保

19、護(hù)管理辦法中將信息系統(tǒng)劃分為五級(jí)，前3級(jí)分別為：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。從本市醫(yī)療機(jī)構(gòu)信息系統(tǒng)遭到破壞后的影響程度來(lái)看，基本只損害到本市部分公民的就醫(yī)權(quán)利，造成對(duì)社會(huì)秩序和公共利益的損害不至“嚴(yán)重程度”，屬于“第二級(jí)”范疇，且his系統(tǒng)對(duì)信息安全防護(hù)和服務(wù)能力保護(hù)的要求均較高，因此基本定位在lsa(

20、2，2，2)。但從醫(yī)療機(jī)構(gòu)服務(wù)受眾的多少（門診量），his系統(tǒng)應(yīng)用依賴的大?。ㄈ畔⒒?、部分信息化、單機(jī)版）的不同，建議將第二級(jí)細(xì)分為：二級(jí)（一般）和二級(jí)（增強(qiáng)），具體如下：區(qū)縣中心以下醫(yī)療信息系統(tǒng)定為：二級(jí)（一般）區(qū)縣中心（含）以上醫(yī)療信息系統(tǒng)定為：二級(jí)（增強(qiáng)）5 威脅分析不同等級(jí)系統(tǒng)所應(yīng)對(duì)抗的威脅主要從威脅源（自然、環(huán)境、系統(tǒng)、人為）動(dòng)機(jī)（不可抗外力、無(wú)意、有意）范圍（局部、全局）能力（工具、技術(shù)、資源等）四個(gè)要素來(lái)考慮。威脅源是指任何能夠?qū)е路穷A(yù)期的不利事件發(fā)生的因素，通常分為自然（如自然災(zāi)害）環(huán)境（如電力故障）it系統(tǒng)（如系統(tǒng)故障）和人員（如心懷不滿的員工）四類。動(dòng)機(jī)與威脅源和目標(biāo)有著

21、密切的聯(lián)系，不同的威脅源對(duì)應(yīng)不同的目標(biāo)有著不同的動(dòng)機(jī)，通常可分為不可抗外力（如自然災(zāi)害）無(wú)意的（如員工的疏忽大意）和故意的（如情報(bào)機(jī)構(gòu)的信息收集活動(dòng)）。范圍是指威脅潛在的危害范疇，分為局部和整體兩種情況；如病毒威脅，有些計(jì)算機(jī)病毒的傳染性較弱，危害范圍是有限的；但是蠕蟲類病毒則相反，它們可以在網(wǎng)絡(luò)中以驚人的速度迅速擴(kuò)散并導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。能力主要是針對(duì)威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。能力主要體現(xiàn)在威脅源占有的計(jì)算資源的多少、工具的先進(jìn)程度、人力資源（包括經(jīng)驗(yàn)）等方面。通過(guò)對(duì)威脅主要因素的分析，我們組合以上因素得到第二級(jí)的威脅：1）危害范圍為局部的環(huán)境或者設(shè)備故障；2）無(wú)意的

22、員工失誤；3）危害局部的較嚴(yán)重的自然事件；4）具備中等能力、有預(yù)設(shè)目標(biāo)的威脅情景。在分析一般二級(jí)系統(tǒng)面臨威脅的基礎(chǔ)上，結(jié)合本市醫(yī)療機(jī)構(gòu)信息系統(tǒng)行業(yè)應(yīng)用的特點(diǎn)，給出his系統(tǒng)具體威脅分析的描述如下：標(biāo)號(hào)威脅描述備注t2-1.雷擊、地震和臺(tái)風(fēng)等自然災(zāi)難t2-2.水患和火災(zāi)等災(zāi)害t2-3.高溫、低溫、多雨等原因?qū)е聹囟?、濕度異常t2-4.電壓波動(dòng)t2-5.供電系統(tǒng)故障t2-6.靜電和外界電磁干擾t2-7.通信線路因線纜老化等原因?qū)е聯(lián)p壞或傳輸質(zhì)量下降t2-8.存儲(chǔ)綜合業(yè)務(wù)、臨床業(yè)務(wù)等重要業(yè)務(wù)信息的介質(zhì)老化或質(zhì)量問(wèn)題等導(dǎo)致不可用行業(yè)特點(diǎn)t2-9.網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時(shí)間過(guò)長(zhǎng)或質(zhì)量問(wèn)題等導(dǎo)致

23、硬件故障t2-10.系統(tǒng)軟件、應(yīng)用軟件運(yùn)行故障t2-11.系統(tǒng)軟件、應(yīng)用軟件過(guò)度使用內(nèi)存、cpu等系統(tǒng)資源t2-12.應(yīng)用軟件、系統(tǒng)軟件缺陷導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)運(yùn)行中斷t2-13.設(shè)施、通信線路、設(shè)備或存儲(chǔ)介質(zhì)因使用、維護(hù)或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收蟭2-14.授權(quán)用戶操作失誤導(dǎo)致系統(tǒng)文件被覆蓋、數(shù)據(jù)丟失或不能使用t2-15.授權(quán)用戶對(duì)系統(tǒng)錯(cuò)誤配置或更改t2-16.攻擊者利用非法手段進(jìn)入機(jī)房?jī)?nèi)部盜竊、破壞等t2-17.攻擊者非法物理訪問(wèn)系統(tǒng)設(shè)備、網(wǎng)絡(luò)設(shè)備或存儲(chǔ)介質(zhì)等t2-18.攻擊者采用在通信線纜上搭接或切斷等導(dǎo)致線路不可用t2-19.攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意地消耗網(wǎng)絡(luò)、

