醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)備案實(shí)施-最新文檔_第1頁
醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)備案實(shí)施-最新文檔_第2頁
醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)備案實(shí)施-最新文檔_第3頁
醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)備案實(shí)施-最新文檔_第4頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)備案實(shí)施根據(jù)國家信息安全等級(jí)保護(hù)制度, 醫(yī)院實(shí)施了安全等級(jí)保 護(hù),闡述了醫(yī)院信息系統(tǒng)等級(jí)保護(hù)實(shí)施過程。 提出要有持續(xù)改進(jìn) 的理念, 不斷加強(qiáng)安全措施確保醫(yī)院信息系統(tǒng)安全運(yùn)行, 保障數(shù) 據(jù)安全有效。1 引言 醫(yī)院信息化建設(shè)快速發(fā)展,信息系統(tǒng)應(yīng)用深入到各個(gè)環(huán)節(jié), 信息業(yè)務(wù)系統(tǒng)承載了門診收費(fèi)、 門診藥房、 住院收費(fèi)、住院藥房、 醫(yī)保、財(cái)務(wù)、門急診醫(yī)生護(hù)士站、住院醫(yī)生護(hù)士站、電子病歷、 病案首頁、檢驗(yàn)LIS系統(tǒng)、檢查PACS系統(tǒng)、體檢系統(tǒng)等。保障 重點(diǎn)信息系統(tǒng)的安全, 規(guī)范信息安全等級(jí)保護(hù), 完善信息保護(hù)機(jī) 制,提高信息系統(tǒng)的防護(hù)能力和應(yīng)急水平, 有效遏制重大網(wǎng)絡(luò)與 信息安

2、全事件的發(fā)生, 創(chuàng)造良好的信息系統(tǒng)安全運(yùn)營環(huán)境勢在必 要。根據(jù)衛(wèi)生部印發(fā)的 衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo) 意見,衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。 做好信息安全等級(jí)保護(hù)工作, 對(duì)于促進(jìn)衛(wèi)生信息化健康發(fā)展, 保 障醫(yī)藥衛(wèi)生體制改革, 維護(hù)公共利益、 社會(huì)秩序和國家安全具有 重要意義。2 確定測評(píng)對(duì)象與等級(jí) 我院是一所二級(jí)甲等綜合醫(yī)院,日門診人次1000 人左右,住院日人次400余人。醫(yī)院信息系統(tǒng) HIS、LIS、PACS電子病 歷、體檢等 50 余個(gè)系統(tǒng)無縫結(jié)合,信息雙向交流。按照信息 系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 定級(jí)原理, 確定醫(yī)院信息業(yè)務(wù)系統(tǒng) 的安全保護(hù)等級(jí)為第 2 級(jí),

3、其中業(yè)務(wù)信息安全保護(hù)等級(jí)為 2 級(jí), 系統(tǒng)服務(wù)安全保護(hù)等級(jí)為 2 級(jí)。2.1 招標(biāo)比選測評(píng)公司 醫(yī)院通過四川警察網(wǎng)了解到四川省獲得信息安全等級(jí)保護(hù) 測評(píng)有資質(zhì)的 5 家公司。醫(yī)院電話通知該 5 家公司,簡單介紹醫(yī) 院信息化情況, 其中有 3 家公司到現(xiàn)場進(jìn)行調(diào)查, 掌握了信息系 統(tǒng)情況。然后通過招標(biāo)比選確定一家公司為我院測評(píng)安全等級(jí)保 護(hù)。2.2 測評(píng)實(shí)施2.2.1 準(zhǔn)備階段醫(yī)院填報(bào)安全等級(jí)保護(hù)備案申報(bào)表、 安全等級(jí)保護(hù)定 級(jí)報(bào)告,確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、審 計(jì)管理員、 安全管理員。 醫(yī)院組織相關(guān)人員到市級(jí)計(jì)算機(jī)安全學(xué) 會(huì)進(jìn)行安全培訓(xùn)學(xué)習(xí)。 確定醫(yī)院信息安全主管人員協(xié)助測評(píng)

4、公司 人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研, 提交準(zhǔn)備資料。 調(diào)研內(nèi)容涉及 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、線路鏈接情況、中心機(jī)房位置分布情況、應(yīng)用 系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及相應(yīng)的 IP 地 址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。2.2.2 測評(píng)主要內(nèi)容 主要針對(duì)醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實(shí)施測 評(píng),其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用系 統(tǒng)安全、數(shù)據(jù)安全及備份恢復(fù)進(jìn)行 5;安全管理包括安全管理制 度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管 理。2.2.3 測評(píng)方式與測評(píng)范圍 測評(píng)公司綜合采用了現(xiàn)場測評(píng)與風(fēng)險(xiǎn)分析方法測評(píng)、 單元測 評(píng)與整體測

