好文档 - 专业文书写作范文服务资料分享网站

(完整版)医院信息安全等级保护建设方案

天下 分享 时间: 加入收藏 我要投稿 点赞

医院信息系统等级保护

建设方案

- 1 -

1.为什么需要等级保护?

1.1 什么是等级保护?

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

1.2 等级保护的重要性

等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。

在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。

1.3 国家强制性等保要求

国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。 2. 等级保护实施过程

“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。

根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行: 1. 系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对

系统的依赖程度确定系统的等级。

2. 安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全

- 2 -

域划分原则设计系统安全域架构。

3. 安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框

架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。

4. 确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。 5. 评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评

估方法,对系统各层次安全域进行有针对性的等级风险评估。

6. 安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评

估结果,设计系统安全技术解决方案。

7. 安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,

进行安全管理建设。

通过如上步骤,医院的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。

信息系统实施等级保护的过程如图所示:

系统定级、备案 安全规划设计 重大变更 安全实施 局部调整 安全运维 系统终止 图 信息系统安全等级保护实施的基本过程

- 3 -

3.等级保护建设依据

在本次等级保护建设技术方案设计中,参考的主要标准如下:

? 《计算机信息系统安全保护等级划分准则》(GB17859-1999)(基础标准) ? 《信息系统安全等级保护基本要求》(报批稿) (基线标准) ? 《信息系统安全保护等级定级指南》(国标征求意见稿) (辅助标准) ? 《信息安全等级保护实施指南》(报批稿) (辅助标准) ? 《信息系统安全等级保护 测评准则》(送审稿) (辅助标准) ? 《电子政务信息安全等级保护实施指南(试行)》

? 《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006) ? 《信息安全技术 网络基础安全技术要求》(GB/T20270-2006) ? 《信息安全技术 操作系统安全技术要求》(GB/T20272-2006) ? 《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006) ? 《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671) ? 《信息系统安全安全管理要求》(GB/T20269) ? 《信息系统安全工程管理要求》(GB/T20282) ? 《信息安全技术 服务器技术要求》

4. 医院等级保护解决方案

4.1系统定级

通过分析医院业务系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度,以及为了更大强度的保证业务系统的安全,我们把XX医院的业务系统按照等级保护的三级标准进行设计,安全解决方案也将依据等级保护三级的具体要求来编写。 4.2安全域设计

根据等级保护相关工作提出的要求,特制定本方案,方案中对医院整个网络实施分区分域的安全域划分,在技术体系方案设计中会详述。根据安全域划分原则设计系统安全域架构,为以有针对性的进行技术加固的控制措施提供有力依据,切实提高业务系统的安全性、可靠性和可用性,为完成核心业务信息系统信息安全等级保护整改工作提供建议。 4.3 风险差距分析

- 4 -

针对医院业务系统进行风险差距分析,风险差距分析依据《信息系统安全等级保护基本要求》三级要求包括技术部分和管理部分,如下图:

现根据等级保护三级的具体标准要求,就目前客户现状,制定对应的解决方案。 4.4整体解决方案 4.4.1技术体系方案设计

此次医院的安全建设包含了网络安全防护、系统安全防护、应用安全防护及安全管理系统。具体部署方案如下图所示。

- 5 -

(完整版)医院信息安全等级保护建设方案

医院信息系统等级保护建设方案-1-1.为什么需要等级保护?1.1什么是等级保护?信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这
推荐度:
点击下载文档文档为doc格式
70ond43pj39mzf00wrvr0a0pl1szli00hew
领取福利

微信扫码领取福利

微信扫码分享