24、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)t2-20.攻擊者利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、應(yīng)用系統(tǒng)漏洞，越權(quán)訪問(wèn)文件、數(shù)據(jù)或其他資源t2-21.攻擊者利用通過(guò)惡意代碼或木馬程序，對(duì)網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)進(jìn)行攻擊t2-22.攻擊者利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)缺陷旁路安全策略，未授權(quán)訪問(wèn)網(wǎng)絡(luò)t2-23.攻擊者利用非法手段獲得授權(quán)用戶的鑒別信息或密碼介質(zhì)，訪問(wèn)網(wǎng)絡(luò)、系統(tǒng)t2-24.攻擊者利用偽造客戶端進(jìn)入綜合業(yè)務(wù)、臨床業(yè)務(wù)等系統(tǒng)，進(jìn)行非法訪問(wèn)行業(yè)特點(diǎn)t2-25.攻擊者截獲、讀取、破解介質(zhì)的信息或剩余信息，進(jìn)行電子病歷、藥劑藥品用量等敏感信息的竊取行業(yè)特點(diǎn)t2-26.攻擊者截獲、讀取、破解通信線路中的信息t2-27.由于網(wǎng)

25、絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用軟件的故障或雙機(jī)熱備失效，造成綜合業(yè)務(wù)、臨床業(yè)務(wù)等業(yè)務(wù)應(yīng)用的中斷行業(yè)特點(diǎn)t2-28.pacs中dicom數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中被錯(cuò)誤修改或丟失行業(yè)特點(diǎn)t2-29.攻擊者利用通用安全協(xié)議/算法/軟件等缺陷，獲取信息、解密密鑰或破壞通信完整性t2-30.攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運(yùn)輸?shù)龋┲袗阂飧能浻布2-31.攻擊者和內(nèi)部人員否認(rèn)自己的操作行為t2-32.攻擊者和內(nèi)部人員利用網(wǎng)絡(luò)擴(kuò)散病毒t2-33.內(nèi)部人員下載、拷貝軟件或文件，打開(kāi)可疑郵件時(shí)引入病毒t2-34.內(nèi)部人員未授權(quán)接入外部網(wǎng)絡(luò)（如internet）t2-35.內(nèi)部人員利用技術(shù)或管理漏洞，未授權(quán)修改綜合業(yè)務(wù)、

26、臨床業(yè)務(wù)系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序行業(yè)特點(diǎn)t2-36.內(nèi)部人員未授權(quán)訪問(wèn)電子病歷、藥材用量等敏感信息，將信息帶出或通過(guò)網(wǎng)絡(luò)傳出，導(dǎo)致信息泄露行業(yè)特點(diǎn)6 安全目標(biāo)信息系統(tǒng)的安全保護(hù)能力包括對(duì)抗能力和恢復(fù)能力。不同級(jí)別的信息系統(tǒng)應(yīng)具備相應(yīng)等級(jí)的安全保護(hù)能力，即應(yīng)該具備不同的對(duì)抗能力和恢復(fù)能力。將“能力”分級(jí)，是基于系統(tǒng)的保護(hù)對(duì)象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。一般來(lái)說(shuō)，信息系統(tǒng)越重要，應(yīng)具有的保護(hù)能力就越高。因?yàn)橄到y(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴(yán)重，因此需要提高相應(yīng)的安全保護(hù)能力。his系統(tǒng)（二級(jí)）的安全保護(hù)能力主要體現(xiàn)為：應(yīng)能夠防護(hù)

27、系統(tǒng)免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能（例如：15分鐘內(nèi)故障無(wú)法排除應(yīng)啟動(dòng)應(yīng)急預(yù)案，及時(shí)恢復(fù)對(duì)外服務(wù)，如門急診掛號(hào)收費(fèi)服務(wù)）。6.1 技術(shù)目標(biāo)標(biāo)號(hào)二級(jí)（一般）二級(jí)（增強(qiáng)）o2-1.應(yīng)具有抵抗一般強(qiáng)度地震、臺(tái)風(fēng)等自然災(zāi)難造成破壞的能力應(yīng)具有抵抗較強(qiáng)強(qiáng)度地震、臺(tái)風(fēng)等自然災(zāi)難造成破壞的能力o2-2.應(yīng)具有防止雷擊事件導(dǎo)致重要設(shè)備被破壞的能力應(yīng)具有防止雷擊事件導(dǎo)致大面積設(shè)備被破壞的能力o2-3.應(yīng)具有防水和防潮的能力除二級(jí)（一般）要求

