1、上海市衛(wèi)生局關于下發(fā)醫(yī)療機構信息系統(tǒng)安全等級保護基本要求的通知（滬衛(wèi)辦200912號）各區(qū)縣衛(wèi)生局、浦東新區(qū)社發(fā)局 、上海申康醫(yī)院發(fā)展中心、各有關大學、各市級醫(yī)療機構：為更好地適應本市醫(yī)療機構信息系統(tǒng)的安全要求，切實提高醫(yī)療機構信息安全保障能力，根據(jù)國家信息化領導小組關于加強信息安全保障工作的意見以及市政府對信息系統(tǒng)安全的文件精神，上海市衛(wèi)生局信息中心聯(lián)合上海市信息安全測評認證中心在原頒布執(zhí)行的上海市醫(yī)院計算機信息網(wǎng)絡系統(tǒng)安全策略（暫行）基礎上，結合多次測評結果，制定了醫(yī)療機構信息系統(tǒng)安全等級保護基本要求（以下簡稱“要求”）。要求針對醫(yī)療機構信息系統(tǒng)安全的特點以及國家的相關要求，明確了本市醫(yī)療

2、機構信息系統(tǒng)安全等級為二級：區(qū)縣中心（含）以上醫(yī)院信息系統(tǒng)定為二級（增強），區(qū)縣中心以下醫(yī)院信息系統(tǒng)定為二級（一般），并分別對二級增強、二級一般從安全目標、應對措施等多方面進行了描述，作為今后醫(yī)療機構信息系統(tǒng)安全考核指標體系構成的依據(jù)?，F(xiàn)將該要求下發(fā)給你們，請認真執(zhí)行。本文自2009年4月1日起執(zhí)行，2003年下發(fā)的上海市醫(yī)院計算機信息網(wǎng)絡系統(tǒng)安全策略（暫行）不再繼續(xù)執(zhí)行。附件： 醫(yī)療機構信息系統(tǒng)安全等級保護基本要求該電子文檔請到上海市衛(wèi)生局政府網(wǎng)站（）下載（略）二九年二月二十六日73醫(yī)療機構信息系統(tǒng)安全等級保護基本要求上海市衛(wèi)生局信息中心上海市信息安全測評認證中心二八年十月目 錄1前言72范

3、圍73一般模型73.1技術模型83.2管理模型93.3應用模型104定級指導155威脅分析156安全目標186.1技術目標186.2管理目標217安全要求（要素表）238安全基本要求288.1二級（一般）安全要求288.1.1技術要求288.1.1.1物理安全288.1.1.1.1物理位置的選擇288.1.1.1.2物理訪問控制288.1.1.1.3防盜竊和防破壞298.1.1.1.4防雷擊298.1.1.1.5防火298.1.1.1.6防水和防潮298.1.1.1.7防靜電308.1.1.1.8溫濕度控制308.1.1.1.9電力供應308.1.1.1.10電磁防護308.1.1.2網(wǎng)絡安全

4、318.1.1.2.1結構安全318.1.1.2.2訪問控制318.1.1.2.3邊界完整性檢查318.1.1.2.4網(wǎng)絡設備防護318.1.1.2.5網(wǎng)絡可用性328.1.1.3主機系統(tǒng)安全328.1.1.3.1身份鑒別328.1.1.3.2訪問控制328.1.1.3.3安全審計338.1.1.3.4惡意代碼防范338.1.1.3.5資源控制338.1.1.3.6主機可用性338.1.1.4應用安全338.1.1.4.1身份鑒別338.1.1.4.2訪問控制348.1.1.4.3安全審計348.1.1.4.4通信完整性358.1.1.4.5通信保密性358.1.1.4.6軟件容錯358.1.

5、1.4.7資源控制358.1.1.5數(shù)據(jù)安全358.1.1.5.1完整性358.1.1.5.2數(shù)據(jù)保密性358.1.1.5.3備份和恢復368.1.2管理要求368.1.2.1安全管理制度368.1.2.1.1管理制度368.1.2.1.2制定和發(fā)布368.1.2.1.3評審和修訂378.1.2.2安全管理機構378.1.2.2.1崗位設置378.1.2.2.2人員配備378.1.2.2.3授權和審批378.1.2.2.4溝通和合作378.1.2.2.5審核和檢查388.1.2.3人員安全管理388.1.2.3.1人員錄用388.1.2.3.2人員離崗388.1.2.3.3人員考核388.1.

