醫(yī)院信息安全等級(jí)保護(hù)建設(shè)整改流程

1、醫(yī)院信息安全等級(jí)保護(hù)建設(shè)整改流程醫(yī)院信息安全等級(jí)保護(hù)建設(shè)整改流程1等級(jí)保護(hù)建設(shè)過(guò)程核心 信息安全等級(jí)保護(hù)建設(shè)思路思路一：需求驅(qū)勱，加固改造，測(cè)評(píng)思路（差什么補(bǔ)什么）；思路二：進(jìn)行總體安全建設(shè)整改觃劃，系統(tǒng)化、體系化設(shè)計(jì)思路；思路三：信息系統(tǒng)全生命周期安全管理思路（開(kāi)發(fā)前、開(kāi)發(fā)中、開(kāi)發(fā)后，即三同步）；利用信息安全等級(jí)保護(hù)綜合工作平臺(tái)，使等級(jí)保護(hù)工作常態(tài)化；全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)。管理制度建設(shè)和技術(shù)措施建設(shè)同步戒分步實(shí)施。 等保工作開(kāi)展思路可控安全保障體系主線業(yè)務(wù)需求風(fēng)險(xiǎn)控制需求行業(yè)監(jiān)管等級(jí)保護(hù)設(shè)計(jì)建設(shè)維護(hù)自下而上自上而下 關(guān)注國(guó)家安全、行業(yè)政策、落實(shí) 等級(jí)保護(hù)基本要求，結(jié)果體現(xiàn)： 通過(guò)測(cè)評(píng)

2、幵得高分 彌補(bǔ)漏洞，加強(qiáng)風(fēng)險(xiǎn)控制，結(jié)果 體現(xiàn)：切實(shí)控制風(fēng)險(xiǎn) 以風(fēng)險(xiǎn)管理為抓手，提升用戶對(duì) 安全工作的重規(guī)程度安全工作有序開(kāi)展，避免“亡羊補(bǔ)牢” 木桶原理信息安全：系統(tǒng)化、綜 合類工作，提供合理觃劃建議 做好“對(duì)標(biāo)”工作，實(shí)現(xiàn)安全體系合觃性。適度整體安全安全業(yè)務(wù) 安全1. 系統(tǒng)定級(jí)及審批2.方案觃劃、設(shè)計(jì)不論證3.工程實(shí)施5. 安全運(yùn)行維護(hù)6.測(cè)評(píng)不檢查4.系統(tǒng)測(cè)試不評(píng)估信息系統(tǒng)測(cè)評(píng)指卓評(píng)估指卓測(cè)評(píng)指卓管理觃范定級(jí)指卓基本要求技術(shù)設(shè)計(jì)指卓實(shí)施指卓形象的說(shuō)，我們就像醫(yī)生，用戶就好像是我們的病人。整個(gè)等 級(jí)保護(hù)實(shí)施流程就像一次診治。定級(jí)等級(jí)保護(hù)評(píng)估整改實(shí)施評(píng)審備案運(yùn)行維護(hù)系統(tǒng)終止掛號(hào)身體檢查病情診斷

3、 開(kāi)具藥方抓藥治療完成治療保健調(diào)養(yǎng)康復(fù) 信息安全、貫穿信息系統(tǒng)生命周期開(kāi)發(fā)前期：明確系統(tǒng)安全等級(jí)明確業(yè)務(wù)安全需求明確數(shù)據(jù)安全分類開(kāi)發(fā)中期：依據(jù)安全等級(jí)和數(shù)據(jù)安全需求迚行設(shè)計(jì)通過(guò)第三方測(cè)試開(kāi)發(fā)后期：立項(xiàng)階段安全風(fēng)險(xiǎn)評(píng)估通過(guò)等級(jí)保護(hù)測(cè)評(píng)按規(guī)范迚行安全運(yùn)維需求規(guī)格說(shuō)明書(shū)階 段系統(tǒng)設(shè)計(jì) 階段系統(tǒng)開(kāi)發(fā) 階段應(yīng)用與數(shù) 據(jù)集成階段試點(diǎn)部署 階段整體部署 階段試運(yùn)行階 段運(yùn)維階段開(kāi)發(fā)前期開(kāi)發(fā)中期開(kāi)發(fā)后期信息系統(tǒng)定級(jí)流程XXX系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告信息系統(tǒng)定級(jí)評(píng)審與家意見(jiàn) 應(yīng)用系統(tǒng)開(kāi)發(fā)安全規(guī)范業(yè)應(yīng)務(wù)用數(shù)系據(jù)統(tǒng)信開(kāi)息發(fā)安安全全需規(guī)求范調(diào)研表通需過(guò)求第規(guī)三格方說(shuō)測(cè)明試書(shū)：安全評(píng)審-代碼安全檢查-安全合規(guī)性檢查-逡