28、外，還應(yīng)具有對(duì)水患檢測(cè)和報(bào)警的能力o2-4.應(yīng)具有滅火的能力應(yīng)具有專用自動(dòng)滅火的能力o2-5.應(yīng)具有檢測(cè)火災(zāi)和報(bào)警的能力除二級(jí)（一般）要求外，還應(yīng)具有防止火災(zāi)蔓延的能力o2-6.應(yīng)具有溫濕度自動(dòng)檢測(cè)和控制的能力同二級(jí)（一般）要求o2-7.應(yīng)具有防止電壓波動(dòng)的能力同二級(jí)（一般）要求o2-8.應(yīng)具有對(duì)抗短時(shí)間斷電的能力應(yīng)具有對(duì)抗較長(zhǎng)時(shí)間斷電的能力o2-9.應(yīng)具有防止靜電導(dǎo)致重要設(shè)備被破壞的能力應(yīng)具有防止靜電導(dǎo)致大面積設(shè)備被破壞的能力o2-10.具有基本的抗電磁干擾能力除二級(jí)（一般）要求外，還應(yīng)具有對(duì)重要設(shè)備和介質(zhì)進(jìn)行電磁屏蔽的能力o2-11.無(wú)應(yīng)具有防止強(qiáng)電磁場(chǎng)、強(qiáng)震動(dòng)源和強(qiáng)噪聲源等污染影響系統(tǒng)正

29、常運(yùn)行的能力o2-12.無(wú)應(yīng)具有監(jiān)測(cè)通信線路傳輸狀況的能力o2-13.無(wú)應(yīng)具有及時(shí)恢復(fù)正常通信的能力o2-14.應(yīng)具有對(duì)傳輸和存儲(chǔ)數(shù)據(jù)進(jìn)行完整性檢測(cè)的能力除二級(jí)（一般）要求外，還應(yīng)實(shí)現(xiàn)糾錯(cuò)能力o2-15.應(yīng)具有對(duì)硬件故障產(chǎn)品進(jìn)行替換的能力同二級(jí)（一般）要求o2-16.應(yīng)具有系統(tǒng)軟件、應(yīng)用軟件容錯(cuò)的能力同二級(jí)（一般）要求o2-17.應(yīng)具有軟件故障分析的能力除二級(jí)（一般）要求外，還應(yīng)具有軟件狀態(tài)監(jiān)測(cè)和報(bào)警的能力o2-18.無(wú)應(yīng)具有合理使用和控制系統(tǒng)資源的能力o2-19.應(yīng)具有記錄用戶操作行為的能力除二級(jí)（一般）要求外，還應(yīng)具有分析記錄結(jié)果的能力o2-20.應(yīng)具有對(duì)用戶的誤操作行為進(jìn)行檢測(cè)和報(bào)警的能

30、力除二級(jí)（一般）要求外，還應(yīng)具有恢復(fù)能力o2-21.應(yīng)具有控制機(jī)房進(jìn)出的能力應(yīng)具有嚴(yán)格控制機(jī)房進(jìn)出的能力o2-22.應(yīng)具有防止設(shè)備、介質(zhì)等丟失的能力同二級(jí)（一般）要求o2-23.應(yīng)具有控制機(jī)房?jī)?nèi)人員活動(dòng)的能力應(yīng)具有嚴(yán)格控制機(jī)房?jī)?nèi)人員活動(dòng)的能力o2-24.無(wú)應(yīng)具有實(shí)時(shí)監(jiān)控機(jī)房?jī)?nèi)部活動(dòng)的能力o2-25.無(wú)應(yīng)具有對(duì)物理入侵事件進(jìn)行報(bào)警的能力o2-26.應(yīng)具有控制接觸重要設(shè)備、介質(zhì)的能力同二級(jí)（一般）要求o2-27.無(wú)應(yīng)具有對(duì)傳輸和存儲(chǔ)中的信息進(jìn)行保密性保護(hù)的能力o2-28.應(yīng)具有對(duì)通信線路進(jìn)行物理保護(hù)的能力除二級(jí)（一般）要求外，還應(yīng)具有使重要通信線路及時(shí)恢復(fù)的能力o2-29.無(wú)應(yīng)具有合理分配、控制網(wǎng)

31、絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源的能力o2-30.無(wú)應(yīng)具有能夠檢測(cè)、分析、響應(yīng)對(duì)網(wǎng)絡(luò)和重要主機(jī)的各種攻擊的能力o2-31.應(yīng)具有發(fā)現(xiàn)所有已知漏洞并及時(shí)修補(bǔ)的能力同二級(jí)（一般）要求o2-32.應(yīng)具有對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問(wèn)進(jìn)行控制的能力應(yīng)具有對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問(wèn)進(jìn)行嚴(yán)格控制的能力o2-33.應(yīng)具有對(duì)數(shù)據(jù)、文件或其他資源的訪問(wèn)進(jìn)行控制的能力應(yīng)具有對(duì)數(shù)據(jù)、文件或其他資源的訪問(wèn)進(jìn)行嚴(yán)格控制的能力o2-34.應(yīng)具有對(duì)資源訪問(wèn)的行為進(jìn)行記錄的能力除二級(jí)（一般）要求外，還應(yīng)具有分析響應(yīng)能力o2-35.應(yīng)具有對(duì)惡意代碼的檢測(cè)、阻止和清除能力同二級(jí)（一般）要求o2-36.應(yīng)具有防止惡意代碼等在網(wǎng)絡(luò)中擴(kuò)散的能力同二

