某醫(yī)院信息系統(tǒng)等級保護(hù)安全建設(shè)整改方案 (一)

某醫(yī)院信息系統(tǒng)等級保護(hù)安全建設(shè)整改方案

等級保護(hù)安全建設(shè)整改方案

2023年3月

目錄

1方案概述........................................................8

1.2方案設(shè)計目標(biāo)..................................................9

1R方案設(shè)計原則.................................................9

1.4方案設(shè)計根據(jù).................................................10

2現(xiàn)狀分析........................................................12

2.1網(wǎng)絡(luò)架構(gòu)描述...................12

2.2信息系統(tǒng)定級情況................12

2.3安全現(xiàn)狀分析....錯誤!未定義書簽。

2.3.1安全管理現(xiàn)狀…..錯誤!未定義書簽。

2.3.2安全技術(shù)現(xiàn)狀..…錯誤!未定義書簽。

3安全需求分析....................................................14

3.1國家政策需求分析.............................................14

3.2安全指標(biāo)與需求分析...........................................14

4信息安全體系框架設(shè)計............................................16

5管理體系整改方案.................................................17

5.1安全制度制定解決方案.........................................17

5.1.1策略結(jié)構(gòu)描述...............................................17

5.1.2安全制度制定...............................................20

5.1.3滿足指標(biāo)...................................................20

5.2安全制度管懂得決方案........................................21

5.2.1安全制度公布...............................................21

5.2.2安全制度修改與廢止.........................................21

5.2.3安全制度監(jiān)督與檢查.........................................22

5.2.4安全制度管理流程...........................................22

5.2.5滿足指標(biāo)...................................................25

5.3安全教育與培訓(xùn)解決方案......................................26

5.3.1信息安全培訓(xùn)的對象.........................................26

5.3.2信息安全培訓(xùn)的內(nèi)容.........................................27

5.3.3信息安全培訓(xùn)的管理.........................................28

5.3.4滿足指標(biāo)...................................................28

5.4人員安全管懂得決方案.........................................29

5.4.1普通員工安全管理...........................................29

5.4.2安全崗位人員管理...........................................30

5.4.3滿足指標(biāo)...................................................34

5.5第三方人員安全管懂得決方案..................................35

5.5.1第三方人員短期訪問安全管理................................35

557第二方人員長期訪問安全管理.................................36

5.5.3第三方人員訪問申請審批流程信息表..........................38

5.5.4第三方人員訪問申請審批流程圖..............................39

5.5.5滿足指標(biāo)...................................................39

5.6系統(tǒng)建設(shè)安全管懂得決方案....................................40

5.6.1系統(tǒng)安全建設(shè)審批流程.......................................40

5.6.2項(xiàng)目立項(xiàng)安仝管理...........................................41

5.6.3信息安全項(xiàng)目建設(shè)管理.......................................42

5.6.4滿足指標(biāo)...................................................46

5.7等級保護(hù)實(shí)施管懂得決方案....................................47

5.7.1信息系統(tǒng)描述...............................................49

5.7.2等級指標(biāo)選擇...............................................54

5.7.3安全評估與白測評...........................................57

5.7.4方案與規(guī)劃.................................................61

5.7.5建設(shè)整改...................................................63

5.7.6運(yùn)維.......................................................67

5.7.7測評準(zhǔn)備...................................................70

5.7.8外部測評...................................................72

5.7.9滿足指標(biāo).......................................................................................................73

5.8軟件開發(fā)安全管懂得決方案....................................74

5.8.1軟件安全需求管理......................................................................................74

5.8.2軟件設(shè)計安全管理......................................................................................75

5.8.3軟件開發(fā)過程安全管理.............................................................................78

5.8.4軟件保護(hù)安全管理......................................................................................81

5.8.5軟件管理的安全管理.................................................................................82

5.8.6軟件系統(tǒng)安全審計管理.............................................................................82

5.8.7滿足指標(biāo)......................................................................................................83

5.9安全事件處置與應(yīng)急解決方案..................................83

5.9.1安全事件預(yù)警與分級.................................................................................83

5.9.2安全事件處理..............................................................................................87

