医院的信息化建设信息安全等级保护方案.doc

医院的信息化建设信息安全等级保护方案1.1 背景随着医疗卫生体制改革的不断深化，卫生行业信息化应用不断普及。医院信息系统已成为医疗服务的重要支撑体系，支撑医院系统运作及各部门共同合作与营运的关键应用，承载着医院主要的业务数据。医院信息系统的安全性直接关系到医院医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。同时，医院信息系统涉及大量医院经营和患者医疗等私密信息，信息的泄露和传播将会给医院、社会和患者带来安全风险，同时，等级保护评测是否过关，关系到医院的三甲评审（见 卫生部三级综合医院评审标准及实施细则评审标准中6.5.4.1“加强信息系统的安全保障和患者隐私保护”中各项明确规定）。为贯彻落实国家信息安全等级保护制度，按照卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知要求，XX县人民院积极开展信息等级测评工作。通过信息系统等级保护定级和安全测评工作，提前发现信息系统中存在的安全风险和漏洞，我们据此提出信息系统安全等级保护整改和解决方案，避免安全事件对业务工作带来损失；完善信息系统安全管理制度，提升信息系统安全管理水平。评审通过后，将由自治区公安厅下辖的信息安全评测权威机构颁发等级保护证书。1.2 整改目的 根据XX县人民医院网络系统的现状和将来的应用需求，并结合等级化保护的相关要求，而制定针对性的技术方案与管理方案，为XX县人民医院信息系统的等级化安全体系改造和加固提供参考和实施依据。本方案将主要阐述和针对XX县人民医院网络系统的改造和信息安全体系的规划设计。 主要内容为XX县人民医院信息系统的总体信息安全体系安全改造，包括以下几个方面：l 建设XX县人民医院网络安全基础设施；l XX县人民医院信息系统的边界安全保护；l 信息系统的计算环境安全保护；l 建立XX县人民医院信息系统的安全运维体系；l 建立XX县人民医院信息安全的管理制度；l 协助并配合XX县人民医院在评测中各项工作的技术支持并顺利获得通过；l 为医院各项医疗信息化业务保驾护航并为三甲复审加分。1.3 等级安全体系设计目标根据对XX县人民医院信息系统的全面了解，并结合国家的相关政策标准，XX县人民医院网络系统的信息安全建设目标如下。1.3.1 总体目标为了落实卫生行业信息安全等级保护工作的指导意见（卫办发201185号）和关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号），实施符合国家标准的安全等级保护体系建设，通过对XX县人民医院网络系统的安全等级划分，确保XX县人民医院网络的核心信息资产的安全性，从而使重要信息系统的安全威胁最小化，达到网络信息安全投入的最优化。最终实现如下总体安全目标：1、 依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统 服务范围以及业务对信息系统的依赖性等指标，来划分信息系统的安全等级。2、 通过信息安全需求分析，判断信息系统的安全保护现状与信息安全技术信息系统安全等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划，以指导后续的信息系统安全建设工程实施。3、 达到公安部关于信息系统安全等级保护三级的相关要求。1.3.2 安全技术体系目标按照信息系统安全等级保护三级关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求，科学合理评估信息系统当前存在的风险，协助其合理确定安全保护等级，在此基础上科学规划设计一整套完整的安全体系改造加固方案。该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、可追溯”。具体包括：1、 内外网接入设备物理隔离并入机房总核心设备，保障数据的不间断性。2、 保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。3、 保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。4、 保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。5、 保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。6、 安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合XX县人民院实际情况，建立一套切实可行的安全管理体系。