医院落实国家信息安全等级保护制度的具体措施

1 医院落实国家信息安全等级保护制度的具体措施医院落实国家信息安全等级保护制度的具体措施 一 信息安全等级保护一 信息安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别 进行保护的一种工作 在中国 美国等很多国家都存在的一种信息 安全领域的工作 在中国 信息安全等级保护广义上为涉及到该工 作的标准 产品 系统 信息等均依据等级保护思想的安全工作 狭义上称为的一般指信息系统安全等级保护 是指对国家安全 法 人和其他组织及公民的专有信息以及公开信息和存储 传输 处理 这些信息的信息系统分等级实行安全保护 对信息系统中使用的信 息安全产品实行按等级管理 对信息系统中发生的信息安全事件分 等级响应 处置的综合性工作 二 工作目标二 工作目标 信息系统运营使用单位在做好信息系统安全等级保护定级备案 工作基础上 按照国家有关规定和标准规范要求 开展信息安全等 级保护安全建设整改工作 通过落实安全责任制 开展管理制度建 设 技术措施建设 落实等级保护制度的各项要求 使信息系统安 全管理水平明显提高 安全保护能力明显增强 安全隐患和安全事 故明显减少 有效保障信息化健康发展 维护国家安全 社会秩序 和公共利益 三 工作内容三 工作内容 信息系统运营使用单位在开展信息安全等级保护安全建设整改 2 工作中 应按照国家有关规定和标准规范要求 坚持管理和技术并 重的原则 将技术措施和管理措施有机结合 建立信息系统综合防 护体系 提高信息系统整体安全保护能力 我院依据 国家信息安 全等级保护度 二级 落实信息安全责任制 建立并落实各类安 全管理制度 开展人员安全管理 系统建设管理和系统运维管理等 工作 落实物理安全 网络安全 主机安全 应用安全和数据安全物理安全 网络安全 主机安全 应用安全和数据安全 等安全保护技术施 四 等级划分四 等级划分 信息安全等级保护信息安全等级保护管理办法 规定 国家信 息安全等级保护坚持自主定级 自主保护的原则 信息系统的安全 保护等级应当根据信息系统在国家安全 经济建设 社会生活中的 重要程度 信息系统遭到破坏后对国家安全 社会秩序 公共利益 以及公民 法人和其他组织的合法权益的危害程度等因素确定 信息系统的安全保护等级分为以下五级 第一级 信息系统受到破坏后 会对公民 法人和其他组织的 合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 信息系统受到破坏后 会对公民 法人和其他组织的 合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但 不损 害国家安全 第三级 信息系统受到破坏后 会对社会秩序和公共利益造成 严重损害 或者对国家安全造成损害 第四级 信息系统受到破坏后 会对社会秩序和公共利益造成 3 特别严重损害 或者对国家安全造成严重损害 第五级 信息系统受到破坏后 会对国家安全造成特别严重损 害 五 安全保护能力目标五 安全保护能力目标 各级信息系统应通过安全建设达到以下安全保护能力目标 第一级信息系统 第一级信息系统 经过安全建设整改 信息系统具有抵御一般 性攻击的能力 防范常见计算机病毒和恶意代码危害的能力 系统 遭到损害后 具有恢复系统主要功能的能力 第二级信息系统 第二级信息系统 经过安全建设整改 信息系统具有抵御小规 模 较弱强度恶意攻击的能力 抵抗一般的自然灾害的能力 防范 一般性计算机病毒和恶意代码危害的能力 具有检测常见的攻击行 为 并对安全事件进行记录的能力 系统遭到损害后 具有恢复系 统正常运行状态的能力 第三级信息系统 第三级信息系统 经过安全建设整改 信息系统在统一的安全 保护策略下具有抵御大规模 较强恶意攻击的能力 抵抗较为严重 的自然灾害的能力 防范计算机病毒和恶意代码危害的能力 具有 检测 发现 报警 记录入侵行为的能力 具有对安全事件进行响 应处置 并能够追踪安全责任的能力 在系统遭到损害后 具有能 够较快恢复正常运行状态的能力 对于服务保障性要求高的系统 应能快速恢复正常运行状态 具有对系统资源 用户 安全机制等 进行集中控管的能力 第四级信息系统 第四级信息系统 经过安全建设整改 信息系统在统一的安全 4 保护策略下具有抵御敌对势力有组织的大规模攻击的能力 抵抗严 重的自然灾害的能力 防范计算机病毒和恶意代码危害的能力 具 有检测 发现 报警 记录入侵行为的能力 具有对安全事件进行 快速响应处置 并能够追踪安全责任的能力 在系统遭到损害后 具有能够较快恢复正常运行状态的能力 对于服务保障性要求高的 系统 应能立即恢复正常运行状态 具有对系统资源 用户 安全 机制等进行集中控管的能力 第五级安全保护能力 略 六 实施原则六 实施原则 信息系统安全等级保护实施过程中 遵循以下四条基本原则 自主保护原则 自主保护原则 信息系统运营 使用单位及其主管部门按照国家相 关法规和标准 自主确定信息系统的安全保护等级 自行组织实施 安全保护 重点保护原则 重点保护原则 根据信息系统的重要程度 业务特点 通过划分不 同安全保护等级的信息系统 实现不同强度的安全保护 集中资源 优先保护涉及核心业务或关键信息资产的信息系统 同步建设原则 同步建设原则 信息系统在新建 改建 扩建时应当同步规划和设 计安全方案 投入一定比例的资金建设信息安全设施 保障信息安 全与信息化建设相适应 动态调整原则 动态调整原则 要跟踪信息系统的变化情况 调整安全保护措施 由于信息系统的应用类型 范围等条件的变化及其他原因 安全保 护等级需要变更的 应当根据等级保护的管理规范和技术标准的要 5 求 重新确定信息系统的安全保护等级 根据信息系统安全保护等 级的调整情况 重新实施安全保护 七 信息安全等级保护计划七 信息安全等级保护计划 依据我院信息等级保护现状制定以下原则 计划 1 原则 遵循重点保护原则 准备对我院重点信息系统进 行保护 系统有 HIS 系统 电子病历系统 PACS 系 统 LIS 系统 其他信息系统于以上系统在物理安全 网络安全 制度安全同样适用 因此采用自主保护原则 实行保护 2 计划 计划用三年左右的时间对我院信息系统 按照等 级保护目标 内容 二级甲等医院信息等级保护要求 实施原则 实施信息安全等级保护制度 2014 年年末 首先对 HIS 系统进行信息等级保护评测 2015 年安排 对电子病历系统进行评测 2016 年安排对 PACS 系统 LIS 系统进行评测 八 信息安全等级保护工作实施措施八 信息安全等级保护工作实施措施 一 一 加强领导 加强领导 设立以分管院长为核心的信息安全领导小组 领导小组办公室 设在信息科科 由 同志兼任主任 同志负责具体工作 二 二 工作步骤及任务 工作步骤及任务 1 做好系统定级工作 定级系统包括 HIS 系统 电子病历系统 PACS 系统 LIS 系统 定级标准按二级甲等医院和 公安局要求 6 定级 2 做好系统备案工作 按照市卫生系统信息安全等级保护划分 定级要求 对信息系统进行定级后 将本单位 信息系统安全等级 保护备案表 信息系统定级报告 和备案电子数据报 公安局 3 做好系统等级测评工作 完成定级备案后 选择县公安局推 荐的等级测评机构 对已确定安全保护等级信息系统 按照国家信 息 安全等级保护工作规范和 信息安全技术信息系统安全等级保 护基本要求 等国家标准开