32、級(jí)（一般）要求o2-37.應(yīng)具有對(duì)惡意代碼庫(kù)和搜索引擎及時(shí)更新的能力同二級(jí)（一般）要求o2-38.應(yīng)具有保證鑒別數(shù)據(jù)傳輸和存儲(chǔ)保密性的能力同二級(jí)（一般）要求o2-39.應(yīng)具有對(duì)用戶進(jìn)行唯一標(biāo)識(shí)的能力同二級(jí)（一般）要求o2-40.應(yīng)具有對(duì)用戶產(chǎn)生復(fù)雜鑒別信息并進(jìn)行鑒別的能力除二級(jí)（一般）要求外，還應(yīng)具有對(duì)同一個(gè)用戶產(chǎn)生多重鑒別信息并進(jìn)行多重鑒別的能力o2-41.無(wú)應(yīng)具有檢測(cè)非法接入設(shè)備的能力o2-42.應(yīng)具有對(duì)存儲(chǔ)介質(zhì)中的殘余信息進(jìn)行刪除的能力同二級(jí)（一般）要求o2-43.無(wú)應(yīng)具有對(duì)傳輸和存儲(chǔ)中的信息進(jìn)行保密性保護(hù)的能力o2-44.無(wú)應(yīng)具有防止加密數(shù)據(jù)被破解的能力o2-45.無(wú)應(yīng)具有路由選擇和控

33、制的能力o2-46.無(wú)應(yīng)具有信息源發(fā)的鑒別能力o2-47.無(wú)應(yīng)具有通信數(shù)據(jù)完整性檢測(cè)和糾錯(cuò)能力o2-48.無(wú)應(yīng)具有對(duì)關(guān)鍵區(qū)域進(jìn)行電磁屏蔽的能力o2-49.應(yīng)具有非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接的能力同二級(jí)（一般）要求o2-50.無(wú)應(yīng)具有基于密碼技術(shù)的抗抵賴能力o2-51.應(yīng)具有防止未授權(quán)下載、拷貝軟件或者文件的能力同二級(jí)（一般）要求o2-52.應(yīng)具有網(wǎng)絡(luò)邊界完整性檢測(cè)能力除二級(jí)（一般）要求外，還應(yīng)具有切斷非法連接的能力o2-53.應(yīng)具有重要數(shù)據(jù)和程序進(jìn)行完整性檢測(cè)和糾錯(cuò)能力同二級(jí)（一般）要求o2-54.無(wú)應(yīng)具有對(duì)敏感信息的流向進(jìn)行控制的能力o2-55.應(yīng)具有重要數(shù)據(jù)恢復(fù)的能力應(yīng)具有及時(shí)恢復(fù)重要

34、數(shù)據(jù)的能力o2-56.應(yīng)具有保證重要業(yè)務(wù)系統(tǒng)恢復(fù)運(yùn)行的能力應(yīng)具有保證重要業(yè)務(wù)系統(tǒng)及時(shí)恢復(fù)運(yùn)行的能力6.2 管理目標(biāo)標(biāo)號(hào)二級(jí)（一般）二級(jí)（增強(qiáng)）o2-57.應(yīng)確保建立了安全職能部門，配備了安全管理人員，支持信息安全管理工作同二級(jí)（一般）要求o2-58.應(yīng)確保配備了足夠數(shù)量的管理人員，對(duì)系統(tǒng)進(jìn)行運(yùn)行維護(hù)同二級(jí)（一般）要求o2-59.應(yīng)確保對(duì)主要的管理活動(dòng)進(jìn)行了制度化管理同二級(jí)（一般）要求o2-60.應(yīng)確保建立并不斷完善、健全安全管理制度同二級(jí)（一般）要求o2-61.應(yīng)確保能協(xié)調(diào)信息安全工作在各功能部門的實(shí)施同二級(jí)（一般）要求o2-62.應(yīng)確保能控制信息安全相關(guān)事件的授權(quán)與審批同二級(jí)（一般）要求o2