5.9.3安全事件通報..............................................................................................91

5.9.4應(yīng)急響應(yīng)流程..............................................................................................92

5.9.5應(yīng)急預(yù)案的制定.........................................................................................92

5.9.6滿足指標(biāo)....................................................................................................101

5.10日常安全運(yùn)維管懂得決方案...................................102

5.10.1運(yùn)維管理................................................................................................102

5.10.2介質(zhì)管理................................................................................................103

5.10.3惡意代碼管理........................................................................................105

5.10.4變更管理管理........................................................................................106

5.10.5備份與恢復(fù)管理....................................................................................106

5.10.6設(shè)備管理管理........................................................................................109

5.10.7網(wǎng)絡(luò)安全管理........................................................................................112

5.10.8系統(tǒng)安全管理........................................................................................114

5.10.9滿足指標(biāo)................................................................................................117

5.11安全組織機(jī)構(gòu)設(shè)置解決方案...................................121

5.11.1安全組織總、體架構(gòu)...............................................................................121

5.11.2滿足指標(biāo)................................................................................................124

5.12安全溝通與合作解決方案.....................................125

5.12.1溝通與合作的分類........................................125

5.12.2風(fēng)險管理不一致階段中的溝通與合作.......................127

5.12.3滿足指標(biāo)................................................127

5.13定期風(fēng)險評估解決方案.......................................128

5.13.1評估方式................................................128

5.13.2評估內(nèi)容................................................129

5.13.3評估流程................................................130

5.13.4滿足指標(biāo)................................................131

6技術(shù)體系整改方案................................................132

6.1總體部署說明................................................132

6.2邊界訪問操縱解決方案.......................................135

6.2.1需求分析..................................................135

6.2.2方案設(shè)計..................................................135

6.2.3方案效果..................................................137

6.2.4滿足指標(biāo)..................................................138

6.3邊界入侵防御解決方案.......................................139

63.1需求分析..................................................139

6.3.2方案設(shè)計..................................................140

6.3.3方案效果..................................................143

6.3.4滿足指標(biāo)..................................................144

6.4網(wǎng)關(guān)防病毒解決方案.........................................144

6.4.1需求分析..................................................144

6.4.2方案設(shè)計..................................................145

6.4.3方窠效果..................................................146

6.4.4滿足指標(biāo)..................................................146

6.5網(wǎng)絡(luò)安全檢測解決方案.......................................147

6.5.1需求分析..................................................147

6.5.2方案設(shè)計..................................................148

6.5.3方案效果.149

6.5.4滿足指標(biāo).151

6.6網(wǎng)絡(luò)安全審計解決方案.......................................152

6.6.1需求分析..................................................152

6.6.2方案設(shè)計..................................................153

6.6.3方案效果.................................................158

6.6.4滿足指標(biāo)..................................................161

6.7WAF解決方案...............................................163

6.7.1需求分析..................................................163

6.7.2方案設(shè)計..................................................164

6.7.3方案效果..................................................164

6.7.4滿足指標(biāo)..................................................165

6.8惡意代碼防護(hù)解決方案.......................................165

6.8.1需求分析..................................................165

6.8.2方案設(shè)計..................................................167

6.8.3方窠效果..................................................168

6.8.4滿足指標(biāo)..................................................170

6.9終端安仝管懂得決方案.......................................172

6.9.1需求分析..................................................172

6.9.2方案設(shè)計..................................................173

6.9.3方案效果..................................................181

6.9.4滿足指標(biāo)..................................................184

6.10漏洞掃描解決方案...........................................185

6.10.1需求分析................................................185

6.10.2方案設(shè)計................................................186

6.10.3方案效果................................................190

6.10.4滿足指標(biāo)................................................195

6.11應(yīng)用監(jiān)控解決方案...........................................196

6.11.1需求分析................................................196

6.11.2方案設(shè)計................................................196

6.11.3方案效果................................................198

6.11.4滿足指標(biāo)................................................199

6.12數(shù)據(jù)備份與恢復(fù)解決方案.........................................................................201

