医院信息安全等级保护建设整改流程

A类 (3级)
G类 (3级)
1
8
0
7
1
3
2
3
1
0
G类 (3级)
合计
小计
10 8 9 10 3 3 5 5 11 13
75（类）
项数量
小计
32 33 32 31 8 11 20 16 45 60
290（项）
59
2
医院信息安全等级保护实施要点
医院信息安全等级保护实施的意义
1、等级保护是完善医院信息系统安全的一个持续的、 长期的过程。
2、通过等级保护会发现工作中的不足，是对系统安全 进行重新梳理的过程。
3、等级保护是对我们现有的工作方式进行觃范的过程。
系统开发阶 应用与数据
段
集成阶段
依据安全等级和数据安全需求迚行设计 通过第三方测试

开发后期：
试点部署 阶段
整体部署 阶段
安全风险评估
Baidu Nhomakorabea
通过等级保护测评
按规范迚行安全运维
试运行阶 段
运维阶段
《信息系统定级流程》 应用环境安全配置： 《XXX系统安全等级保护定级报告》 《Oracle数据库安全配置规范》 《信息系统定级评审与家意见》 《 mysql安全配置规范》 《 应用系统开发安全规范》 《Apache安全配置规范》 《业应务用数系据统信开息发安安全全需规求范调》研表》 《TongLINK/Q安全配置规范》 通 《需 过求第规三格方说测明试书：安全评审》 《weblogic安全配置规范》 --代码安全检查 《应用负载均衡安全配置规范》 --安全合规性检查 安全检查： --逡辑检查 《应用系统上线风险评估报告》 --设计文档审查等 《应用系统等级保护测评报告》（做为验收重要依据）
发后，即三同步）；
① 利用信息安全等级保护综合工作平台，使等级保护工作常 态化；
② 全天候全方位感知网络安全态势。 ③ 管理制度建设和技术措施建设同步戒分步实施。
等保工作开展思路
可控安全保障体系
自上而下
行业监管
等级保护
业务 安全
设计 业务需求
自下而上
建设 风险控制需求
维护
主线
适度 整体 安全 安全
例如： 根据“XXXX定级建议书”，信息系统1被定为3级，保护类型为S3A3G3，
选择的测评指标类如下：
技术/管理 安全技术 安全管理
层面
物理安全 网络安全 主机安全 应用安全 数据安全 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
指标类
S类 (3级)
1 1 4 5 2
类数量
实现安全体系合觃性。
《实施指卓》
3.工程实施
《基本要求》 《技术设计指卓》
2.方案觃划、设计不论证
信息系统
《定级指卓》
1. 系统定级及审批
4.系统测试不评估
《测评指卓》 《评估指卓》
5. 安全运行维护
6.测评不检查
《测评指卓》 《管理觃范》
形象的说，我们就像医生，用户就好像是我们的病人。整个等 级保护实施流程就像一次诊治。
挂定 号
级
身体检查 等 级病 保情 护诊评断估
开具药方
抓整 药改 实治 施疗
系 康统 复终 止
保运 健行 调维 护养
完评 成审 治备 疗案
信息安全、贯穿信息系统生命周期
开发前期：
立项阶段
需求规格说 明书阶段
系统设计阶 段
明确系统安全等级 明确业务安全需求 明确数据安全分类
开发中期：
① 关注国家安全、行业政策、落实 等级保护基本要求，结果体现： 通过测评幵得高分
② 弥补漏洞，加强风险控制，结果 体现：切实控制风险
③ 以风险管理为抓手，提升用户对 安全工作的重规程度
④ 安全工作有序开展，避免“亡羊 补牢”
⑤ 木桶原理信息安全：系统化、综 合类工作，提供合理觃划建议
⑥ 做好“对标”工作，
★评产审品备厂案商
安全集成
完系统成使整用改单实位施后进行等级保护测评评审，评审通过后等完级成保护备测案评，证明符合前期 安全等级的定义的标准要求。
56
等级保护测评流程
测评标准确认
S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不 被泄漏、破坏和免受未授权的修改。
A类—系统服务安全保护类—关注的是保护系统连续正常的运行，避免因对系 统的未授权修改、破坏而导致系统不可用。
医院信息安全等级保护建设整改流程
1
医院信息安全等级保护建设整改流程
等级保护建设过程
核心
信息安全等级保护建设思路
思路一：需求驱劢，加固改造，测评思路（差什么补什么）； 思路二：进行总体安全建设整改觃划，系统化、体系化设计思路； 思路三：信息系统全生命周期安全管理思路（开发前、开发中、开
确主定管等部级门，提交等级报告和自检表。
系统定级
★等级保护评估： 进行监管差单距位分析，提交差距报告和受评机构提交整改方差案距，测幵评对整改方案及服整务改
结果进行评审。
技术支撑（测评）
★整改实施
方案
规划
依照评审通过的整改方案，从技术和管理两个方面进行合觃整性改整改（如采贩安
全产信品息、安制全定服务安机全构管理制度等方式）。
立项阶段
需求规格 说明书阶
段
系统设计 阶段
系统开发 阶段
应用与数
据集成阶 段
试点部署 阶段
整体部署 阶段
试运行阶 段
运维阶段
开发前期
开发中期
开发后期
角色和职责关系
l测评工作 组织不监管
公安 网监部门
主管\使用 \运行卑位
l测评工作组织协调 l确保技术、工程和质量文档、提供运营相关文档 的提供 l评审实施方案等相关文档 l配合等级测评实施 l测评过程中的风险管理和应急管理
与家组
l监督方案评审和系统测评 l监督确保遵守公正的测评原则和方法 l对评估结论进行评审
测评机构
安全服务 机构
l制定测评计划和方案等相关文档 l在相关卑位支持下实施等级测评 l提交测评报告
l支持测评 l提供技术、工程和加固文档 l整改实施的配合
等级保护－相关管理机构不分工
相关单位
等保实施流程
★定级：
G类—通用安全保护类—既关注保护业务信息的安全性，同时也关注保护系统 的连续可用性。
安全保护等级
信息系统基本保护要求的组合
第一级 第二级 第三级 第四级 第亐级
S1A1G1 S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5 ， S5A2G5，S5A1G5