医院信息安全等级保护建设方案讲解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
医院信息系统等级保护
建设方案
1.为什么需要等级保护?
1.1 什么是等级保护?
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.2 等级保护的重要性
等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
1.3 国家强制性等保要求
国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。
2. 等级保护实施过程
“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对
系统的依赖程度确定系统的等级。
2.安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全
域划分原则设计系统安全域架构。
3.安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框
架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。
4.确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。
5.评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评
估方法,对系统各层次安全域进行有针对性的等级风险评估。
6.安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评
估结果,设计系统安全技术解决方案。
7.安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,
进行安全管理建设。
通过如上步骤,医院的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。
信息系统实施等级保护的过程如图所示:
图信息系统安全等级保护实施的基本过程
3.等级保护建设依据
在本次等级保护建设技术方案设计中,参考的主要标准如下:
✓《计算机信息系统安全保护等级划分准则》(GB17859-1999)(基础标准)✓《信息系统安全等级保护基本要求》(报批稿)(基线标准)
✓《信息系统安全保护等级定级指南》(国标征求意见稿)(辅助标准)
✓《信息安全等级保护实施指南》(报批稿)(辅助标准)
✓《信息系统安全等级保护测评准则》(送审稿)(辅助标准)
✓《电子政务信息安全等级保护实施指南(试行)》
✓《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
✓《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
✓《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
✓《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
✓《信息安全技术终端计算机系统安全等级技术要求》(GA/T671)
✓《信息系统安全安全管理要求》(GB/T20269)
✓《信息系统安全工程管理要求》(GB/T20282)
✓《信息安全技术服务器技术要求》
4. 医院等级保护解决方案
4.1系统定级
通过分析医院业务系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度,以及为了更大强度的保证业务系统的安全,我们把XX医院的业务系统按照等级保护的三级标准进行设计,安全解决方案也将依据等级保护三级的具体要求来编写。
4.2安全域设计
根据等级保护相关工作提出的要求,特制定本方案,方案中对医院整个网络实施分区分域的安全域划分,在技术体系方案设计中会详述。根据安全域划分原则设计系统安全域架构,为以有针对性的进行技术加固的控制措施提供有力依据,切实提高业务系统的安全性、可靠性和可用性,为完成核心业务信息系统信息安全等级保护整改工作提供建议。
4.3 风险差距分析
针对医院业务系统进行风险差距分析,风险差距分析依据《信息系统安全等级保护基本要求》三级要求包括技术部分和管理部分,如下图:
现根据等级保护三级的具体标准要求,就目前客户现状,制定对应的解决方案。
4.4整体解决方案
4.4.1技术体系方案设计
此次医院的安全建设包含了网络安全防护、系统安全防护、应用安全防护及安全管理系统。具体部署方案如下图所示。