5、評(píng)。 單元測評(píng)實(shí)施過程中采用現(xiàn)場訪談、 檢查和測試 等測評(píng)方法。 就各類崗位人員進(jìn)行訪談, 了解醫(yī)院業(yè)務(wù)運(yùn)作以及 網(wǎng)絡(luò)運(yùn)行狀況;查看主機(jī)房、應(yīng)用系統(tǒng)軟件、主機(jī)操作系統(tǒng)及安 全相關(guān)軟件、數(shù)據(jù)庫管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、 網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用 安全和數(shù)據(jù)安全及備份恢復(fù)等技術(shù)類測評(píng)任務(wù), 以及安全管理類 測評(píng)任務(wù);查閱分析文檔、核查安全配置、監(jiān)聽與分析網(wǎng)絡(luò)等檢 查方法查證防火墻、路由器、交換機(jī)部署及其配置情況、端口開 放情況等; 測評(píng)人員采用手工驗(yàn)證和工具測試進(jìn)行漏洞掃描、 系 統(tǒng)滲透測試,檢查系統(tǒng)的安全有效性。整體測評(píng)主要應(yīng)用于安全控制間、 層面間和

6、區(qū)域間等三個(gè)方 面。主要就是針對(duì)同一區(qū)域內(nèi)、 同一層面上或不同層面上的不同 安全控制間存在的安全問題以及不同區(qū)域間的互連互通時(shí)的安 全性。醫(yī)院信息系統(tǒng)運(yùn)用了身份鑒別措施、 軟件容錯(cuò)機(jī)制、 用戶權(quán) 限分組管理、密碼賬戶登錄、數(shù)據(jù)庫表中記錄用戶操作、對(duì)重要 事件進(jìn)行審計(jì)并留存記錄。 網(wǎng)絡(luò)邊界處部署防火墻防御入侵, 終 端使用了趨勢網(wǎng)絡(luò)版本防病毒產(chǎn)品, 抵御惡意代碼。 開啟系統(tǒng)審 計(jì)日志,制定和實(shí)施有效安全管理制度,加強(qiáng)安全管理,降低系 統(tǒng)安全風(fēng)險(xiǎn)。 網(wǎng)絡(luò)進(jìn)行了有效的區(qū)域劃分, 區(qū)域之間通過訪問控 制列表實(shí)現(xiàn)安全控制, 與社保局、 醫(yī)管辦等第三方外聯(lián)區(qū)之間通 過防火墻嚴(yán)格限制訪問端口。2.2.5 差

7、距分析與測評(píng)整改 通過測評(píng),測評(píng)公司寫出測評(píng)報(bào)告, 提出整改建議。 按照信 息系統(tǒng)安全等級(jí)保護(hù)基本要求要求 6,測評(píng)公司人員根據(jù)醫(yī)院 當(dāng)前安全管理需要和管理特點(diǎn), 針對(duì)等級(jí)保護(hù)所要求的安全管理 機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維 管理,從人員、制度、運(yùn)作、規(guī)范等角度,進(jìn)行全面的建設(shè)7,提供技術(shù)建設(shè)措施, 落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求, 就各類人員 進(jìn)行安全培訓(xùn), 提升醫(yī)院信息系統(tǒng)管理的能力。 醫(yī)院分期逐步投 入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)等。2.2.6 編制報(bào)告,成功備案測評(píng)公司編制報(bào)告,上報(bào)市 XX局備案成功,獲得二級(jí)信息 系統(tǒng)備案證書。 二級(jí)信息系統(tǒng), 每兩年進(jìn)行一次信息安全等級(jí)測 評(píng)。實(shí)施安全等級(jí)保護(hù)測評(píng)備案使醫(yī)院信息系統(tǒng)安全管理水平提 高,安全保護(hù)能力增強(qiáng),有效保障信息化健康發(fā)展。3 結(jié)語網(wǎng)絡(luò)安全問題是一個(gè)集技術(shù)、 管理和法規(guī)于一體的長期系統(tǒng) 工程,始終有其動(dòng)態(tài)性,醫(yī)院需要不斷

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論