信息安全等级保护制度-六安第二人民医院ppt课件

,开展我省医疗卫生行业等级保护工作的思考,蒋凡中国科学技术大学信息安全测评中心,主要内容,信息安全等级保护制度,信息安全等级保护制度,信息安全等级保护制度的提出,信息安全等级保护制度,信息安全等级保护制度的提出,信息安全等级保护标准体系,标准体系,GB/T22240-2008信息安全保护等级定级指南,GB/T20269-2006信息安全技术信息系统管理要求,GB/T20271-2006信息安全技术信息系统通用技术要求,GB/T22239-2008信息安全保护等级保护基本要求,标准体系,标准体系,GB/T20282-2006信息安全技术信息系统安全工程管理要求,定级要素与安全保护等级的关系,定级流程,确定定级对象,确定业务信息安全受到破坏时所侵害的客体,确定系统服务安全受到破坏时所侵害的客体,综合评定对客体的侵害程度,业务信息安全等级,综合评定对客体的侵害程度,系统服务安全等级,定级对象的安全保护等级,信息安全等级保护制度,体系化管理方法-管理的体系化要素,系统地识别和管理组织所应用的过程，特别是过程间的相互作用。,又称戴明环，是持续改进的优秀方法。,管理活动中，管理者应该具备的职责要求。,包含人员分配、资金保证、物品配备等方面。,不断对管理活动进行检查，发现问题及时采取改进措施，从而实现持续改进。,PDCA模型,体系化需求,构建等级保护的体系化实施模型在原有等级保护工作的基础上，使过程方法和PDCA模型更加完善和清晰化补充其他体系化要素，形成完整的信息安全等级保护体系化实施方法,体系化实施流程,1、实施指南建设思路,2、等保二、三级系统建设,4、等级保护持续改进,3、等保自查与测评,实施指南基本实施过程,系统定级,安全规划设计,安全实施/实现,安全运行管理,系统终止,局部调整,重大变更,主要内容,信息安全等级保护制度,医院的业务内网拓朴图,医疗信息系统特点,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。医院复杂的HIS、RIS、PACS等应用系统，要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。医院的网络系统连接着Internet、医保网和高校等，访问人员比较复杂，所以如何保证医院网络系统中的数据安全问题尤为重要。,卫生部、中央编办、国家发展改革委、财政部和人力资源社会保障部制定的关于公立医院改革试点的指导意见，在加强公立医院管理一款中强调：“.，充分利用现有资源逐步建立医院之间、上级医院和基层医疗卫生服务机构之间、医院和公共卫生机构、医保经办机构之间的互联互通机制，构建便捷、高效的医院信息平台。”,医疗信息系统特点,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件关于开展全国重要信息系统安全等级保护定级工作的通知和信息安全等级保护管理办法，要求涉及国计民生的信息系统应达到一定的安全等级，根据文件精神和等级划分的原则，医院信息系统构筑至少应达到二级或以上防护要求。,医疗系统应重点关注的安全问题,医疗卫生等级保护实施流程规划,第一步：“评估定级，定义安全需求”。通过风险评估、系统定级、等级评估等服务组件识别系统的安全风险，确定系统的安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。第二步：“体系建设，定义安全需求”。通过体系设计制定等级方案，进行安全策略体系、安全组织体系、安全技术体系和安全运维体系建设，满足评估定级阶段形成的安全需求，实现按需防御。第三步：“安全运维，确保持续安全”。通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件，从事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满足持续性按需防御的安全需求。,医疗卫生等级保护实施流程规划,3,安全运维，确保持续安全,1,评估定级，定义安全需求,系统划分及定级建议,原则上，卫生行业信息安全保护等级不超三级，以下重要信息系统保护等级不低于第三级：（1）跨市全省联网运行的信息系统；（2）省、市卫生信息平台，新农合、血液管理、社区妇幼管理、卫生监督、药品招标采购等省级应用系统和数据中心。（3）三级医院的核心业务信息系统；（4）其他经过信息安全技术专家委员会评定为三级的系统。,卫生行业信息系统分类建议,卫生行业信息系统定级建议,定级建议,备案方法,信息系统安全保护等级为第二级（含）以上的，由信息系统运营使用单位，在系统投入运行后（新建系统）或确定等级后（已运行的系统）30日内，填写信息系统安全等级保护定级报告和信息系统安全等级保护备案表办理备案手续。已完成定级备案单位要参照本实施指南动态调整安全等级，未完成定级备案单位要抓紧到属地公安部门备案。省直医疗卫生单位信息系统和全省统一联网或跨市联网运行的信息系统，经省卫生厅审核后，统一报省公安厅备案；各市卫生局及下属单位、辖区内医疗卫生单位报属地市级公安机关备案。各市卫生局应将辖区内信息系统备案情况于每年末汇总后向卫生厅报备。,医疗卫生等级保护实施流程规划,3,安全运维，确保持续安全,1,评估定级，定义安全需求,P阶段-安全规划阶段,D阶段-实施运行阶段-现状,D阶段-实施运行阶段-安全保障体系方案,在医疗机构信息系统中除了具有HIS系统、LIS系统、PACS系统等二级系统外，还有医院网站、OA系统的一级系统，那么在不同等级互联时，我们可采用的策略有：策略一：将所有系统放在一个安全域中，按照最高级别(三级和二级共存的情况，按照高级别的三级防护)进行防护；这样做的好处是所有系统都满足各自系统的防护需求；策略二：将所有三级系统放在一个安全域中，利用访问控制手段与其他系统进行隔离，并按照三级要求进行防护；将所有二级和一级系统分别放在一个安全域中，利用访问控制手段与其他系统进行隔离，并按照要求进行防护。两种策略各有优劣，根据医疗机构信息系统建设发展的具体情况进行选择。,C阶段-安全检查,接受来自公安机关的检查，三级系统每年至少检查一次。,选择认证的等级保护测评机构，三级系统每年至少测评一次。,三级系统至少每年自查一次。信息系统安全状况、安全保护制度及措施的落实情况。,自查,等级测评,检查,A阶段-处置改进阶段,开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。,1.查找差距,各单位应按照安全建设整改方案，完善安全保护措施，配备符合标准规范的安全产品，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和安全管理体系，有效保障信息安全。,3.落实整改,系统建设完成后,从省公安厅选择认定的测评机构目录中选择等级测评机构，对第二级（含）以上的信息系统定期开展等级测评。,4.测评验收,医疗卫生等级保护实施流程规划,3,安全运维，确保持续安全,1,评估定级，定义安全需求,安全运维，确保持续安全,如果安全管理有漏洞，其他安全措施投入再大也无济于事，因此，应加强信息安全从业人员队伍建设，明确医疗机构信息安全岗、人员，对其进行有针对性的培训。,主要内容,信息安全等级保护制度,总结,一、安全方案：设计合规性、适用性并重的安全方案。二、安全实施：采用标准、成熟、先进的等级保护实施方法开展安全实施。三、风险评估与测评：引入风险评估方法，保障集成实施过程中风险可识别可