XXX信息系统网络安全等级保护建设方案(二级)

XXX信息系统

网络安全等级保护建设方案

2020年7月

1、技术方案

1.1建设背景

面对我国信息安全的严峻形势，自2006年以来，以公安部、工信部、国家保密局等单位牵头，在全国范围内陆续发布了等级保护、分级保护等信息安全政策和执行标准。2014年2月27日，中央网络安全与信息化领导小组成立，该领导小组着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。

2017年《中华人民共和国网络安全法》颁布实施，该法案明确规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；对网络运营者不履行规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

2019年5月13日，公安部正式发布了网络安全等级保护制度2.0标准，并于2019年12月1日开始按照2.0标准实施，该标准是在网络安全领域又一规范性条例，在操作性、指导性和强制性力度更强。

XXXX目前的主要业务系统是XX系统、XX系统等系统，系统涉及到参保结算人员的各方面信息，按照《网络安全法》和等保2.0标准对被定义成国家关键信息基础设施的网络、业务系统需要按照等级保护标准建设，XXXX需要结合实际情况，对照国家及相关监管单位要求，理清安全现状，并对现有的信息系统按照等保2.0标准二级安全要求建设。

1.2建设依据

本次方案设计严格按照国家有关网络安全等级保护、信息安全保密方面的各项标准、规范、指南和管理部分要求，紧紧围绕国家信息安全发展战略进行规划设计。

国家相关文件及法律政策：

《网络安全等级保护条例》

《中华人民共和国网络安全法》

《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）

《国务院关于印发“十三五”国家信息化规划的通知》（国发[2016]73号）《“健康中国2030”规划纲要》

《“十三五”深化医药卫生体制改革规划》

《“十三五”全国人口健康信息化发展规划》

《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》

《国务院办公厅关于促进”互联网+医疗健康“发展的意见》

《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）

《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函[2011]1126号）

卫生部《基于健康档案与区域卫生信息平台的妇幼保健信息系统技术解决方案（征求意见稿）》；

《卫生部办公厅关于印发2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目管理方案的通知》；

《2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目技术方案》等。

安徽省相关文件及法律政策：

《安徽省医疗卫生服务体系规划（2016-2020年）》

《安徽省人民政府关于印发安徽省“十三五”卫生与健康规划的通知》

《安徽省人民政府办公厅关于全面推进县域医疗共同体建设的意见》

《2018年全省卫生计生规划与信息工作要点》

《安徽省人民政府办公厅关于促进“互联网+医疗健康”发展的实施意见》国信安标委组织制定的国家标准：

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）

《网络安全等级保护实施指南》（GB/T25058-2019）

《网络安全等级保护定级指南》（GB/T22240-2019）

《网络安全等级保护基本要求》（GB/T22239-2019）

《网络安全等级保护设计技术要求》（GB/T25070-2019）

《网络安全等级保护测评要求》（GB/T28448-2019）

《网络安全等级保护测评过程指南》（GB/T28449-2018）

1.3建设目标

依照《中华人民共和国网络安全法》、《网络安全等级保护基本要求》等标准，对XXXX信息系统的网络和应用系统进行等级保护定级，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统在统一安全策略管控下，保护敏感资源的能力。

通过技术体系和管理体系建设，使得系统的等级保护建设既可以满足等级保护的相关要求，又能够全方面为系统提供持续的安全保护。

本项目建设将完成以下目标：

1、建立完善的安全技术防护体系。根据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）的有关规定要求，建立满足等级保护要求的安全技术防护体系，在满足安全合规基础上实现网络安全持续保护。

2、建议用户建立符合实际的安全管理组织机构，健全信息系统安全管理制度。根据网络安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。

3、制定网络安全应急预案。应急预案是网络安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进行。

4、安全培训：为信息化技术人员提供信息安全相关专业技术知识培训和全员安全意识培训。

5、完善用户整体的网络安全规划，建立服务+技术+管理的整体安全体系，让安全规划更全面，安全更持续有效。

6、在数据容灾备份方面，搭建一套数据容灾备份体系，为用户的应用系统提供数据备份、数据容灾、数据高可用等功能，保护系统的操作系统、数据库、应用、文件、虚拟机等数据，在遭遇数据灾难时，能完整、准确、快速地还原数据，最大化降低用户的损失。