35、-63.應(yīng)確保建立恰當(dāng)可靠的聯(lián)絡(luò)渠道，以便安全事件發(fā)生時(shí)能得到支持同二級(jí)（一般）要求o2-64.應(yīng)確保對(duì)人員的行為進(jìn)行控制同二級(jí)（一般）要求o2-65.應(yīng)確保對(duì)人員的管理活動(dòng)進(jìn)行了指導(dǎo)同二級(jí)（一般）要求o2-66.應(yīng)確保安全策略的正確性和安全措施的合理性同二級(jí)（一般）要求o2-67.應(yīng)確保對(duì)信息系統(tǒng)進(jìn)行合理定級(jí)除二級(jí)（一般）要求外，還應(yīng)進(jìn)行備案管理o2-68.應(yīng)確保安全產(chǎn)品的可信度和產(chǎn)品質(zhì)量同二級(jí)（一般）要求o2-69.應(yīng)確保自行開(kāi)發(fā)過(guò)程和工程實(shí)施過(guò)程中的安全同二級(jí)（一般）要求o2-70.應(yīng)確保能順利地接管和維護(hù)信息系統(tǒng)同二級(jí)（一般）要求o2-71.應(yīng)確保安全工程的實(shí)施質(zhì)量和安全功能的準(zhǔn)確實(shí)現(xiàn)

36、同二級(jí)（一般）要求o2-72.應(yīng)確保機(jī)房具有良好的運(yùn)行環(huán)境同二級(jí)（一般）要求o2-73.應(yīng)確保對(duì)信息資產(chǎn)進(jìn)行標(biāo)識(shí)管理同二級(jí)（一般）要求o2-74.應(yīng)確保對(duì)各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放、使用和保管等過(guò)程進(jìn)行控制同二級(jí)（一般）要求o2-75.應(yīng)確保各種網(wǎng)絡(luò)設(shè)備、服務(wù)器正確使用和維護(hù)同二級(jí)（一般）要求o2-76.應(yīng)確保對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全管理同二級(jí)（一般）要求o2-77.應(yīng)確保用戶具有鑒別信息使用的安全意識(shí)同二級(jí)（一般）要求o2-78.應(yīng)確保定期地對(duì)通信線路進(jìn)行檢查和維護(hù)同二級(jí)（一般）要求o2-79.應(yīng)確保硬件設(shè)備、存儲(chǔ)介質(zhì)存放環(huán)境安全，并對(duì)其的使用進(jìn)行控制和保護(hù)同

37、二級(jí)（一般）要求o2-80.應(yīng)確保對(duì)支撐設(shè)施、硬件設(shè)備、存儲(chǔ)介質(zhì)進(jìn)行日常維護(hù)和管理同二級(jí)（一般）要求o2-81.應(yīng)確保系統(tǒng)中使用的硬件、軟件產(chǎn)品的質(zhì)量同二級(jí)（一般）要求o2-82.應(yīng)確保各類人員具有與其崗位相適應(yīng)的技術(shù)能力同二級(jí)（一般）要求o2-83.應(yīng)確保對(duì)各類人員進(jìn)行相關(guān)的技術(shù)培訓(xùn)同二級(jí)（一般）要求o2-84.應(yīng)確保提供的足夠的使用手冊(cè)、維護(hù)指南等資料同二級(jí)（一般）要求o2-85.應(yīng)確保內(nèi)部人員具有安全方面的常識(shí)和意識(shí)同二級(jí)（一般）要求o2-86.應(yīng)確保具有設(shè)計(jì)合理、安全網(wǎng)絡(luò)結(jié)構(gòu)的能力同二級(jí)（一般）要求o2-87.無(wú)應(yīng)確保對(duì)軟硬件的分發(fā)過(guò)程進(jìn)行控制o2-88.無(wú)應(yīng)確保軟硬件中沒(méi)有后門程序o

38、2-89.應(yīng)確保密碼算法和密鑰的使用符合國(guó)家有關(guān)法律、法規(guī)的規(guī)定同二級(jí)（一般）要求o2-90.應(yīng)確保任何變更控制和設(shè)備重用要申報(bào)和審批，并對(duì)其實(shí)行制度化的管理同二級(jí)（一般）要求o2-91.應(yīng)確保在事件發(fā)生后能采取積極、有效的應(yīng)急策略和措施同二級(jí)（一般）要求o2-92.應(yīng)確保信息安全事件實(shí)行分等級(jí)響應(yīng)、處置 同二級(jí)（一般）要求7 安全要求（要素表）his基本要求的安全要求在整體框架結(jié)構(gòu)上以三種分類為支撐點(diǎn)，自上而下分別為：類、控制點(diǎn)和項(xiàng)。其中，類表示his基本要求在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類，管理部分分為：安全管理制度、安

39、全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類，一共分為10大類。控制點(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn)，如物理安全大類中的“物理訪問(wèn)控制”作為一個(gè)控制點(diǎn)。而項(xiàng)則是控制點(diǎn)下的具體要求項(xiàng)，如“機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員?！本唧w框架結(jié)構(gòu)如圖所示：his安全要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)技術(shù)要求管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來(lái)看，信息系統(tǒng)安全可從五個(gè)層面：物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行保護(hù)，因此，技術(shù)類安全要求也相應(yīng)的分為五個(gè)層面上的安全要求：物理層面安全要求：主要

