醫(yī)院信息系統(tǒng)安全等級保護測評備案實施-最新文檔

1、醫(yī)院信息系統(tǒng)安全等級保護測評備案實施根據(jù)國家信息安全等級保護制度， 醫(yī)院實施了安全等級保 護，闡述了醫(yī)院信息系統(tǒng)等級保護實施過程。 提出要有持續(xù)改進 的理念， 不斷加強安全措施確保醫(yī)院信息系統(tǒng)安全運行， 保障數(shù) 據(jù)安全有效。1 引言 醫(yī)院信息化建設(shè)快速發(fā)展，信息系統(tǒng)應(yīng)用深入到各個環(huán)節(jié)， 信息業(yè)務(wù)系統(tǒng)承載了門診收費、 門診藥房、 住院收費、住院藥房、 醫(yī)保、財務(wù)、門急診醫(yī)生護士站、住院醫(yī)生護士站、電子病歷、 病案首頁、檢驗LIS系統(tǒng)、檢查PACS系統(tǒng)、體檢系統(tǒng)等。保障 重點信息系統(tǒng)的安全， 規(guī)范信息安全等級保護， 完善信息保護機 制，提高信息系統(tǒng)的防護能力和應(yīng)急水平， 有效遏制重大網(wǎng)絡(luò)與 信息安

2、全事件的發(fā)生， 創(chuàng)造良好的信息系統(tǒng)安全運營環(huán)境勢在必 要。根據(jù)衛(wèi)生部印發(fā)的 衛(wèi)生行業(yè)信息安全等級保護工作的指導 意見，衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。 做好信息安全等級保護工作， 對于促進衛(wèi)生信息化健康發(fā)展， 保 障醫(yī)藥衛(wèi)生體制改革， 維護公共利益、 社會秩序和國家安全具有 重要意義。2 確定測評對象與等級 我院是一所二級甲等綜合醫(yī)院，日門診人次1000 人左右，住院日人次400余人。醫(yī)院信息系統(tǒng) HIS、LIS、PACS電子病 歷、體檢等 50 余個系統(tǒng)無縫結(jié)合，信息雙向交流。按照信息 系統(tǒng)安全等級保護定級指南 定級原理， 確定醫(yī)院信息業(yè)務(wù)系統(tǒng) 的安全保護等級為第 2 級，

3、其中業(yè)務(wù)信息安全保護等級為 2 級， 系統(tǒng)服務(wù)安全保護等級為 2 級。2.1 招標比選測評公司 醫(yī)院通過四川警察網(wǎng)了解到四川省獲得信息安全等級保護 測評有資質(zhì)的 5 家公司。醫(yī)院電話通知該 5 家公司，簡單介紹醫(yī) 院信息化情況， 其中有 3 家公司到現(xiàn)場進行調(diào)查， 掌握了信息系 統(tǒng)情況。然后通過招標比選確定一家公司為我院測評安全等級保 護。2.2 測評實施2.2.1 準備階段醫(yī)院填報安全等級保護備案申報表、 安全等級保護定 級報告，確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、審 計管理員、 安全管理員。 醫(yī)院組織相關(guān)人員到市級計算機安全學 會進行安全培訓學習。 確定醫(yī)院信息安全主管人員協(xié)助測評

4、公司 人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研， 提交準備資料。 調(diào)研內(nèi)容涉及 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖、線路鏈接情況、中心機房位置分布情況、應(yīng)用 系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及相應(yīng)的 IP 地 址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。2.2.2 測評主要內(nèi)容 主要針對醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實施測 評，其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用系 統(tǒng)安全、數(shù)據(jù)安全及備份恢復進行 5；安全管理包括安全管理制 度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管 理。2.2.3 測評方式與測評范圍 測評公司綜合采用了現(xiàn)場測評與風險分析方法測評、 單元測 評與整體測

5、評。 單元測評實施過程中采用現(xiàn)場訪談、 檢查和測試 等測評方法。 就各類崗位人員進行訪談， 了解醫(yī)院業(yè)務(wù)運作以及 網(wǎng)絡(luò)運行狀況；查看主機房、應(yīng)用系統(tǒng)軟件、主機操作系統(tǒng)及安 全相關(guān)軟件、數(shù)據(jù)庫管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、 網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用 安全和數(shù)據(jù)安全及備份恢復等技術(shù)類測評任務(wù)， 以及安全管理類 測評任務(wù)；查閱分析文檔、核查安全配置、監(jiān)聽與分析網(wǎng)絡(luò)等檢 查方法查證防火墻、路由器、交換機部署及其配置情況、端口開 放情況等； 測評人員采用手工驗證和工具測試進行漏洞掃描、 系 統(tǒng)滲透測試，檢查系統(tǒng)的安全有效性。整體測評主要應(yīng)用于安全控制間、 層面間和

6、區(qū)域間等三個方 面。主要就是針對同一區(qū)域內(nèi)、 同一層面上或不同層面上的不同 安全控制間存在的安全問題以及不同區(qū)域間的互連互通時的安 全性。醫(yī)院信息系統(tǒng)運用了身份鑒別措施、 軟件容錯機制、 用戶權(quán) 限分組管理、密碼賬戶登錄、數(shù)據(jù)庫表中記錄用戶操作、對重要 事件進行審計并留存記錄。 網(wǎng)絡(luò)邊界處部署防火墻防御入侵， 終 端使用了趨勢網(wǎng)絡(luò)版本防病毒產(chǎn)品， 抵御惡意代碼。 開啟系統(tǒng)審 計日志，制定和實施有效安全管理制度，加強安全管理，降低系 統(tǒng)安全風險。 網(wǎng)絡(luò)進行了有效的區(qū)域劃分， 區(qū)域之間通過訪問控 制列表實現(xiàn)安全控制， 與社保局、 醫(yī)管辦等第三方外聯(lián)區(qū)之間通 過防火墻嚴格限制訪問端口。2.2.5 差

7、距分析與測評整改 通過測評，測評公司寫出測評報告， 提出整改建議。 按照信 息系統(tǒng)安全等級保護基本要求要求 6，測評公司人員根據(jù)醫(yī)院 當前安全管理需要和管理特點， 針對等級保護所要求的安全管理 機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維 管理，從人員、制度、運作、規(guī)范等角度，進行全面的建設(shè)7，提供技術(shù)建設(shè)措施， 落實等級保護制度的各項要求， 就各類人員 進行安全培訓， 提升醫(yī)院信息系統(tǒng)管理的能力。 醫(yī)院分期逐步投 入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等。2.2.6 編制報告，成功備案測評公司編制報告，上報市 XX局備案成功，獲得二級信息 系統(tǒng)備案證書。 二級信息系統(tǒng)， 每兩年進行一次信息安全等級測 評。實施安全等級保護測評備案使醫(yī)院信息系統(tǒng)安全管理水平提 高，安全保護能力增強，有效保障信息化健康發(fā)展。3 結(jié)語網(wǎng)絡(luò)安全問題是一個集技術(shù)、 管理和法規(guī)于一體的長期系統(tǒng) 工程，始終有其動態(tài)性，醫(yī)院需要不斷