6.12.1需求分析...............................................201

6.12.2方案設(shè)計................................................201

6.12.3滿足指標(biāo)................................................209

6.13PKI/CA身份認(rèn)證解決方案........................................................................210

6.13.1需求分析................................................210

6.13.2方案設(shè)計................................................210

6.13.3方案效果................................................216

673.4滿足指標(biāo).............................................216

6.14安全加固解決方案.....................................................................................219

6.14.1安全加固范圍及方法確定..................................219

6.14.2安全加固流程............................................219

6.14.3安全加固步驟............................................222

6.14.4安全加固內(nèi)容............................................223

6.14.5使用安仝操作系統(tǒng)........................................228

6.14.6使用安全數(shù)據(jù)庫管理系統(tǒng)..................................231

6.14.7使用操作系統(tǒng)核心加固系統(tǒng)................................234

6.14.8應(yīng)用系統(tǒng)開發(fā)優(yōu)化........................................235

6.14.9滿足指標(biāo)................................................237

6.15安全管理中心解決方案.............................................................................246

6.15.1需求分析................................................246

6.15.2方案設(shè)計................................................247

6.15.3方案效果................................................262

6.15.4滿足指標(biāo)................................................264

7技術(shù)體系符合性分析.......................................................................................266

7.1物理安全....................................................................................................266

7.2網(wǎng)絡(luò)安全....................................................269

7.3主機(jī)安全....................................................273

7.4應(yīng)用安全....................................................277

7.5數(shù)據(jù)安全與各份恢復(fù).....................................281

1方案概述

1.1背景

醫(yī)院是?個信息與技術(shù)密集型的行業(yè)，其計算機(jī)網(wǎng)絡(luò)是i個完善的辦公網(wǎng)絡(luò)

系統(tǒng)，作為一個現(xiàn)代化的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)，除了要滿足高效的內(nèi)部自動化辦公需求

以外,還應(yīng)對外界的通訊保證暢通。結(jié)合醫(yī)院復(fù)雜的HIS.RIS.PACS等應(yīng)用系統(tǒng)，

要求網(wǎng)絡(luò)務(wù)必能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務(wù)的傳輸要求，因此在這樣的

網(wǎng)絡(luò)上應(yīng)運(yùn)用多種高性能設(shè)備與先進(jìn)技術(shù)來保證系統(tǒng)的正常運(yùn)作與穩(wěn)固的效率。

同時醫(yī)院的網(wǎng)絡(luò)系統(tǒng)連接著Internet、醫(yī)保網(wǎng)與高校等，訪問人員比較復(fù)雜，

因此如何保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。在日新月異的現(xiàn)代化社

會進(jìn)程中，計算機(jī)網(wǎng)絡(luò)幾乎延伸到了世界每一個角落，它不停的改變著我們的工

作生活方式與思維方式，但是，計算機(jī)信息網(wǎng)絡(luò)安全的脆弱性與易受攻擊性是不

容忽視的。由于網(wǎng)絡(luò)設(shè)備、計算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞與管

理體制上的不嚴(yán)密，都會使計算機(jī)網(wǎng)絡(luò)受到威脅。我們能夠想象一下，關(guān)于一個

需要高速信息傳達(dá)的現(xiàn)代化醫(yī)院，假如遭到致命攻擊，會給社會造成多大的影響。

為了保障我國關(guān)鍵基礎(chǔ)設(shè)施與信息的安全，結(jié)合我國的基本國情，制定了等

級保護(hù)制度。并將等級保護(hù)制度作為國家信息安全保障工作的基本制度、基本國

策，促進(jìn)信息化、保護(hù)國家信息安全的根本保障。而針對醫(yī)療衛(wèi)生行業(yè)，衛(wèi)生部

于2011年11月分別公布《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保

護(hù)工作的通知》（衛(wèi)辦綜函（2011）1126號），衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息