40、是從外界環(huán)境、基礎(chǔ)設(shè)施、運(yùn)行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運(yùn)行提供基本的后臺(tái)支持和保證；網(wǎng)絡(luò)層面安全要求：為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運(yùn)行提供支持，確保網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)；主機(jī)層面安全要求：在物理、網(wǎng)絡(luò)層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫(kù)管理系統(tǒng)，以實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全運(yùn)行；應(yīng)用層面安全要求：在物理、網(wǎng)絡(luò)、系統(tǒng)等層面安全的支持下，實(shí)現(xiàn)用戶安全需求所確定的安全目標(biāo)；數(shù)據(jù)及備份恢復(fù)層面安全要求：全面關(guān)注信息系統(tǒng)中存儲(chǔ)、傳輸、處理等過(guò)程的數(shù)據(jù)的安全性。信息系統(tǒng)的生命周期主要分為五個(gè)階段：初始階段、采購(gòu)/開(kāi)發(fā)階段、實(shí)施階段、運(yùn)行維護(hù)階段和廢棄階段。管

41、理類安全要求正是針對(duì)這五個(gè)階段中的不同安全活動(dòng)提出的，分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面。一、技術(shù)類安全要求（1）物理安全序號(hào)安全要求二級(jí)（一般）二級(jí)（增強(qiáng)）對(duì)象對(duì)象程度（*）1物理位置的選擇主機(jī)房主機(jī)房2物理訪問(wèn)控制主機(jī)房主機(jī)房、信息管理部門辦公室、弱電間*3防盜竊和防破壞主機(jī)房主機(jī)房、信息管理部門辦公室、弱電間*4防雷擊主機(jī)房主機(jī)房、樓層弱電間5防火主機(jī)房主機(jī)房*6防水和防潮主機(jī)房主機(jī)房、樓層弱電間*7防靜電主機(jī)房主機(jī)房8溫濕度控制主機(jī)房主機(jī)房9電力供應(yīng)主機(jī)房、掛號(hào)收費(fèi)終端主機(jī)房、樓層弱電間、掛號(hào)收費(fèi)終端*10電磁防護(hù)不適用不適用醫(yī)院選址時(shí)已

42、考慮（2）網(wǎng)絡(luò)安全序號(hào)安全要求二級(jí)（一般）二級(jí)（增強(qiáng)）對(duì)象對(duì)象程度（*）1結(jié)構(gòu)安全內(nèi)網(wǎng)網(wǎng)絡(luò)全網(wǎng)絡(luò)，重點(diǎn)要求內(nèi)外網(wǎng)隔離2訪問(wèn)控制內(nèi)網(wǎng)網(wǎng)絡(luò)全網(wǎng)絡(luò)*3安全審計(jì)核心網(wǎng)絡(luò)設(shè)備核心網(wǎng)絡(luò)設(shè)備*4邊界完整性檢查內(nèi)網(wǎng)網(wǎng)絡(luò)內(nèi)網(wǎng)網(wǎng)絡(luò)、內(nèi)網(wǎng)與外網(wǎng)接口*5入侵防范不適用內(nèi)網(wǎng)網(wǎng)絡(luò)以及與外網(wǎng)網(wǎng)絡(luò)接口6網(wǎng)絡(luò)設(shè)備防護(hù)核心網(wǎng)絡(luò)設(shè)備核心網(wǎng)絡(luò)設(shè)備、樓層接入網(wǎng)絡(luò)設(shè)備*7網(wǎng)絡(luò)可用性冷備雙機(jī)熱備（重要服務(wù)器）（3）主機(jī)安全序號(hào)安全要求二級(jí)（一般）二級(jí)（增強(qiáng)）對(duì)象對(duì)象程度（*）1身份鑒別所有服務(wù)器、各類工作站所有服務(wù)器、各類工作站*2訪問(wèn)控制所有服務(wù)器、各類工作站所有服務(wù)器、各類工作站*3安全審計(jì)所有服務(wù)器所有服務(wù)器、各類工作站*4入侵防范

43、不適用所有服務(wù)器5惡意代碼防范所有服務(wù)器、各類工作站所有服務(wù)器、各類工作站6資源控制不適用核心服務(wù)器7主機(jī)可用性冷備雙機(jī)熱備（4）應(yīng)用安全目前，安全要求的應(yīng)用安全部分主要針對(duì)實(shí)現(xiàn)綜合業(yè)務(wù)和臨床業(yè)務(wù)功能的應(yīng)用系統(tǒng)提出相應(yīng)的技術(shù)安全要求。其他行政管理類應(yīng)用系統(tǒng)從系統(tǒng)遭到破壞后的影響程度來(lái)看，基本定位于第一級(jí)。因此建議采用第一級(jí)的有關(guān)要求，提出較通用的應(yīng)用安全要求，his系統(tǒng)基本要求中的威脅分析、安全目標(biāo)等環(huán)節(jié)不再進(jìn)行詳細(xì)分析描述。a.綜合業(yè)務(wù)、臨床業(yè)務(wù)序號(hào)安全要求二級(jí)（一般）二級(jí)（增強(qiáng)）對(duì)象對(duì)象程度（*）1身份鑒別門急診、掛號(hào)收費(fèi)應(yīng)用綜合業(yè)務(wù)、臨床業(yè)務(wù)等關(guān)鍵業(yè)務(wù)應(yīng)用*2訪問(wèn)控制門急診、掛號(hào)收費(fèi)應(yīng)用

