2023醫(yī)療機構(gòu)信息系統(tǒng)等級保護定級工作指南

醫(yī)療機構(gòu)信息系統(tǒng)等級保護定級工作指南目 錄前 言 III醫(yī)療機構(gòu)信息系統(tǒng)等級保護定級工作指南 1范圍 1規(guī)范性引用文件 1術(shù)語和定義 1網(wǎng)絡(luò)安全（cybersecurity） 1等級保護對象（targetofclassifiedprotection） 1受侵害的客體（objectofinfringement） 2基本原則 2定級原理及流程 2定級原理 2定級過程 35.2.1確定定級對象 35.2.2確定受侵害客體 45.2.3對客體的侵害程度 55.2.4初步確定等級 55.2.1外部專家評審 65.2.1主管部門審核 6附5.2.2錄A公安機關(guān)備案 6（資料性）定級對象表 7附錄B（規(guī)范性）信息系統(tǒng)定級指引 9附錄C（資料性）信息系統(tǒng)安全等級保護定級報告模板 11IIPAGEPAGE11PAGEPAGE10醫(yī)療機構(gòu)信息系統(tǒng)等級保護定級工作指南范圍本標(biāo)準(zhǔn)給出了廣東省各級各類醫(yī)療機構(gòu)非涉及國家秘密的等級保護對象的安全保護等級定級方法和定級流程。本標(biāo)準(zhǔn)適用于指導(dǎo)各級各類醫(yī)療機構(gòu)開展非涉及國家秘密的等級保護對象的定級工作。規(guī)范性引用文件GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》GB/T25058-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南》《醫(yī)院信息化建設(shè)應(yīng)用技術(shù)指引》《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》《醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測方案》《醫(yī)院分級管理標(biāo)準(zhǔn)》術(shù)語和定義GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)安全（cybersecurity）通過采取必要的措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。等級保護對象（targetofclassifiedprotection）（受侵害的客體（objectofinfringement）受法律保護的等級保護對象受到破壞時所侵害的社會關(guān)系。（本標(biāo)準(zhǔn)中簡稱“客體”）?；驹瓌t法規(guī)遵從原則適時調(diào)整原則重點保護原則分域保護原則定級原理及流程定級原理根據(jù)國家GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》的規(guī)定，醫(yī)療機構(gòu)信息系統(tǒng)的安全保護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益；第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。定級過程醫(yī)療機構(gòu)信息系統(tǒng)定級工作的一般流程如圖1定級流程圖所示：圖1定級流程圖確定定級對象（科醫(yī)院患A《定級對象表》。確定受侵害客體侵害國家安全的事項包括以下方面：影響國家政權(quán)穩(wěn)固和國防實力；影響國家統(tǒng)一、民族團結(jié)和社會安定；影響國家對外活動中的政治、經(jīng)濟利益；影響國家重要的安全保衛(wèi)工作；影響國家經(jīng)濟競爭力和科技實力；其他影響國家安全的事項。侵害社會秩序的事項包括以下方面：影響醫(yī)療機構(gòu)社會管理和公共服務(wù)的工作秩序；影響醫(yī)療機構(gòu)類型的經(jīng)濟活動秩序；影響醫(yī)療機構(gòu)的科研、生產(chǎn)秩序；影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；其他影響社會秩序的事項。影響公共利益的事項包括以下方面：影響社會成員使用醫(yī)療機構(gòu)；影響社會成員獲取公開信息資源；影響社會成員接受公共服務(wù)等方面；其他影響公共利益的事項。