安全等級保護(hù)工作的指導(dǎo)意見》的通知（衛(wèi)辦發(fā)（2011）85號），85號文規(guī)定了

要緊工作內(nèi)容：

1.定級備案（規(guī)定了定級范圍及級別）

2.建設(shè)與整改（規(guī)定了二級（含）以上系統(tǒng)需進(jìn)行差距分析與整改）

3.等級測評（規(guī)定了三級（含）以上需進(jìn)行等保測評）

4.宣傳培訓(xùn)（規(guī)定了各類衛(wèi)生機(jī)構(gòu)需進(jìn)行信息安全培訓(xùn)，提高安全意識）

5.監(jiān)督檢查（規(guī)定了信息化工作領(lǐng)導(dǎo)小組對各醫(yī)療機(jī)構(gòu)等級保護(hù)工作進(jìn)行

督導(dǎo)）

全面開展等級保護(hù)建設(shè)，對醫(yī)院特別是三級甲等醫(yī)院的信息化建設(shè)提出了更

高的要求，其核心業(yè)務(wù)信息系統(tǒng)的建設(shè)應(yīng)按照不低于等級保護(hù)三級的標(biāo)準(zhǔn)進(jìn)行。

XX醫(yī)院是北京市衛(wèi)生局直屬三級甲等醫(yī)院、北京大學(xué)教學(xué)醫(yī)院、中法友好

合作醫(yī)院、中國科學(xué)院心理研究所臨床心理學(xué)教學(xué)醫(yī)院、北京市心理危機(jī)研究與

干預(yù)中心、北京市心理援助熱線、世界衛(wèi)生組織心理危機(jī)預(yù)防研究與培訓(xùn)合作中

心、北京市?？漆t(yī)師培訓(xùn)基地、國家藥物臨床試驗(yàn)機(jī)構(gòu)，作為北京三級甲等受療

機(jī)構(gòu)，其核心HIS系統(tǒng)與EMR系統(tǒng)的正常運(yùn)行至關(guān)重要，因此在信息安全建設(shè)

過程中參照國家等級保護(hù)有關(guān)標(biāo)準(zhǔn)，利于醫(yī)院自身進(jìn)行安全體系化建設(shè)，并最終

利干業(yè)務(wù)的開展°

1.2方案設(shè)計目標(biāo)

本次XX醫(yī)院核心業(yè)務(wù)系統(tǒng)等級保護(hù)安全建設(shè)的要緊目標(biāo)是：

按照等級保護(hù)要求，結(jié)合實(shí)際業(yè)務(wù)系統(tǒng)，對XX醫(yī)院核心業(yè)務(wù)系統(tǒng)進(jìn)行充分

調(diào)研及全面分析，將XX醫(yī)院核心業(yè)務(wù)系統(tǒng)系統(tǒng)建設(shè)成為一個及滿足業(yè)務(wù)需要,

又符合等級保護(hù)三級系統(tǒng)要求的業(yè)務(wù)平臺。

建設(shè)一套符合國家政策要求、覆蓋全面、重點(diǎn)突出、持續(xù)運(yùn)行的信息安全保

障體系，達(dá)到國內(nèi)一流的信息安全保障水平，支撐與保障信息系統(tǒng)與業(yè)務(wù)的安全

穩(wěn)固運(yùn)行。該體系覆蓋信息系統(tǒng)安全所要求的各項(xiàng)內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特

性與進(jìn)展戰(zhàn)略，滿足XX醫(yī)院信息安全要求。

1.3方案設(shè)計原則

“全面保障”原貝!：信息安全風(fēng)險的操縱需要多角度、多層次，從各個環(huán)節(jié)

入手，全面的保障。

“整體規(guī)劃，分步實(shí)施”原則：對信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實(shí)施,

逐步建立完善的信息安全體系。

“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”原則：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、

同步建設(shè)、同步運(yùn)行，在任何一個環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害。

“適度安全”原見：沒有絕對的安全，安全與易用性是矛盾的，需要做到適

度安全，找到安全與易用性的平衡點(diǎn)。

“內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時,

加強(qiáng)規(guī)范內(nèi)部人員行為與訪問操縱、監(jiān)控與審計能力。

“標(biāo)準(zhǔn)化”原則：管理要規(guī)范化、標(biāo)準(zhǔn)化，以保證在能源行業(yè)龐大而多層次

的組織體系中有效的操縱風(fēng)險。

“技術(shù)與管理并重”原則：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在使

用安全技術(shù)與產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度與操

作規(guī)程，全面提高安全管理水平。

1.4方案設(shè)計根據(jù)

