医疗卫生行业信息安全等级保护设计方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应用 安全 和数 据 安全等 相关安 全控制项 ,安全 计算 环境 的建 设通过 主机 核心防护系统 、系统和数据库审计、P / A系统 、 KIC
网页 防 篡 改 以及 系统 和应 用 的 自身 安 全 控 制 实 现 。 安 全 运 维 体 系 主要 包 括 两 方 面 :
2方 案 设 计
行 的控制体系框 架 ,同时通 过 “ 一个安全 管理中心”的安全管 理模式 , 建立满足等级保护整体安全控制要求的安全保障体系。
安全技术体系主要包 括以下方面:
1 )物理安 全Leabharlann Baidu境 建设 ,物理安 全主要包 括 : 物理 位置 的
选 择 、物 理 访 问控 制 、防 盗 窃 和 防 破 坏 、防 雷 击 、防火 、 防水
络安全审计 等安全产品实 现,满足通信 网络安全 控制措施 的要
1需 求 分 析
与发 达国家 相比,我国卫 生行业信息安全管 理领域 的工
求 。通信网络安 全主要关注信息在 通信过程 中的机密性 、完整
性 及 可用 性 。基 础 网络 设 施 安 全 主 要 针对 网络 基 础 设 施 需 要 明
安 全保障体系。
( 责编 程斌 )
[0 1 8 )指出,依 据 国家信息安全等级保护 制度 ,遵循 2 1] 5号
相关标准规范,全面开展 信息安全等级保 护定级备案 、建设
和防潮 、防静电、温湿度控制 、电力供应和 电磁防护等防控节 点 ; )安全 区域边界建 设,根据 《 2 安全设计技术要求 》三重防 护的思想和控制要求 ,并结合 《 基本要求 》的相关安全控制项 ,
医疗卫生行业信息安全等级保护设计方案
(网神 信 息技 术 ( 京 )股 份 有 限公 司 北
随着卫 生业务对信息系统 的依 赖程度越来越强 ,信息安 全问题 日益突现 。在这种 情况下,各医疗卫生机构对信息安 全保障工作给予了高度重 视,各方 面的信息安全保障工作都 在逐步推进。 《 生行 业信息安全等 级保 护工作的指导意见》( 卫 卫办发
信 息安全必须保证信 息的机密性、完整性和可用性 ,同时
1 息系统工 程管理 ,在信 息系统 工程管 理中,主要包 )信 括系统设计与采购、系统 开发与实 施 、系统测试验收与交付三
方面内容 ;2 )信息 系统运维管理 ,按照等级保护要求 , 日 常运 维管理 主要从环境管理 、资产管理 、网络安全管理 、系统安全 管理 、防病毒管理 、监控管理和安全管理 中心、密码管理 、变
源就可访 问和使用 ; )可控性 :能够控制使用信息资源的人 4 或主体 的使用方 式 ; ) 5 可保证性 : 也称 “ 抗抵赖性” ,是传 统 的抗抵赖需求在信息社会的延伸,是建立信任 的基础。 医疗卫生行业安全保 障体系框架通 过医疗卫 生信息网络 向安全保护对象提供保 护, 采用“ 构化 ” 结 的分析和控制方法,
1 机密性 : ) 使信 息和网络资源不泄露给未授权的用户或 程序,且不 被其 利用 ; ) 2 完整性 : 护信息 和网络资源的准 保 备和完整 ; )可用性 : 3 已授权实体-旦需要访 问信 息和网络资
3结束 语
网神全面解读 国家 医疗 卫生 行业等 保建 设条 例 ,成 功提 出适 用于卫生行 业 的等 级保 护建 设 和整体 方案 。通 过 医疗卫 生信 息网络 安 全保 护特点 和需求 ,采用 “ 构 化 ”的分析 和 结 控 制方法 ,横 向把 保护对 象分成 安全 计算 环境 、安 全 区域 边