4、輯檢查-設(shè)計(jì)文檔審查等應(yīng)用環(huán)境安全配置：Oracle數(shù)據(jù)庫(kù)安全配置規(guī)范 mysql安全配置規(guī)范Apache安全配置規(guī)范TongLINK/Q安全配置規(guī)范weblogic安全配置規(guī)范應(yīng)用負(fù)載均衡安全配置規(guī)范安全檢查：應(yīng)用系統(tǒng)上線風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)用系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告（做為驗(yàn)收重要依據(jù)）立項(xiàng)階段需求規(guī)格說(shuō)系統(tǒng)設(shè)計(jì)階 明書(shū)階段段試點(diǎn)部署階段整體部署階段試運(yùn)行階段運(yùn)維階段系統(tǒng)開(kāi)發(fā)階應(yīng)用與數(shù)據(jù) 段集成階段安全服務(wù)機(jī)構(gòu)主管使用運(yùn)行卑位測(cè)評(píng)機(jī)構(gòu)與家組l支持測(cè)評(píng)l提供技術(shù)、工程和加固文檔 l整改實(shí)施的配合公安網(wǎng)監(jiān)部門(mén)l測(cè)評(píng)工作組織協(xié)調(diào)l確保技術(shù)、工程和質(zhì)量文檔、提供運(yùn)營(yíng)相關(guān)文檔 的提供 l評(píng)審實(shí)施方案等相關(guān)文檔l

5、配合等級(jí)測(cè)評(píng)實(shí)施l測(cè)評(píng)過(guò)程中的風(fēng)險(xiǎn)管理和應(yīng)急管理l制定測(cè)評(píng)計(jì)劃和方案等相關(guān)文檔l在相關(guān)卑位支持下實(shí)施等級(jí)測(cè)評(píng)l提交測(cè)評(píng)報(bào)告l監(jiān)督方案評(píng)審和系統(tǒng)測(cè)評(píng)l監(jiān)督確保遵守公正的測(cè)評(píng)原則和方法l對(duì)評(píng)估結(jié)論進(jìn)行評(píng)審l測(cè)評(píng)工作組織不監(jiān)管角色和職責(zé)關(guān)系等級(jí)保護(hù)相關(guān)管理機(jī)構(gòu)不分工等保實(shí)施流程相關(guān)單位產(chǎn)品廠商安全集成系統(tǒng)使用單位等級(jí)保護(hù)測(cè)評(píng)56主管部門(mén)系統(tǒng)定級(jí)技術(shù)支撐（測(cè)評(píng)）方案整改信息安全服務(wù)機(jī)構(gòu)差距測(cè)評(píng)監(jiān)管單位服務(wù)定級(jí)：確定等級(jí)，提交等級(jí)報(bào)告和自檢表。等級(jí)保護(hù)評(píng)估：進(jìn)行差距分析，提交差距報(bào)告和受評(píng)機(jī)構(gòu)提交整改方案，幵對(duì)整改方案及整改 結(jié)果進(jìn)行評(píng)審。規(guī)劃整改實(shí)施依照評(píng)審?fù)ㄟ^(guò)的整改方案，從技術(shù)和管理兩個(gè)方面進(jìn)行合觃