本方案的設(shè)計要緊根據(jù)下列等級保護(hù)政策：

■公安部、國家保密局、國際密碼管理局、國務(wù)院信息化工作辦公室

聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字(2004)

66號)

■公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室

制定的《信息安全等級保護(hù)管理辦法》(公通字(2007)43號)

■公安部頒發(fā)的《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指

導(dǎo)意見》(公信安(2009)1429號)

■公安部《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)與開展等級測評

工作的通知》(公信安(2010)303號)

■本方案的設(shè)計要緊根據(jù)如下等級保護(hù)標(biāo)準(zhǔn):

■《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T

22239-2008)

■《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》(GB/T

25070-2010)

本方案還參考了如下一些政策與標(biāo)準(zhǔn)：

■《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T

22240-2008)

■《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》

■《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》

■《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》

■《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)

■《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)

■《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)

■《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2(X)6)

■《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)

■《信息安全技術(shù)服務(wù)器技術(shù)要求》(GB/T21028-2007)

■《信息安全技術(shù)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T

671-2006)

■《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006)

■《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)

■GB/T22080-2008/ISG/IEC27001:2005《信息技術(shù)安全技術(shù)信息安

全管理體系要求》

■IATF《信息保障技術(shù)框架》

2現(xiàn)狀分析

2.1網(wǎng)絡(luò)架構(gòu)描述

XX醫(yī)院網(wǎng)絡(luò)架構(gòu)要緊由終端安全域、安全設(shè)備運(yùn)維區(qū)、互聯(lián)網(wǎng)DMZ區(qū)、

業(yè)務(wù)服務(wù)器區(qū)等安全域構(gòu)成

系統(tǒng)使用的安全產(chǎn)品清單:

序號設(shè)備名稱型號數(shù)量

1防火墻XX2

2安全網(wǎng)關(guān)XX1

3入侵檢測系統(tǒng)XX1

4漏洞掃描系統(tǒng)XX1

5補(bǔ)丁分發(fā)系統(tǒng)XX1

6信息安全綜合審計監(jiān)控系統(tǒng)XX1

7寬帶信息安全(上網(wǎng)行為)管理系統(tǒng)XX1

8綜合網(wǎng)絡(luò)安全管理系統(tǒng)XX1

9互聯(lián)網(wǎng)帶寬管理系統(tǒng)XX1

10網(wǎng)絡(luò)防病毒系統(tǒng)XX1

已經(jīng)部署的安全產(chǎn)品除網(wǎng)絡(luò)防病毒系統(tǒng)外，其他產(chǎn)品均購置于四年前，不管

從性能、功能上已經(jīng)不能習(xí)慣當(dāng)今的安全要求，本次建設(shè)將予以更換。

2.2信息系統(tǒng)定級情況

XX醫(yī)院核心業(yè)務(wù)系統(tǒng)是醫(yī)院信息系統(tǒng)(HospitalInformationSystem,

HIS)與電子病歷系統(tǒng)(ElectronicMedicalRecord,EMR)。目前已經(jīng)完成系統(tǒng)定級，

最終確定北京XX醫(yī)院核心業(yè)務(wù)信息系統(tǒng)安全保護(hù)等級為第三級。

HIS系統(tǒng)由北京XX數(shù)字醫(yī)療系統(tǒng)有限公司研制開發(fā)，2002年11月開始分期

實(shí)施到我院。由計算機(jī)網(wǎng)絡(luò)中心負(fù)責(zé)組織實(shí)施、運(yùn)行管理與保護(hù)工作。本系統(tǒng)是

基于計算機(jī)網(wǎng)絡(luò)、按照一定的應(yīng)用目標(biāo)與規(guī)則對醫(yī)院臨床及管理業(yè)務(wù)信息進(jìn)行采