影響公民、法人和其他組織的合法權(quán)益：對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害初步確定等級1BC.1定級要素與安全保護等級的關(guān)系表受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級5.2.1 外部專家評審主管部門審核各級醫(yī)療機構(gòu)根據(jù)專家評審意見，報送各級衛(wèi)生健康委員會（局）；公安機關(guān)備案（市附 錄 A（資料性）定級對象表序號信息系統(tǒng)分類定義1臨床服務(wù)系統(tǒng)門急診掛號系統(tǒng)、門診醫(yī)生工作站、分診管理系統(tǒng)、住院病人入出轉(zhuǎn)系統(tǒng)、住院醫(yī)生工作站、住院護士工作站、電子化病歷書寫與管理系統(tǒng)、統(tǒng)、康復(fù)治療系統(tǒng)、專科電子病歷系統(tǒng)（眼科、產(chǎn)科、口腔等）2醫(yī)療管理系統(tǒng)/傳染病管理系統(tǒng)、科研管理系統(tǒng)、病案管理系統(tǒng)、導(dǎo)診管理系統(tǒng)、危急GCP不良事件報告系統(tǒng)3運營管理系統(tǒng)DRG理系統(tǒng)、OA、辦公系統(tǒng)、投訴管理系統(tǒng)、客戶服務(wù)管理系統(tǒng)4集成平臺3605上級和醫(yī)院間的信息共享、區(qū)域一卡通、區(qū)域遠(yuǎn)程醫(yī)療、區(qū)域醫(yī)療公眾服務(wù)、雙向轉(zhuǎn)診、區(qū)域病理共享、區(qū)域檢驗共享、區(qū)域影像共享6接入外部機構(gòu)的系統(tǒng)CDC（疾控中心上報平臺或監(jiān)管平臺注：為方便管理，上述對象可合并管理的，建議合并定級。附 錄 B（規(guī)范性）受侵害客體業(yè)務(wù)信息安全賦值表B.1受侵害客體業(yè)務(wù)信息安全賦值表受侵害客體損害程度賦值國家安全不適用-社會秩序、公共利益一般2嚴(yán)重3特別嚴(yán)重4公民、法人和其他組織的合法權(quán)益一般、嚴(yán)重、特別嚴(yán)重1各醫(yī)療機構(gòu)結(jié)合定級對象被侵害后影響的受侵害客體進(jìn)行賦值。受侵害客體系統(tǒng)服務(wù)安全賦值B.2。表B.2系統(tǒng)服務(wù)安全賦值表服務(wù)對象影響范圍醫(yī)院級別賦值公共服務(wù)臨床服務(wù)系統(tǒng)、集成平臺一級1二級2三級3公共服務(wù)系統(tǒng)一級1二級2三級2組織內(nèi)部全院級運營管理系統(tǒng)、接入上級信息平臺一級1二級1三級2科室級運營管理系統(tǒng)一級1二級1三級1（市（一級及二級運行的集中部署信息系統(tǒng)，應(yīng)參照三級醫(yī)院級別按不同影響范圍進(jìn)行取值。初步確定等級根據(jù)受侵害客體業(yè)務(wù)信息安全數(shù)值與受侵害客體系統(tǒng)服務(wù)安全數(shù)值情況，取最高值確定保護對象等級。定級對象取值=max{受侵害客體業(yè)務(wù)信息安全數(shù)值,受侵害客體系統(tǒng)服務(wù)安全數(shù)值}。最終根據(jù)表B.3初步確定定級對象等級。表B.3定級對象值與定級對象等級關(guān)系表定級對象數(shù)值定級對象等級4第四級3第三級2第二級1第一級附 錄 C（資料性）信息系統(tǒng)安全等級保護定級報告模板B.1信息系統(tǒng)安全等級保護定級報告一、XXX信息系統(tǒng)描述IP）XXX（（一）業(yè)務(wù)信息安全保護等級的確定1、業(yè)務(wù)信息描述描述信息系統(tǒng)處理的主要業(yè)務(wù)信息等。2、業(yè)務(wù)信息受到破壞時所侵害客體的確定說明信息受到破壞時侵害的客體是什么，即對三個客體（國家安全；社會秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵害。3、信息受到破壞后對侵害客體的侵害程度的確定4、業(yè)務(wù)信息安全等級的確定依據(jù)信息受到破壞時所侵害的客體以及侵害程度，確定業(yè)務(wù)信息安全等級。（二）系統(tǒng)服務(wù)安全保護等級的確定1、系統(tǒng)服務(wù)描述描述信息系統(tǒng)的服務(wù)范圍、服務(wù)對象等。2、系統(tǒng)服務(wù)受到破壞時所侵害客體的確定（3、系統(tǒng)服務(wù)受到破壞后