44、綜合業(yè)務(wù)、臨床業(yè)務(wù)等關(guān)鍵業(yè)務(wù)應(yīng)用*3安全審計(jì)門急診、掛號(hào)收費(fèi)應(yīng)用綜合業(yè)務(wù)、臨床業(yè)務(wù)等關(guān)鍵業(yè)務(wù)應(yīng)用*4通信完整性不適用pacs關(guān)鍵業(yè)務(wù)應(yīng)用數(shù)據(jù)5通信保密性身份鑒別信息身份鑒別信息、電子病歷應(yīng)用數(shù)據(jù)6軟件容錯(cuò)門急診、掛號(hào)收費(fèi)應(yīng)用綜合業(yè)務(wù)、臨床業(yè)務(wù)等關(guān)鍵業(yè)務(wù)應(yīng)用7資源控制不適用綜合業(yè)務(wù)、臨床業(yè)務(wù)等關(guān)鍵業(yè)務(wù)應(yīng)用b. 行政管理系統(tǒng)序號(hào)安全要求一般增強(qiáng)1身份鑒別教育系統(tǒng)、科研系統(tǒng)、oa系統(tǒng)人事系統(tǒng)、財(cái)務(wù)系統(tǒng)2訪問(wèn)控制3安全審計(jì)（5）數(shù)據(jù)安全（需根據(jù)業(yè)務(wù)數(shù)據(jù)的重新分類確定）序號(hào)安全要求二級(jí)（一般）二級(jí)（增強(qiáng)）對(duì)象對(duì)象程度（*）1數(shù)據(jù)完整性不適用dicom數(shù)據(jù)2數(shù)據(jù)保密性身份鑒別信息身份鑒別信息、患者信息（包

45、括電子病歷、醫(yī)囑、檢驗(yàn)結(jié)果等）、藥品信息（包括藥劑材料用量等）3備份和恢復(fù)門急診、掛號(hào)收費(fèi)數(shù)據(jù)綜合業(yè)務(wù)、臨床業(yè)務(wù)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)二、管理類安全要求序號(hào)安全管理要求備 注1.安全管理制度管理制度1、管理類安全要求是一個(gè)整體實(shí)施管理的過(guò)程，不再區(qū)分二級(jí)（一般）和二級(jí)（增強(qiáng)），標(biāo)準(zhǔn)編寫時(shí)將結(jié)合his系統(tǒng)的應(yīng)用特點(diǎn)，重點(diǎn)參考借鑒his安全策略中的有關(guān)要求。2、已建his系統(tǒng)將主要涉及管理制度、管理機(jī)構(gòu)、人員安全、系統(tǒng)運(yùn)維管理的有關(guān)管理要求，在新建系統(tǒng)或系統(tǒng)改擴(kuò)建時(shí)需按照系統(tǒng)建設(shè)管理要求建設(shè)實(shí)施。3、應(yīng)急響應(yīng)中重點(diǎn)突出對(duì)外服務(wù)（如門急診掛號(hào)配藥等）涉及設(shè)備的備份措施，雙機(jī)熱備的切換演練等。2.制定和發(fā)布3

46、.評(píng)審和修訂4.安全管理機(jī)構(gòu)崗位設(shè)置5.人員配備6.授權(quán)和審批7.溝通和合作8.審核和檢查9.人員安全管理人員錄用10.人員離崗11.人員考核12.安全意識(shí)教育和培訓(xùn)13.外部人員訪問(wèn)管理14.系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)15.安全方案設(shè)計(jì)16.產(chǎn)品采購(gòu)和使用17.自行軟件開(kāi)發(fā)18.外包軟件開(kāi)發(fā)19.工程實(shí)施20.測(cè)試驗(yàn)收21.系統(tǒng)交付22.安全服務(wù)商選擇23.系統(tǒng)運(yùn)維管理環(huán)境管理24.資產(chǎn)管理25.介質(zhì)管理26.設(shè)備管理27.網(wǎng)絡(luò)安全管理28.系統(tǒng)安全管理29.惡意代碼防范管理30.密碼管理31.變更管理32.備份與恢復(fù)管理33.安全事件處置34.應(yīng)急預(yù)案管理8 安全基本要求8.1 二級(jí)（一般）安全

47、要求8.1.1 技術(shù)要求8.1.1.1 物理安全8.1.1.1.1 物理位置的選擇a) 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。8.1.1.1.2 物理訪問(wèn)控制a) 機(jī)房出入口應(yīng)有身份鑒別機(jī)制（人工或電子方式），鑒別進(jìn)入的人員身份并登記在案；b) 進(jìn)入機(jī)房的來(lái)訪人員應(yīng)有醫(yī)院方面的授權(quán)并由醫(yī)院專人陪同，限制和監(jiān)控其活動(dòng)范圍。8.1.1.1.3 防盜竊和防破壞a) 應(yīng)將主要設(shè)備放置在機(jī)房等物理受限的范圍內(nèi)；b) 應(yīng)注意對(duì)機(jī)房、線纜等重要區(qū)域做防鼠措施；c) 應(yīng)對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備等關(guān)鍵設(shè)施進(jìn)行固定，并設(shè)置明顯的標(biāo)記；d) 應(yīng)將通信線纜鋪設(shè)在隱蔽處，如鋪設(shè)在地下或管道中等；e) 應(yīng)對(duì)