6、性整改（如采販安 全產(chǎn)品、制定安全管理制度等方式）。評(píng)審備案完成整改實(shí)施后進(jìn)行等級(jí)保護(hù)測(cè)評(píng)評(píng)審，評(píng)審?fù)ㄟ^(guò)后完成備案，證明符合前期 安全等級(jí)的定義的標(biāo)準(zhǔn)要求。等級(jí)保護(hù)測(cè)評(píng)流程S類業(yè)務(wù)信息安全保護(hù)類關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不 被泄漏、破壞和免受未授權(quán)的修改。A類系統(tǒng)服務(wù)安全保護(hù)類關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。G類通用安全保護(hù)類既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng) 的連續(xù)可用性。測(cè)評(píng)標(biāo)準(zhǔn)確認(rèn)，安全保護(hù)等級(jí)信息系統(tǒng)基本保護(hù)要求的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3

7、，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第亐級(jí)S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5S5A2G5，S5A1G559例如：根據(jù)“XXXX定級(jí)建議書(shū)”，信息系統(tǒng)1被定為3級(jí)，保護(hù)類型為S3A3G3， 選擇的測(cè)評(píng)指標(biāo)類如下：指標(biāo)類技術(shù)/管理層面類數(shù)量項(xiàng)數(shù)量S類(3級(jí))A類 (3級(jí))G類(3級(jí))小計(jì)小計(jì)安全技術(shù)物理安全1181032網(wǎng)絡(luò)安全107833主機(jī)安全413932應(yīng)用安全5231031數(shù)據(jù)安全21038安全管理安全管理制度G類(3級(jí))

8、311安全管理機(jī)構(gòu)520人員安全管理516系統(tǒng)建設(shè)管理1145系統(tǒng)運(yùn)維管理1360合計(jì)75（類）290（項(xiàng)）2醫(yī)院信息安全等級(jí)保護(hù)實(shí)施要點(diǎn)醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的意義1、等級(jí)保護(hù)是完善醫(yī)院信息系統(tǒng)安全的一個(gè)持續(xù)的、 長(zhǎng)期的過(guò)程。2、通過(guò)等級(jí)保護(hù)會(huì)發(fā)現(xiàn)工作中的不足，是對(duì)系統(tǒng)安全 進(jìn)行重新梳理的過(guò)程。3、等級(jí)保護(hù)是對(duì)我們現(xiàn)有的工作方式進(jìn)行觃范的過(guò)程。4、等級(jí)保護(hù)是提高我們信息工作人員的安全意識(shí)、處理安全事件能力的過(guò)程。落實(shí)安全目標(biāo)設(shè)計(jì)好建設(shè)好運(yùn)維好某醫(yī)院信息系統(tǒng)定級(jí)示例業(yè)務(wù)信息安全被破 壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第三

9、級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第亓級(jí)HIS、PACS、 LIS、電子病歷、OA、門(mén)戶網(wǎng)站系統(tǒng)服務(wù)被破壞時(shí) 所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第三級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第亓級(jí)HISPACSLIS電子病歷OA門(mén)戶網(wǎng)站第三級(jí)第二級(jí)第二級(jí)第二級(jí)第二級(jí)第二級(jí)醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的四大體系信息安全建設(shè)是醫(yī) 院信息化建設(shè)中的 “短板”也是“保底”工程電力供應(yīng)防盜竊和防破壞物理訪問(wèn)控制物理位置選擇電磁防護(hù)防雷擊、防火、防水和防潮、防靜電、溫濕度控制醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要

10、點(diǎn)一（機(jī)房安全）物理位置的選擇基本防護(hù)能力不能選擇高層、地下室物理訪問(wèn)控制基本出入控制分區(qū)域管理在機(jī)房中的活動(dòng)電子門(mén)禁防盜竊和防破壞存放位置、標(biāo)記標(biāo)識(shí)監(jiān)控報(bào)警系統(tǒng)防雷擊建筑防雷、機(jī)房接地設(shè)備防雷防火滅火設(shè)備、自動(dòng)報(bào)警自動(dòng)消防系統(tǒng)區(qū)域隔離措施防靜電關(guān)鍵設(shè)備主要設(shè)備防靜電地板電力供應(yīng)穩(wěn)定電壓、短期供應(yīng)主要設(shè)備冗余/并行線路備用供電系統(tǒng)電磁防護(hù)線纜隔離接地防干擾防水和防潮溫濕度控制醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要點(diǎn)一（機(jī)房安全）訪問(wèn)控制結(jié)構(gòu)安全惡意代碼防范安全審計(jì)入侵防范網(wǎng)絡(luò)邊界安全防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要點(diǎn)二（網(wǎng)絡(luò)安全）醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要點(diǎn)二（網(wǎng)絡(luò)安全） 核心業(yè)務(wù)區(qū)（三級(jí)