集、加工、存儲、傳輸、檢索與服務(wù)的人機(jī)系統(tǒng)。整個網(wǎng)絡(luò)主干千兆，百兆到桌

面，為兩層星型結(jié)構(gòu)。該系統(tǒng)承載著全院人、財、物的行政管理與有關(guān)門、急診

病人及住院病人的醫(yī)療事務(wù)處理業(yè)務(wù)，要緊包含門診掛號、電子醫(yī)囑與處方、計

價收費(fèi)、藥房藥庫管理、住院病人管理、檢驗(yàn)檢查信息管理、病案管理、衛(wèi)生統(tǒng)

計、物資與固定資產(chǎn)管理等二十幾個緊密耦合的子系統(tǒng)。各子系統(tǒng)務(wù)必協(xié)同運(yùn)行,

支持醫(yī)院臨床診療、科研教學(xué)、經(jīng)營決策等方方面面的日常業(yè)務(wù)與管理工作，是

一體化的信息系統(tǒng)。

電子病歷系統(tǒng)(ElectronicMedicalRecord,EMR)以服務(wù)臨床業(yè)務(wù)工作開展

為核心，為全院醫(yī)務(wù)人員、業(yè)務(wù)管理人員、院級領(lǐng)導(dǎo)提供流程化、信息化、自動

化、智能化的臨床業(yè)務(wù)綜合管理平臺。目前醫(yī)院所使用的電子病歷系統(tǒng)為2011

年引進(jìn)的，XX公司開發(fā)的C-S架構(gòu)的結(jié)構(gòu)化的電子病歷系統(tǒng)(TP-EMR)。該系統(tǒng)

基于.NET多層體系結(jié)構(gòu)開發(fā)平臺，使用集中式數(shù)據(jù)庫ORACLE10G、分布式數(shù)據(jù)

庫ACCESS與XML技術(shù)相結(jié)合，完成臨床數(shù)據(jù)的錄入、傳輸、交換、存儲與處理。

目前電子病歷系統(tǒng)的組織實(shí)施、管理保護(hù)、安全防護(hù)均由計算機(jī)中心管理。

3安全需求分析

3.1國家政策需求分析

2007年公安部等四部委聯(lián)合出臺了《信息安全等級保護(hù)管理辦法》，該文件

是在開展信息系統(tǒng)安全等級保護(hù)基礎(chǔ)調(diào)查工作與信息安全等級保護(hù)試點(diǎn)工作基

礎(chǔ)上，由四部委共同會簽印發(fā)的重要管埋規(guī)范，要緊內(nèi)容包含信息安全等級保護(hù)

制度的基本內(nèi)容、流程及工作要求，信息系統(tǒng)定級、備案、安全建設(shè)整改、等級

測評的實(shí)施與管理，信息安全產(chǎn)品與測評機(jī)構(gòu)選擇等，為開展信息安全等級保護(hù)

工作提供了規(guī)范保障。

2009年，在全國信息系統(tǒng)安全等級保護(hù)定級工作基礎(chǔ)上，公安部乂印發(fā)了

《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》，開始部署開展信

息系統(tǒng)等級保護(hù)安全建設(shè)整改工作。2009年下半年公安部組織各部委與各行業(yè)

開展了信息安全等級保護(hù)安全建設(shè)整改工作的集中培訓(xùn)，明確了我國信息安全等

級保護(hù)安全建設(shè)整改工作的工作目標(biāo)、工作對象、工作內(nèi)容與要求，并對具體的

工作流程與工作方法提出了指導(dǎo)意見。要求各行業(yè)利用三年時間，通過組織開展

信息安全等級保護(hù)安全管理制度建設(shè)、技術(shù)措施建設(shè)與等級測評等三項(xiàng)重點(diǎn)工作,

落實(shí)等級保護(hù)制度的各項(xiàng)要求。

衛(wèi)生部于2011年11月分別公布《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息

安全等級保護(hù)工作的通知》(衛(wèi)辦綜函(2011)1126號)，衛(wèi)生部關(guān)于印發(fā)《衛(wèi)

生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》的通知(衛(wèi)辦發(fā)(2011)85號)。要