全 具 有 重 要 意义 。
安全区域边界的建设 通过 防火墙、入侵检测、入侵 防御 、带宽
管理等 安全产 品实现 ,满足信息系统对 安全控制措 施 的要求 ;
3 )安全通信网络建设 ,根据 《 安全 设计技术要求 》结合 《 基本 要求》的相关安 全控制项 ,安全 通信 网络 的建设通过 VP N、网
横 向把保 护对 象分成安全 计算环境 、安全 区域边界和安全 通 行 网络 ; 向把控制体系分成安全 管理 、安全技术和安全 运 纵
界 和安全 通行 网络 ;纵 向把 控制体 系分 成安 全管 理 、安 全技
术 和安全 运行 的控制体系框 架 , 同时通过 “ 一个 安全管 理中心” 的安全 管理 模 式,建立了满足等级保 护整体 安全 控制要 求 的
确 自身的安全 防护能力和措施 ,重 点落 实网络设备 自身 的安 全
作还处于初步阶段,信息安全 意识 相对落后,没有成 立专 门
的安全管理组织 ,也没有建立规 范的、 成套 的安全管理体系, 不能与卫 生行业信息化建设 水平相匹配 ,信息安全 防护水平
亟 待 提 高。
设 置 ;4 )安全 计算环境 建设 ,结合 《 本要求》的主机 安全、 基
整改和等级测评等工作 ,明确信息安全 保障重点 ,落 实信息 安全责任 ,建 立信息安全 等级保护工作 长效机制,切实提高 卫生行业信息安全 防护能力 、隐患发现能力 、应急处置能力。 做好信息安全等级保 护工作 , 对于促 进卫生信息化健康发展 ,
保障医药卫 生体制改革,维护公共利益 、社会秩 序和国家安
更 管 理 、备 份与 恢 复管 理 九个 方 面进 行 考 虑 。
包括可控性和可保证性 ,这是 信 息 安全建设的重要 目 。医疗 标 卫生行业信息安全 的建设必须以保证信 息的机密、完整和可用 为安全保障战略目标 ,同时信 息系统等级保护的整体要求要达 到国家重要信息系统的相关保护要求。
网页 防 篡 改 以及 系统 和应 用 的 自身 安 全 控 制 实 现 。 安 全 运 维 体 系 主要 包 括 两 方 面 :
2方 案 设 计
行 的控制体系框 架 ,同时通 过 “ 一个安全 管理中心”的安全管 理模式 , 建立满足等级保护整体安全控制要求的安全保障体系。
安全技术体系主要包 括以下方面:
1 )物理安 全Leabharlann Baidu境 建设 ,物理安 全主要包 括 : 物理 位置 的
选 择 、物 理 访 问控 制 、防 盗 窃 和 防 破 坏 、防 雷 击 、防火 、 防水
络安全审计 等安全产品实 现,满足通信 网络安全 控制措施 的要
1需 求 分 析
与发 达国家 相比,我国卫 生行业信息安全管 理领域 的工
求 。通信网络安 全主要关注信息在 通信过程 中的机密性 、完整
性 及 可用 性 。基 础 网络 设 施 安 全 主 要 针对 网络 基 础 设 施 需 要 明
安 全保障体系。
( 责编 程斌 )
[0 1 8 )指出,依 据 国家信息安全等级保护 制度 ,遵循 2 1] 5号
相关标准规范,全面开展 信息安全等级保 护定级备案 、建设
和防潮 、防静电、温湿度控制 、电力供应和 电磁防护等防控节 点 ; )安全 区域边界建 设,根据 《 2 安全设计技术要求 》三重防 护的思想和控制要求 ,并结合 《 基本要求 》的相关安全控制项 ,
医疗卫生行业信息安全等级保护设计方案
(网神 信 息技 术 ( 京 )股 份 有 限公 司 北