6、2.3.4安全意識教育和培訓388.1.2.3.5外部人員訪問管理398.1.2.4系統(tǒng)建設管理398.1.2.4.1系統(tǒng)定級398.1.2.4.2安全方案設計398.1.2.4.3產(chǎn)品采購408.1.2.4.4自行軟件開發(fā)408.1.2.4.5外包軟件開發(fā)408.1.2.4.6工程實施408.1.2.4.7測試驗收418.1.2.4.8系統(tǒng)交付418.1.2.4.9安全服務商選擇418.1.2.5系統(tǒng)運維管理418.1.2.5.1環(huán)境管理418.1.2.5.2資產(chǎn)管理428.1.2.5.3介質管理428.1.2.5.4設備管理428.1.2.5.5監(jiān)控管理438.1.2.5.6網(wǎng)絡安全管理4

7、38.1.2.5.7系統(tǒng)安全管理438.1.2.5.8惡意代碼防范管理448.1.2.5.9密碼管理448.1.2.5.10變更管理448.1.2.5.11備份與恢復管理448.1.2.5.12安全事件處置458.1.2.5.13應急預案管理458.2二級（增強）安全要求468.2.1技術要求468.2.1.1物理安全468.2.1.1.1物理位置的選擇468.2.1.1.2物理訪問控制468.2.1.1.3防盜竊和防破壞468.2.1.1.4防雷擊478.2.1.1.5防火478.2.1.1.6防水和防潮478.2.1.1.7防靜電478.2.1.1.8溫濕度控制478.2.1.1.9電力供

8、應488.2.1.1.10電磁防護488.2.1.2網(wǎng)絡安全488.2.1.2.1結構安全488.2.1.2.2訪問控制498.2.1.2.3安全審計498.2.1.2.4邊界完整性檢查498.2.1.2.5入侵防范498.2.1.2.6網(wǎng)絡設備防護498.2.1.2.7網(wǎng)絡可用性508.2.1.3主機系統(tǒng)安全508.2.1.3.1身份鑒別508.2.1.3.2訪問控制508.2.1.3.3安全審計518.2.1.3.4入侵防范518.2.1.3.5惡意代碼防范518.2.1.3.6資源控制518.2.1.3.7主機可用性518.2.1.4應用安全528.2.1.4.1身份鑒別528.2.1.

9、4.2訪問控制528.2.1.4.3安全審計538.2.1.4.4剩余信息保護538.2.1.4.5通信完整性538.2.1.4.6通信保密性538.2.1.4.7軟件容錯538.2.1.4.8資源控制548.2.1.5數(shù)據(jù)安全548.2.1.5.1完整性548.2.1.5.2數(shù)據(jù)保密性548.2.1.5.3備份和恢復548.2.2管理要求558.2.2.1安全管理制度558.2.2.1.1管理制度558.2.2.1.2制定和發(fā)布558.2.2.1.3評審和修訂558.2.2.2安全管理機構568.2.2.2.1崗位設置568.2.2.2.2人員配備568.2.2.2.3授權和審批568.2.

10、2.2.4溝通和合作568.2.2.2.5審核和檢查568.2.2.3人員安全管理578.2.2.3.1人員錄用578.2.2.3.2人員離崗578.2.2.3.3人員考核578.2.2.3.4安全意識教育和培訓578.2.2.3.5外部人員訪問管理588.2.2.4系統(tǒng)建設管理588.2.2.4.1系統(tǒng)定級588.2.2.4.2安全方案設計588.2.2.4.3產(chǎn)品采購598.2.2.4.4自行軟件開發(fā)598.2.2.4.5外包軟件開發(fā)598.2.2.4.6工程實施598.2.2.4.7測試驗收598.2.2.4.8系統(tǒng)交付608.2.2.4.9安全服務商選擇608.2.2.5系統(tǒng)運維管理6

