医院信息化安全建设项目安全建设思路.doc

《医院信息化安全建设项目安全建设思路.doc》由会员分享，可在线阅读，更多相关《医院信息化安全建设项目安全建设思路.doc（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、医院信息化安全建设项目安全建设思路1.1 等级保护建设流程等级保护的设计与实施通过以下步骤进行：1. 系统识别与定级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2. 安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。3. 安全保障体系框架设计：根据安全域框架，设计系统各个层

2、次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。4. 确定安全域安全要求：参照国家相关等级保护安全要求，设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级，明确各安全域所需采用的安全指标。5. 评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。6. 安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安

3、全技术解决方案。7. 安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行安全管理建设。1.2 参考标准 计算机信息系统安全保护等级划分准则（GB17859-1999） 信息系统安全等级保护基本要求（GB/T 22239-2008） 信息系统安全保护等级定级指南（GB/T 22240-2008） 信息系统等级保护安全设计技术要求 信息安全等级保护实施指南（报批稿） 信息系统安全等级保护测评要求（送审稿） GA/T3872002计算机信息系统安全等级保护网络技术要求 GA/T3882002计算机信息系统安全等级保护操作系统技术要求 GA/T3892002计算机信息系统安全等级保护数据库管理系统技术要求 GA/T3902002计算机信息系统安全等级保护通用技术要求 GA/T3912002计算机信息系统安全等级保护管理要求 GB/T18019-1999信息技术包过滤防火墙安全技术要求 GB/T18020-1999信息技术应用级防火墙安全技术要求 ISO27000 IATF：信息保障技术框架 ISO/IEC 15408（CC） ISO/IEC 13335，第一部分：IT安全的概念和模型； 第二部分：IT安全的管理和计划制定； 第三部分：IT安全管理技术； 第四部分：安全措施的选择； 第五部分：网络安全管理指南。