48、信息科室使用的介質(zhì)（諸如：存有信息的光盤、軟盤、移動(dòng)硬盤、紙質(zhì)文檔等）分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；f) 應(yīng)安裝必要的防盜報(bào)警設(shè)施，以防進(jìn)入機(jī)房的盜竊和破壞行為；g) 存有重要信息的設(shè)備或存儲(chǔ)介質(zhì)攜帶出工作環(huán)境時(shí)，應(yīng)登記說(shuō)明。8.1.1.1.4 防雷擊a) 機(jī)房建筑應(yīng)設(shè)置避雷裝置；b) 應(yīng)設(shè)置交流電源地線。8.1.1.1.5 防火a) 應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)，并保持滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)的良好狀態(tài)；b) 機(jī)房?jī)?nèi)不應(yīng)使用或堆放易燃物品或材料。8.1.1.1.6 防水和防潮a) 水管安裝，不得穿過(guò)屋頂和活動(dòng)地板下；b) 應(yīng)對(duì)穿過(guò)墻壁和樓板的水管增加必要的保護(hù)措施，如設(shè)置套管；c)

49、 應(yīng)采取措施防止雨水通過(guò)屋頂和墻壁滲透；d) 應(yīng)采取措施防止室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。8.1.1.1.7 防靜電a) 應(yīng)采用必要的接地防靜電措施；b) 機(jī)房地板鋪設(shè)應(yīng)采用機(jī)房專用防靜電活動(dòng)地板。8.1.1.1.8 溫濕度控制a) 應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)；b) 溫、濕度自動(dòng)調(diào)節(jié)設(shè)施宜具備斷續(xù)電自動(dòng)重啟機(jī)制；c) 應(yīng)于關(guān)鍵場(chǎng)所配備溫濕度監(jiān)控設(shè)施。8.1.1.1.9 電力供應(yīng)a) 計(jì)算機(jī)系統(tǒng)供電應(yīng)與其他供電分開(kāi)；b) 應(yīng)設(shè)置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；c) 應(yīng)提供備用電力供應(yīng)（如：ups設(shè)備、發(fā)電機(jī)等）；d) 應(yīng)對(duì)ups等設(shè)備做定期維護(hù)并保

50、證此類設(shè)備的負(fù)載在合理范圍內(nèi)；e) ups設(shè)備應(yīng)能夠于特定狀態(tài)下（如啟動(dòng)、中斷、故障等）向管理人員發(fā)出告警（如短信、聲音方式）；f) 關(guān)鍵設(shè)備（如：核心服務(wù)器、核心交換機(jī)等）應(yīng)保證電力供應(yīng)來(lái)源的冗余，如：由不同供電途徑作為電源輸入。8.1.1.1.10 電磁防護(hù)a) 電源線和通信線纜應(yīng)隔離，避免互相干擾；b) 機(jī)房區(qū)域應(yīng)遠(yuǎn)離強(qiáng)電磁和輻射源。8.1.1.2 網(wǎng)絡(luò)安全8.1.1.2.1 結(jié)構(gòu)安全a) 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間，要求滿足業(yè)務(wù)高峰期需要；b) 應(yīng)設(shè)計(jì)和繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖； c) 應(yīng)根據(jù)醫(yī)院業(yè)務(wù)的特點(diǎn)，在滿足業(yè)務(wù)高峰期需要的基礎(chǔ)上，合理設(shè)計(jì)網(wǎng)絡(luò)帶寬；d)

51、應(yīng)在各工作站與服務(wù)器之間進(jìn)行路由控制，建立安全的訪問(wèn)路徑；e) 應(yīng)根據(jù)各科室的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。8.1.1.2.2 訪問(wèn)控制a) 醫(yī)院內(nèi)網(wǎng)與醫(yī)院外網(wǎng)之間應(yīng)采用物理或邏輯的方式予以隔離；b) 醫(yī)院信息系統(tǒng)重要網(wǎng)段（如服務(wù)器網(wǎng)段），應(yīng)能根據(jù)會(huì)話狀態(tài)信息（包括數(shù)據(jù)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)、協(xié)議、出入的接口、會(huì)話序列號(hào)、發(fā)出信息的主機(jī)名等信息），為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力；a) 應(yīng)具備記錄、允許或拒絕終端pc接入醫(yī)院網(wǎng)絡(luò)的能力。8.1.1.2.3 邊界完整性檢查a) 應(yīng)能夠檢測(cè)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為（即“非法外聯(lián)”行為）。8.1.1.