随着卫 生业务对信息系统 的依 赖程度越来越强 ,信息安 全问题 日益突现 。在这种 情况下,各医疗卫生机构对信息安 全保障工作给予了高度重 视,各方 面的信息安全保障工作都 在逐步推进。 《 生行 业信息安全等 级保 护工作的指导意见》( 卫 卫办发
信 息安全必须保证信 息的机密性、完整性和可用性 ,同时
1 息系统工 程管理 ,在信 息系统 工程管 理中,主要包 )信 括系统设计与采购、系统 开发与实 施 、系统测试验收与交付三
方面内容 ;2 )信息 系统运维管理 ,按照等级保护要求 , 日 常运 维管理 主要从环境管理 、资产管理 、网络安全管理 、系统安全 管理 、防病毒管理 、监控管理和安全管理 中心、密码管理 、变
源就可访 问和使用 ; )可控性 :能够控制使用信息资源的人 4 或主体 的使用方 式 ; ) 5 可保证性 : 也称 “ 抗抵赖性” ,是传 统 的抗抵赖需求在信息社会的延伸,是建立信任 的基础。 医疗卫生行业安全保 障体系框架通 过医疗卫 生信息网络 向安全保护对象提供保 护, 采用“ 构化 ” 结 的分析和控制方法,
1 机密性 : ) 使信 息和网络资源不泄露给未授权的用户或 程序,且不 被其 利用 ; ) 2 完整性 : 护信息 和网络资源的准 保 备和完整 ; )可用性 : 3 已授权实体-旦需要访 问信 息和网络资
3结束 语
网神全面解读 国家 医疗 卫生 行业等 保建 设条 例 ,成 功提 出适 用于卫生行 业 的等 级保 护建 设 和整体 方案 。通 过 医疗卫 生信 息网络 安 全保 护特点 和需求 ,采用 “ 构 化 ”的分析 和 结 控 制方法 ,横 向把 保护对 象分成 安全 计算 环境 、安 全 区域 边
全 具 有 重 要 意义 。
安全区域边界的建设 通过 防火墙、入侵检测、入侵 防御 、带宽
管理等 安全产 品实现 ,满足信息系统对 安全控制措 施 的要求 ;
3 )安全通信网络建设 ,根据 《 安全 设计技术要求 》结合 《 基本 要求》的相关安 全控制项 ,安全 通信 网络 的建设通过 VP N、网
横 向把保 护对 象分成安全 计算环境 、安全 区域边界和安全 通 行 网络 ; 向把控制体系分成安全 管理 、安全技术和安全 运 纵
界 和安全 通行 网络 ;纵 向把 控制体 系分 成安 全管 理 、安 全技
术 和安全 运行 的控制体系框 架 , 同时通过 “ 一个 安全管 理中心” 的安全 管理 模 式,建立了满足等级保 护整体 安全 控制要 求 的
确 自身的安全 防护能力和措施 ,重 点落 实网络设备 自身 的安 全
作还处于初步阶段,信息安全 意识 相对落后,没有成 立专 门
的安全管理组织 ,也没有建立规 范的、 成套 的安全管理体系, 不能与卫 生行业信息化建设 水平相匹配 ,信息安全 防护水平
亟 待 提 高。
设 置 ;4 )安全 计算环境 建设 ,结合 《 本要求》的主机 安全、 基
整改和等级测评等工作 ,明确信息安全 保障重点 ,落 实信息 安全责任 ,建 立信息安全 等级保护工作 长效机制,切实提高 卫生行业信息安全 防护能力 、隐患发现能力 、应急处置能力。 做好信息安全等级保 护工作 , 对于促 进卫生信息化健康发展 ,
保障医药卫 生体制改革,维护公共利益 、社会秩 序和国家安
更 管 理 、备 份与 恢 复管 理 九个 方 面进 行 考 虑 。
包括可控性和可保证性 ,这是 信 息 安全建设的重要 目 。医疗 标 卫生行业信息安全 的建设必须以保证信 息的机密、完整和可用 为安全保障战略目标 ,同时信 息系统等级保护的整体要求要达 到国家重要信息系统的相关保护要求。