11、系統(tǒng)區(qū)域）HISOA、LIS、PACS、電子病歷普通服務(wù)器區(qū)（二級(jí)系統(tǒng)區(qū)域）辦公區(qū)核心區(qū)域虧聯(lián)網(wǎng)接入?yún)^(qū)Interne t醫(yī)保網(wǎng)與線接入?yún)^(qū)安全管理區(qū) 堡壘機(jī)數(shù)據(jù)庫(kù)審計(jì)日志審計(jì)終端安全FWFW分院專線 FW遠(yuǎn)程會(huì)診 其他單位UTMIDS醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要點(diǎn)二（網(wǎng)絡(luò)安全）醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要點(diǎn)三（終端安全）醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要點(diǎn)四（數(shù)據(jù)安全）醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要點(diǎn)四（數(shù)據(jù)安全）數(shù)據(jù)備份系統(tǒng)數(shù)據(jù)備份數(shù)據(jù)弻檔醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要點(diǎn)五（應(yīng)用安全）醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的要點(diǎn)六（安全管理）整改項(xiàng)設(shè)備部署加固服務(wù)物理訪問(wèn)控制（物理）電子門(mén)禁系統(tǒng)無(wú)溫濕度控制（物理）溫

12、、濕度敏感檢測(cè)仦/精密空調(diào)無(wú)結(jié)構(gòu)安全（網(wǎng)絡(luò)）無(wú)技術(shù)加固訪問(wèn)控制（網(wǎng)絡(luò)） 訪問(wèn)控制（主機(jī)）1.服務(wù)器區(qū)部署防火墻2.部署訪問(wèn)控制系統(tǒng)3.部署安全隔離網(wǎng)閘4.VPN安全加密通道技術(shù)加固安全審計(jì)(網(wǎng)絡(luò)) 安全審計(jì)(主機(jī)) 安全審計(jì)(應(yīng)用)1.部署第三方日志審計(jì)系統(tǒng)2.部署運(yùn)維審計(jì)系統(tǒng)3.部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)技術(shù)加固數(shù)據(jù)備份不恢復(fù)管理部署統(tǒng)一備份系統(tǒng)技術(shù)加固邊界完整性檢查（網(wǎng)絡(luò)）部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)技術(shù)加固入侵防范（網(wǎng)絡(luò)）服務(wù)器區(qū)部署入侵檢測(cè)系統(tǒng)（旁路IDS)技術(shù)加固網(wǎng)絡(luò)設(shè)備防護(hù)部署網(wǎng)絡(luò)管理系統(tǒng)技術(shù)加固身份鑒別無(wú)技術(shù)加固資源控制（主機(jī)） 資源控制（應(yīng)用）部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)技術(shù)加固 技術(shù)加固惡意代碼防護(hù)部署防病毒軟件無(wú)通信完整性（應(yīng)用）無(wú)技術(shù)加固通信保密性（應(yīng)用）無(wú)技術(shù)加固網(wǎng)頁(yè)防篡改/防攻擊部署網(wǎng)頁(yè)防篡改設(shè)備（WAF）無(wú)常見(jiàn)整改項(xiàng)目表醫(yī)院信息安全等級(jí)保護(hù)實(shí)施建議1、核心服務(wù)器采用雙機(jī)。2、核心交換采用雙機(jī)，能支持VRRP戒irf虛擬化，最 好能插入防火墻板卡，三層交換機(jī)，做好核心交換的 訪問(wèn)控制列表。3、安全設(shè)備可根據(jù)實(shí)際情況進(jìn)行投入，如：一臺(tái)一體 化安全網(wǎng)關(guān)可同時(shí)實(shí)現(xiàn)入侵防御