医院信息安全等级保护三级建设流程与要点

医院信息安全等级保护三级建设流程与要点

1 背景

随着医院尤其是三级甲等大型医院信息化的迅猛发展，医院信息系统已经深入到医疗的各个环节当中，一旦发生故障将严重影响医疗活动的顺利开展，因此信息安全工作得到了越来越多医院的重视。

信息安全等级保护是国家层面出台的针对信息安全分级保护的制度，其目的是保护重要信息系统的安全，提高信息系统防护能力和应急水平。

为了信息安全等级保护能够更好的在各医院实施，卫生部针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号，此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。根据文件精神，三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。

2 医院信息安全等级保护建设流程

2.1 信息系统定级[1]信息系统定级主要考虑两方面，一是业务信息受到破坏时客体的是谁，二是对于客体的侵害程度如何。两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。

表1

针对三级甲等医院，因门诊量普遍较大，当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊，当发生信息系统瘫痪后会造成大面积患者排队，极易引发群体事件。因此，定义为对“社会秩序、公共利益”造成“严重损害”，即信息安全等级保护定级为第三级。涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。

2.2. 信息系统评审与备案按照等级保护管理办法和定级指南要求，在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。在定级审批过程中，卫生部组织专家进行评审，并出具《审批意见》。

完成评审后，医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》，备案表与报告范例可在“中国信息安全等级保护网”进行下载。最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续，在拿到备案回执和审核结果通知后完成定级备案。

2.3 信息系统安全建设与整改[2]在完成备案后需要开始对信息系统进行合规性建设与整改，主要分为以下几个步骤完成：

2.3.1 等级保护差距分析等级保护的要求整体分为技术与管理两个方面，而技术又可以分为SAG三类，主要包括：

业务信息安全类（S类）:关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改，比如在传输患者数据及费用数据时是否进行了加密传输，在传输过程中如果出现异常能否及时发现等。

系统服务安全类（A类）:关注的是保护系统连续正常的运行，比如机房的电力方面、服务器的负载方面、HIS系统的容错性与资源控制，是否支持单机挂号、就诊、收费、取药，能够在系统服务器瘫痪的情况下保存现有数据，并继续开展诊疗活动，再有就是灾备的建设情况，是否可在系统瘫痪的情况下进行快速恢复。

通用安全保护类（G类）:大多数技术类安全要求都属于此类，属于基础类，如机房的物理安全，网络及主机的访问控制与审计、信息系统的审计等。

管理方面三级等保执行的是管理G3的要求，控制项为154项，医院需要根据自己的管理制度与控制项进行逐一比对，列出不符合项。

技术方面三级等保可进行选择性执行，主要分为G3S3A3、G3S1A3、G3S2A3、G3S3A1、G3S3A2，即G类必须达到三级，A类和S类选择一个达到三级即可。医院可以根据自身的实际情况选择一个标准进行差距分析，最严格的G3S3A3控制项共计136项。

根据管理、技术共计290个控制项医院可进行自行评定得出与等保三级的差距分析。