医院信息安全等级保护建设方案讲解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
医院信息系统等级保护
建设方案
1. 为什么需要等级保护?
1.1什么是等级保护?
信息安全等级保护是指对国家秘密信息、
法人和其他组织及公民的专有信息以及公开信
息和存储、传输、处理这些信息的信息系统分等级实行安全保护, 安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.2等级保护的重要性
2. 等级保护实施过程
等级化安全体系 堤依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业
务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法, 面、重点突出、节约成本、持续运行的安全防御体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:
1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对
系统的依赖程度确定系统的等级。
2.安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全
对信息系统中使用的信息
等级保护不仅是对信息安全产品或系统的检测、 评估以及定级,更重要的是,等级保护 是围绕信息安全保障全过程的一项基础性的管理制度, 是一项基础性和制度性的工作。通过
将等级化方法和安全体系方法有效结合,
设计一套等级化的信息安全保障体系,
是适合我国
国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。 信息安全等级保护的核
心是对信息安全分等级、按标准进行建设、管理和监督。
在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要 性不容忽视。便捷、开放的网络环境,是医疗行业信息化建设的基础,
在数据传递和共享的
过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。然而, 我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
1.3国家强制性等保要求
国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于
2007年联合
颁布了 861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息 安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级, 根据文件
精神和等级划分的原则,医疗信息系统构筑至少应达到
二级或以上防护要求。
帮助构建一套覆盖全
3.
4. 5.
6.
7.域划分原则设计系统安全域架构。
安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。
确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。
评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。
安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评
估结果,设计系统安全技术解决方案。
安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,
进行安全管理建设。
通过如上步骤,医院的网络信息系统可以形成整体的等级化的安全保障体系, 同时根据安全技术建设和安全管理建设,保障系统整体的安全。
信息系统实施等级保护的过程如图所示:
局部调整
重大变更
3.等级保护建设依据
在本次等级保护建设技术方案设计中,参考的主要标准如下:
《计算机信息系统安全保护等级划分准则》(GB17859-1999 )(基础标准)
《信息系统安全等级保护基本要求》(报批稿)(基线标准)
《信息系统安全保护等级定级指南》(国标征求意见稿)(辅助标准)
《信息安全等级保护实施指南》(报批稿)(辅助标准)
《信息系统安全等级保护测评准则》(送审稿)(辅助标准)
《电子政务信息安全等级保护实施指南(试行)》
《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006 )
《信息安全技术网络基础安全技术要求》(GB/T20270-2006 )
《信息安全技术操作系统安全技术要求》(GB/T20272-2006 )
《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006 )
《信息安全技术终端计算机系统安全等级技术要求》(GA/T671 )
《信息系统安全安全管理要求》(GB/T20269 )
《信息系统安全工程管理要求》(GB/T20282 )
《信息安全技术服务器技术要求》
4.医院等级保护解决方案
4.1系统定级
通过分析医院业务系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程
度,以及为了更大强度的保证业务系统的安全,我们把XX医院的业务系统按照等级保护
的三级标准进行设计,安全解决方案也将依据等级保护三级的具体要求来编写。
4.2安全域设计
根据等级保护相关工作提出的要求,特制定本方案,方案中对医院整个网络实施分区分域的安全域划分,在技术体系方案设计中会详述。根据安全域划分原则设计系统安全域架构,为以有针对性的进行技术加固的控制措施提供有力依据,切实提高业务系统的安全性、可靠性和可用性,为完成核心业务信息系统信息安全等级保护整改工作提供建议。
4.3风险差距分析
针对医院业务系统进行风险差距分析,风险差距分析依据 要求》三级要求包括技术部分和管理部分,如下图:
现根据等级保护三级的具体标准要求,就目前客户现状,制定对应的解决方案。
4.4整体解决方案 441技术体系方案设计
此次医院的安全建设包含了网络安全防护、 系统安全防护、应用安全防护及安全管理系 统。具体部署方案如下图所示。
《信息系统安全等级保护基本