《评审标准对照医院信息安全等级保护制度(共6页).doc》由会员分享,可在线阅读,更多相关《评审标准对照医院信息安全等级保护制度(共6页).doc(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上*医院落实国家信息安全等级保护制度的具体措施一、信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。二、工作目标信息系统运
2、营使用单位在做好信息系统安全等级保护定级备案工作基础上,按照国家有关规定和标准规范要求,开展信息安全等级保护安全建设整改工作。通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。三、工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中,应按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。我院依据国家信息安全等级保护度(二
3、级),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术施。四、等级划分信息安全等级保护信息安全等级保护管理办法规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会
4、秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损 害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。五、安全保护能力目标各级信息系统应通过安全建设达到以下安全保护能力目标:第一级信息系统:经过安全建设整改,信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要
5、功能的能力。第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。第三级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的
6、系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。第四级信息系统:经过安全建设整改,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。第五级安全保护能力:(略)。六、实施原则信息系统安全等级保护实施过程中,遵循以下四条基本
7、原则:自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标
8、准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。七、信息安全等级保护计划依据我院信息等级保护现状制定以下原则、计划1、 原则:遵循重点保护原则,准备对我院重点信息系统进行保护,系统有:HIS系统、电子病历系统、PACS系统、LIS系统。其他信息系统于以上系统在物理安全、网络安全、制度安全同样适用,因此采用自主保护原则实行保护。2、 计划:计划用三年左右的时间对我院信息系统,按照等级保护目标、内容、二级甲等医院信息等级保护要求、实施原则,实施信息安全等级保护制度。2014年年末首先对HIS系统进行信息等级保护评测,2015年安排对电子病历系统进行评
9、测,2016年安排对PACS系统、LIS系统进行评测。八、信息安全等级保护工作实施措施(一)、加强领导设立以分管院长为核心的信息安全领导小组,领导小组办公室设在信息科科,由*同志兼任主任,*同志负责具体工作。(二)、工作步骤及任务 1、做好系统定级工作。定级系统包括HIS系统、电子病历系统、PACS系统、LIS系统。定级标准按二级甲等医院和*公安局要求定级。 2、做好系统备案工作。按照市卫生系统信息安全等级保护划分定级要求,对信息系统进行定级后,将本单位信息系统安全等级保护备案表信息系统定级报告和备案电子数据报*公安局。3、做好系统等级测评工作。完成定级备案后,选择县公安局推荐的等级测评机构,对已确定安全保护等级信息系统,按照国家信息 安全等级保护工作规范和信息安全技术信息系统安全等级保护基本要求等国家标准开展等级测评。 4、完善等级保护体系建设做好整改工作。按照测评报告评测初稿结果,对照信息系统安全等级保护基本要求等有关标准,组织开展等级保护安全建设整改工作。5、整改结束后,及时将整改结果反馈到评测机构,由评测机构出据评测报告,及时将测评机构出具的信息系统等级测评报告向*公安局报备。*医院信息科2014-11专心-专注-专业