您的位置:360文档中心› 医院信息系统网络安全等级保护三级建设项目建议书

医院信息系统网络安全等级保护三级建设项目建议书

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

医院信息系统信息安全等级保护三级建

设项目安全方案

目录

1前言 (5)

1.1项目建设目的 (5)

1.2设计原则 (6)

1.3设计范围 (9)

1.4参考标准 (9)

1.4.1信息系统安全等级保护标准和规范 (9)

1.4.2其他信息安全标准和规范 (11)

1.5其他说明 (11)

2医院信息化现状 (12)

2.1医院业务系统现状 (12)

2.2医院信息化建设特点 (18)

2.3医院容易出现的安全现象 (18)

2.4医院容易出现的安全认识误区 (20)

2.5现状总结 (20)

3医院信息系统模型 (24)

3.1技术模型 (25)

3.2管理模型 (26)

3.3应用模型 (28)

4定级建议 (33)

4.1确定定级对象 (34)

4.2确定系统定级 (35)

4.2.1医院综合管理信息系统(HIS) (35)

4.2.2临床信息系统(CIS) (37)

4.2.3医学影像存储与传输系统(PACS) (37)

4.2.4检验管理信息系统(LIS) (37)

4.2.5医院门户网站 (38)

4.2.6医院办公自动化系统(OA) (39)

4.3定级对象与安全区域对应关系 (41)

4.4系统安全域定级建议 (42)

4.5系统安全域的安全策略 (43)

4.5.1安全技术策略 (43)

4.5.2安全管理策略 (46)

4.6符合等级保护要求的安全防护需求 (48)

4.6.1物理层安全需求 (49)

4.6.2网络层安全需求 (50)

4.6.3主机层安全需求 (51)

4.6.4应用层安全需求 (52)

5安全保障体系解决方案 (53)

5.1信息安全保障体系等级保护设计思路 (53)

5.1.1构建分域的安全体系 (53)

5.1.2构建纵深的防御体系 (53)

5.1.3保证一致的安全强度 (54)

5.1.4实现集中的安全管理 (54)

5.2安全保障体系设计原则 (54)

5.3安全保障体系总体框架 (56)

5.3.1安全管理体系设计 (57)

5.3.2安全技术体系设计 (58)

5.3.3服务支持体系 (60)

5.4医院信息系统安全保障方案 (61)

5.4.1医院网络安全域划分 (61)

5.4.2医院信息系统网络安全规划设计 (65)

5.4.3医院信息系统网络边界安全建设方案 (65)

5.4.4医院信息系统主机安全建设方案 (73)

5.4.5医院信息系统应用安全建设方案(可选) (79)

5.4.6医院信息系统数据安全及备份恢复安全建设方案(可选) (81)

5.4.7安全管理中心建设方案 (83)

5.4.8医院信息系统物理安全建设方案 (91)

5.5医院信息系统安全管理方案 (92)

5.5.1安全管理机构规划 (92)

5.5.2安全管理制度规划 (103)

5.5.3人员安全规划 (106)

5.5.4系统建设规划 (108)

5.5.5系统运维规划 (114)

6医院安全保障体系建设安全设备需求 (122)

6.1大型医院(1000及1200床) (122)

6.2中型医院(600-800床) (124)

6.3小型医院(200-400床) (126)

6.4社康中心 (129)

1前言

1.1项目建设目的

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。

医疗机构作为涉及国计民生的重要组成部分,其安全保障事关社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。

从外部环境来看,信息安全已经成为近几年信息化建设的热点话题,如何保障信息系统的安全已经成为国家关注的焦点,从27号文件开始,国家陆续出台了一系列的安全政策和标准,提出了以“适度安全、分级保护”为核心的等级保护建设思路,公安部、保密局、国密办以及国信办陆续出台政策,要求国内重要的信息系统应按照等级保护的办法和要求,进行相关安全防护系统的建设,并于2007年启动了等级保护的定级备案工作。等级保护针对信息安全系统建设的过程,提出了具体的管理办法和实施指南,并对信息安全系统提出了技术和管理方面的建设要求。

医疗机构作为涉及国计民生的重要组成部分,其安全保障事关社会稳定,必

须按照27号文件要求,全面实施信息安全等级保护。

目前我市重要信息系统等级保护工作目前已全面开展,为贯彻落实广东省重要信息系统安全等级保护定级工作电视电话会议精神,进一步加快我市卫生体系重要信息系统定级备案工作进度,指导各单位更好地落实等级保护要求,医学信息中心依照深公(网)字〔2007〕4《关于开展重要信息系统安全等级保护定级工作的通知》和《广东省深化信息安全等级保护工作方案》的要求,开展了一系列等级保护培训和调研工作,提出针对医疗机构信息安全等级保护工作的基本思路和具体要求,指导深圳市医疗机构的信息安全保障工作,全面展开深圳市医院信息系统网络安全等级保护三级建设项目工作。

1.2设计原则

等级保护是国家信息安全建设的重要政策,其核心是对信息系统分等级、按标准进行建设、管理和监督。

27号文指出“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。”

对于深圳市医疗机构信息安全建设,应当以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务信息系统,在方案设计中应当遵循以下的原则:

适度安全原则

相关文档
最新文档