求醫(yī)療衛(wèi)生行業(yè)全面開展等級保護(hù)建設(shè)。

3.2安全指標(biāo)與需求分析

xx醫(yī)院核心業(yè)務(wù)系統(tǒng)的安全建設(shè)核心需求即滿足等級保護(hù)的有關(guān)要求，因

此將以滿足等級保護(hù)指標(biāo)為目標(biāo)。根據(jù)定級結(jié)果，整體按三級來管理與建設(shè)。那

么，能夠確定需要滿足的等級保護(hù)指標(biāo)如下：

單位級安全指標(biāo)(三級)

數(shù)據(jù)安全

安全管理機(jī)構(gòu)人員安全管理安全管理制度網(wǎng)絡(luò)安全物理安全系統(tǒng)迄維管理系燒建設(shè)管理

及備份恢復(fù)

即雙點(diǎn)數(shù)量操雙點(diǎn)數(shù)最排雙點(diǎn)數(shù)用操縱點(diǎn)數(shù)量操縱點(diǎn)itfit操縱點(diǎn)數(shù)用操縱點(diǎn)數(shù)最世織點(diǎn)數(shù)量

安全意識教管理制

慟位設(shè)置4\\備份與恢復(fù)4安全審計4電磁防護(hù)3安全密件處置6安全方案設(shè)計5

育與培訓(xùn)度

評審與邊界完整性備份與恢復(fù)管安全服務(wù)商選

溝通與合作5人員考核32數(shù)據(jù)保您性22電力供應(yīng)453

修訂檢查理擇

制定與題總代碼防防盜竊與防

人員加備3人員離崗35數(shù)據(jù)完招性226變更管理，1測試驗(yàn)收5

公布范破壞

惡意代碼防范產(chǎn)，采購與使

審核與檢有4人員錄用4訪問操縱3防火344

管理川

外都人員訪

授權(quán)與審批12結(jié)構(gòu)安全7防靜電2環(huán)境管理等依測評1

問管理

監(jiān)控與安全管

入停防意防青擊3工程班施3

23理中心

防木與防潮4介質(zhì)管理€外包軟件開發(fā)4

俎濕血愫縱1密碼管理1系統(tǒng)備案3

物理訪問操

4設(shè)備管理5系統(tǒng)定級1

縱

物理位優(yōu)的

2陷絡(luò)安全管理S系統(tǒng)交付5

選擇

自行軟件開發(fā)

系統(tǒng)安全管理70

(5)

應(yīng)急預(yù)案管理5

資產(chǎn)管理4

201611825326240

總計214

4信息安全體系框架設(shè)計

xx醫(yī)院核心業(yè)務(wù)系統(tǒng)安全體系框架分為技術(shù)體系與管理管理體系兩部分。

其中：

?技術(shù)體系參考《設(shè)計技術(shù)要求》，分為計算環(huán)境安全、邊界安全、通信

網(wǎng)絡(luò)安全與安全管理中心四部分。同時滿足《基本要求》中物理安全、

網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全與數(shù)據(jù)安全等方面技術(shù)指標(biāo)。

?安全管理體系分為安全組織、安全策略、安全建設(shè)與安全運(yùn)維四部分。

5管理體系整改方案

5.1安全制度制定解決方案

安全制度是指導(dǎo)xx醫(yī)院核心業(yè)務(wù)系統(tǒng)保護(hù)管理工作的基本根據(jù)，安全管理與保護(hù)管

理人員務(wù)必認(rèn)真制定的制度，并根據(jù)工作實(shí)際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程與

安全制度實(shí)施細(xì)則，做好安全保護(hù)管理工作。

安全制定的適用范圍是XX醫(yī)院核心業(yè)務(wù)系統(tǒng)拼有的、操縱與管理的所有信息系統(tǒng)、

數(shù)據(jù)與網(wǎng)絡(luò)環(huán)境，適用于屬于XX醫(yī)院核心業(yè)務(wù)系統(tǒng)范圍內(nèi)的所有部門。對人員的適用范

圍包含所有與XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的各方面有關(guān)聯(lián)的人員，它適用于全部應(yīng)用XX醫(yī)院

核心業(yè)務(wù)系統(tǒng)的有關(guān)工作人員，全部XX醫(yī)院核心業(yè)務(wù)系統(tǒng)范圍內(nèi)容的保護(hù)人員，集成商，

軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時工，商務(wù)伙伴與使用XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的其他

第三方。

安全策略體系建立的價值在于：

?推進(jìn)信息安全管理體系的建立

■安全策略與制度體系的建設(shè)

■安全組織體系的建設(shè)

■安全運(yùn)作體系的建設(shè)

?規(guī)范信息安全規(guī)劃、采購、建設(shè)、保護(hù)與管理工作，推進(jìn)信息安全的規(guī)范化與制度

化建設(shè)

5.1.1策略結(jié)構(gòu)描述

信息安全策略為信息安全提供管理指導(dǎo)與支持。XX醫(yī)院核心業(yè)務(wù)系統(tǒng)應(yīng)該制定一套清

晰的指導(dǎo)方針，并通過在組織內(nèi)對信息安全策略的公布與保持來證明對信息安全的支持與

承諾。

策略系列文檔結(jié)構(gòu)圖:

A最圖方針

最高方針，綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管

理意圖、支持目標(biāo)與指導(dǎo)原則，信息安全各個方面所應(yīng)遵守的原則方法與指導(dǎo)性策略。

與其它部分的關(guān)系：

所有其它部分都從最高方針引申出來，并遵照最高方針，不與之發(fā)生違背與抵觸。

＞組織機(jī)構(gòu)與人員職責(zé)

安全管理組織機(jī)構(gòu)與人員的安全職責(zé)，包含的安全管理機(jī)構(gòu)組織形式與運(yùn)作方式，機(jī)

構(gòu)與人員的通常責(zé)任與具體責(zé)任。作為機(jī)構(gòu)與員工具體工作時的具體職責(zé)依照，此部分務(wù)

必具有可操作性，而且務(wù)必得到有效推行與實(shí)施的。

與其它部分的關(guān)系：

從最高方針中延伸出來，其具體執(zhí)行與實(shí)施由管理規(guī)定、技術(shù)標(biāo)準(zhǔn)規(guī)范、操作流程與

用戶手冊來落實(shí)。

＞技術(shù)標(biāo)準(zhǔn)與規(guī)范

技術(shù)標(biāo)準(zhǔn)與規(guī)范，包含各個網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)與要緊應(yīng)用程序的應(yīng)遵守的安全

配置與管理的技術(shù)標(biāo)準(zhǔn)與規(guī)范。技術(shù)標(biāo)準(zhǔn)與規(guī)范將作為各個網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)與應(yīng)

用程序的安裝、配置、采購、項(xiàng)目評審、日常安全管理與保護(hù)時務(wù)必遵照的標(biāo)準(zhǔn)，不同意

發(fā)生違背與沖突。

與其它部分的關(guān)系:

向上遵照最高方針，向下延伸到安全操作流程，作為安全操作流程的根據(jù)。

＞管理制度與規(guī)定

各類管理規(guī)定、管理辦法與暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)

遵守的原則方法與指導(dǎo)性策略引HI的具體管理規(guī)定、管理辦法與實(shí)施辦法，是務(wù)必具有可

操作性，而且務(wù)必得到有效推行與實(shí)施的。此部分文檔較多。

與其它部分的關(guān)系：

向上遵照最高方針。向下延伸到用戶簽署的文檔與協(xié)議。用戶協(xié)議務(wù)必遵照管理規(guī)定

與管理辦法，不與之發(fā)生違背。

＞安全操作流程

操作流程，全面規(guī)定要緊業(yè)務(wù)應(yīng)用與事件處理的流程與步驟，與有關(guān)注意事項(xiàng)。作為

具體工作時的具體依照，此部分務(wù)必具有可操作性，而且務(wù)必得到有效推行與實(shí)施的。

與其它部分的關(guān)系：

向上遵照技術(shù)標(biāo)準(zhǔn)與規(guī)范、最高方針。

＞用戶協(xié)議

用戶簽署的文檔與協(xié)議。包含安全管理人員、網(wǎng)絡(luò)與系統(tǒng)管理員的安全責(zé)任書、保密

協(xié)議、安全使用承