《2022年“三级等保”与“数字化医院”评审之我见 .pdf》由会员分享,可在线阅读,更多相关《2022年“三级等保”与“数字化医院”评审之我见 .pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、“三级等保”与“数字化医院”评审之我见代军崇州市人民医院随着 2012 年“数字化医院”评审在我省的展开,“三级等保”,这个原本让大家比较陌生的名词频繁出现了。紧接着,2013 年初省厅就发文要求全部三级医院和部分二级医院必须限时达到“三级等保” 。一时间,让“三级等保”热度猛涨,全民皆知。那么,什么是“等级保护”?“三级等保”和“数字化医院”评审有什么密切关系呢?达到“三级等保”又有什么作用呢?1 等级保护是什么对信息系统进行分等级保护(信息安全等级保护管理办法(公通字200743号) 。平衡信息安全与投入,达到重点系统重点保护和监管。2 为什么要实行等级保护网络安全形势严峻,维护国家、单位
2、、个人的安全需要。满足上级部门的管理要求。3 实施等保制度的目的?明确重点、突出重点、保护重点;明确信息安全的责任;优化信息安全的配置4 信息安全的高度,以及等级保护的高度?2014 年 2 月 27 日中央网络安全和信息化领导小组成立,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、 刘云山任副组长,显示出保障网络安全、维护国家利益、 推动信息化发展的决心;等级保护是国家信息安全保障工作的基本制度、基本国策;是开展信息安全工作的基本方法;是促进信息化、维护国家信息安全的根本保障。5 怎么实行等级保护流程上, 新建系统 : “系统定级安全设计与实施等级测评备案监督检查”的流程
3、实施。 原有系统 : “系统定级现状测评建设整改复测评备案监督检查”的流程实施。整改项上,根据GB/T 22239-2008 信息系统安全等级保护基本要求“信息系统安全等级保护的核心是保证不同安全保护等级的信息系统具有相适应的安全保护能力”。安全保护能力体现在完整性、保密性、 可用性三方面, 具体来说包括: 防攻击、 防篡改、 防病毒、防瘫痪、防窃密能力、信息内容保护能力、机房环境、网络环境、应用支持环境支撑能力、信息安全运行监控能力、应急响应能力等能力。等级保护基本要求中第三级信息系统的290 项测评指标,都是围绕着是否具备相应的能力来评价的。有序的整改:如无合理的规划,而单个解决具体的问题
4、,则难以形成有效的防护体系。目前流行的安全防护体系有IATF(一个中心三维防护) 、WPPDRR(策略指导下的预警、防护、检测、响应、恢复、反击), GB/T 25070-2010 信息系统等级保护安全设计技术要求是结合了这两种体系以及GB/T 22239-2008 等级保护基本要求的体系化设计,但是其没有给出名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 5 页 - - - - - - - - - 具体的产品或服务。6 “等保保护”的政策推进过程 1994年, 中华人共
5、和国计算机信息系统安全保护条例(国务院147 号令)规定,”计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定” 。 2003年, 国家信息化领导小组关于加强信息安全保障工作的意见(中办法【 2003】27号)明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、 社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制度信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。公安部会同国家保密局、国家密码管理局和国务院信息办于2004 年
6、 9 月联合出台了 关于信息安全等级保护工作的实施意见(公通字【 2004】66 号) ,2007 年 6 月又联合出台了信息安全等级保护管理办法(公通字【 2007】43 号) 。制定了包括计算机信息系统安全保护等级划分准则 (GB17859-1999) 、 信息系统安全等级保护定级指南、 信息系统安全等级保护级别要求 、 信息系统安全等级保护设施指南、 信息系统安全等级波爱护测评要求等50 多个国标和行标,初步形成了信息安全等级保护标准体系。7 等级保护之十大标基础类:计算机信息系统安全保护等级划分准则 GB 17859-1999 ; 信息系统安全等级保护实施指南 GB 25058-201
7、0 应用类:定级: 信息系统安全保护等级定级指南 GB/T 22240-2008 建设: 信息系统安全等级保护基本要求 GB/T 22239-2008; 信息系统通用安全技术要求 GB/T 20271-2006; 信息系统等级保护安全设计技术要求 GB/T 25070-2010 测评: 信息系统安全等级保护测评要求; 信息系统安全等级保护测评过程指南管理: 信息系统安全管理要求 GB/T 20269-2006 ;信息系统安全工程管理要求 GB/T 20282-2006 8 “三级等保”和“数字化医院评审标准”中的关联项组织管理(共20 分, 14 分与等级保护要求一致)名师资料总结 - - -
8、精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 5 页 - - - - - - - - - 基础设施(共15分,14分与等级保护要求一致)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 5 页 - - - - - - - - - 2.1.3信息安全(共5分, 4 分与等级保护要求一致)汇总: 数字化医院评审与信息安全等级保护相关的项信息安全项,共有32 分三级等保证书:3
9、分;安全管理制度和记录:17 分(其中某些项需要技术措施支撑,包括: IT 资源管理、安全事件管理、运维审计、IT 运维管理);内外网隔离、网络拓扑整改、防火墙、入侵检测:3分;终端防病毒:1 分;数字证书、单点登录、授权管理、应用审计、双因素认证等:3 分;数据库审计:1 分;标准化机房:3 分;容灾与备份:1 分名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 5 页 - - - - - - - - - 我院非常重视信息系统安全,在2011 年就达到了“二级等保”,并在
10、 2013 年 3 月与成都安美勤资讯公司(第三方评测机构)就“三级等保”整改评测达成协议。通过学习信息安全等级保护管理办法,结合我院信息化基础建设情况,在第三方评测机构的协助下,信息科对医院信息网络的电子门禁、防盗报警、网络监控、非法内连等进行了整改。7 月 15日通过了第三方信息安全评测机构的评测,成为成都地区医疗卫生系统首家达到“三级等保”要求的医院。通过这些工作实践,我认为“三级等保”对建设“数字化医院”具有提纲性的作用 ,甚至可以说,达到了“三级等保”,你已经半条腿踏进了“数字化医院”的大门。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 5 页 - - - - - - - - -