醫(yī)院落實(shí)國家信息安全等級保護(hù)制度的具體措施

1、醫(yī)院落實(shí)國家信息安全等級保護(hù)制度的具體措施* 醫(yī)院落實(shí)國家信息安全等級保護(hù)制度的具體措施一、信息安全等級保護(hù)信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。在中國，信息安全等級保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級保護(hù)思想的安全工作; 狹義上稱為的一般指信息系統(tǒng)安全等級保護(hù)，是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置的綜合性工作。二

2、、工作目標(biāo)信息系統(tǒng)運(yùn)營使用單位在做好信息系統(tǒng)安全等級保護(hù)定級備案工作基礎(chǔ)上，按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，開展信息安全等級保護(hù)安全建設(shè)整改工作。通過落實(shí)安全責(zé)任制，開展管理制度建設(shè)、技術(shù)措施建設(shè)，落實(shí)等級保護(hù)制度的各項(xiàng)要求，使信息系統(tǒng)安全管理水平明顯提高，安全保護(hù)能力明顯增強(qiáng)，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護(hù)國家安全、社會秩序和公共利益。三、工作內(nèi)容信息系統(tǒng)運(yùn)營使用單位在開展信息安全等級保護(hù)安全建設(shè)整改工作中，應(yīng)按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，堅(jiān)持管理和技術(shù)并重1的原則，將技術(shù)措施和管理措施有機(jī)結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)整體安全保護(hù)能力。我院依據(jù)國家

3、信息安全等級保護(hù)度（ 二級 ） ，落實(shí) 信息安全責(zé)任制，建立并落實(shí)各類安全管理制度，開展人員安全管理、系統(tǒng)建設(shè)管 理和系統(tǒng)運(yùn)維管理等工作，落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)施。四、等級劃分信息安全等級保護(hù)信息安全等級保護(hù)管理辦法規(guī)定，國家信息安全等級保護(hù)堅(jiān)持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的安全保護(hù)等級分為以下五級:第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益

4、造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。2第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。五、安全保護(hù)能力目標(biāo)各級信息系統(tǒng)應(yīng)通過安全建設(shè)達(dá)到以下安全保護(hù)能力目標(biāo):第一級信息系統(tǒng): 經(jīng)過安全建設(shè)整改，信息系統(tǒng)具有抵御一般性攻擊的能力，防范常見計(jì)算機(jī)病毒和惡意代碼危害的能力

5、; 系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)主要功能的能力。第二級信息系統(tǒng): 經(jīng)過安全建設(shè)整改，信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力; 具有檢測常見的攻擊行為，并對安全事件進(jìn)行記錄的能力; 系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。第三級信息系統(tǒng): 經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力; 具有檢測、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力; 具有對安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力; 在系統(tǒng)遭到損害后，具有能夠

6、較快恢復(fù)正常運(yùn)行狀態(tài)的能力; 對于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài); 具有對系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。第四級信息系統(tǒng): 經(jīng)過安全建設(shè)整改，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御敵對勢力有組織的大規(guī)模攻擊的能力，抵抗嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力; 具有檢測、3發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力; 具有對安全事件進(jìn)行快速響應(yīng)處置，并能夠追蹤安全責(zé)任的能力; 在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力 ; 對于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài); 具有對系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中控管的能力。第五級安全保護(hù)能力

7、:（ 略 ）。六、實(shí)施原則信息系統(tǒng)安全等級保護(hù)實(shí)施過程中，遵循以下四條基本原則: 自主保護(hù)原則:信息系統(tǒng)運(yùn)營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級，自行組織實(shí)施安全保護(hù)。重點(diǎn)保護(hù)原則: 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原則: 信息系統(tǒng)在新建、改建、擴(kuò)建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。動態(tài)調(diào)整原則: 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍

8、等條件的變化及其他原因，安全保護(hù)等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級，根據(jù)信息系統(tǒng)安全保護(hù)等級的調(diào)整情況，重新實(shí)施安全保護(hù)。4七、信息安全等級保護(hù)計(jì)劃依據(jù)我院信息等級保護(hù)現(xiàn)狀制定以下原則、計(jì)劃1、 原則 : 遵循重點(diǎn)保護(hù)原則，準(zhǔn)備對我院重點(diǎn)信息系統(tǒng)進(jìn)行保護(hù)，系統(tǒng)有：HIS系統(tǒng)、電子病歷系統(tǒng)、PACS（統(tǒng)、LIS 系統(tǒng)。其他信息系統(tǒng)于以上系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、制度安全同樣適用，因此采用自主保護(hù)原則實(shí)行保護(hù)。2、 計(jì)劃 : 計(jì)劃用三年左右的時間對我院信息系統(tǒng)，按照等級保護(hù)目標(biāo)、內(nèi)容、二級甲等醫(yī)院信息等級保護(hù)要求、實(shí)施原則，實(shí)施信息安全等級保

9、護(hù)制度。2014年年末首先對 HIS 系統(tǒng)進(jìn)行信息等級保護(hù)評測，2015年安排對電子病歷系統(tǒng)進(jìn)行評測，2016年安排對PAC繇統(tǒng)、LIS系統(tǒng)進(jìn)行評測。八、信息安全等級保護(hù)工作實(shí)施措施（ 一 ） 、加強(qiáng)領(lǐng)導(dǎo)設(shè)立以分管院長為核心的信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組辦公室設(shè)在信息科科，由 * 同志兼任主任，* 同志負(fù)責(zé)具體工作。（ 二 ） 、工作步驟及任務(wù)1、做好系統(tǒng)定級工作。定級系統(tǒng)包括 HIS系統(tǒng)、電子病歷系統(tǒng)、PACS（統(tǒng)、LIS 系統(tǒng)。定級標(biāo)準(zhǔn)按二級甲等醫(yī)院和* 公安局要求定級。2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級保護(hù)劃分5定級要求，對信息系統(tǒng)進(jìn)行定級后，將本單位信息系統(tǒng)安全等級保護(hù)備案表信息系統(tǒng)定級報(bào)告和備案電子數(shù)據(jù)報(bào)* 公安局。3、做好系統(tǒng)等級測評工作。完成定級備案后，選擇縣公安局推薦的等級測評機(jī)構(gòu)，對已確定安全保護(hù)等級信息系統(tǒng)，按照國家信息安全等級保護(hù)工作規(guī)范和信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求等國家標(biāo)準(zhǔn)開展等級測評。4