11、08.2.2.5.1環(huán)境管理608.2.2.5.2資產(chǎn)管理608.2.2.5.3介質管理618.2.2.5.4設備管理618.2.2.5.5監(jiān)控管理618.2.2.5.6網(wǎng)絡安全管理628.2.2.5.7系統(tǒng)安全管理628.2.2.5.8惡意代碼防范管理638.2.2.5.9密碼管理638.2.2.5.10變更管理638.2.2.5.11備份與恢復管理638.2.2.5.12安全事件處置648.2.2.5.13應急預案管理64附錄A基本要求的選擇和使用651、判斷醫(yī)療機構的信息系統(tǒng)是否具備定級的基本條件652、根據(jù)醫(yī)療機構的分級選擇不同級別的基本要求663、部分區(qū)縣中心（含）以上醫(yī)療機構可對二

12、級（增強）要求進行選擇使用66附錄B基本要求的應用注釋67B1. 物理環(huán)境的應用注釋67B2.網(wǎng)絡隔離的應用注釋67B3. 版本變更的應用注釋69B4. 數(shù)據(jù)加密的應用說明69B5. 其他691 前言國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號，以下簡稱“27號文件”）明確要求我國信息安全保障工作實行等級保護制度，提出“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。2004年9月發(fā)布的關于信息安全等級保護工作的實施意見（公通字200466號，以下簡稱“66號文件”）進一步強調了開展信息安全等級保護工作的重要意義，規(guī)定了實施信息安全等級保護制

13、度的原則、內(nèi)容、職責分工、基本要求和實施計劃，部署了實施信息安全等級保護工作的操作辦法。27號文件和66號文件不但為各行業(yè)開展信息安全等級保護工作指明了方向，同時也為各行業(yè)如何根據(jù)自身特點做好信息安全等級保護工作提出了更高的要求。醫(yī)療機構作為涉及國計民生的重要組成部分，其安全保障事關社會穩(wěn)定，必須按照27號文件要求，全面實施信息安全等級保護。因此，組織編制醫(yī)療機構信息系統(tǒng)安全等級保護基本要求，提出針對醫(yī)療機構信息安全等級保護工作的基本思路和具體要求，指導上海市醫(yī)療機構的信息安全保障工作。2 范圍本標準規(guī)定了醫(yī)療機構信息系統(tǒng)的基本保護要求，包括基本技術要求和基本管理要求，適用于指導本市醫(yī)療機構分

14、等級的信息系統(tǒng)的安全建設和監(jiān)督管理。3 一般模型醫(yī)療機構信息系統(tǒng)（以下簡稱HIS系統(tǒng)）模型的構造是對HIS系統(tǒng)進行威脅分析，從而確定安全保障目標的基礎。HIS系統(tǒng)基本要求將分別從技術、管理和業(yè)務應用三個層面提出各自的參考模型，具體如下。技術模型、管理模型和應用模型既是三個相對獨立的體系，又是兩兩相互作用，存在密切關系的有機耦合體。技術模型支持應用模型的實現(xiàn)，管理模型是技術模型正常工作的保障，應用模型又是技術模型和管理模型支持和管理的核心。3.1 技術模型參考國際標準化組織（ISO）制定的開放系統(tǒng)互聯(lián)標準（OSI）標準和TCP/IP標準對信息系統(tǒng)技術組成的構造方法，結合HIS系統(tǒng)業(yè)務應用分類，給

15、出HIS系統(tǒng)的技術模型，如下圖所示。HIS系統(tǒng)的技術參考模型描述主要從物理環(huán)境、網(wǎng)絡系統(tǒng)、主機系統(tǒng)、應用系統(tǒng)4個層面進行描述。a.物理環(huán)境包括機房、場地、布線、設備、存儲媒體等內(nèi)容。b.網(wǎng)絡系統(tǒng)指HIS系統(tǒng)所基于的網(wǎng)絡標準和網(wǎng)絡結構；網(wǎng)絡標準主要基于TCP/IP協(xié)議、IPX/SPX的網(wǎng)絡標準，網(wǎng)絡結構主要采用LAN、WAN的結構。c.主機系統(tǒng)主機系統(tǒng)指服務器操作系統(tǒng)平臺及公共應用平臺。服務器操作系統(tǒng)主要采用服務器版的操作系統(tǒng)，通常有Windows、Unix 等類型；公共應用平臺主要有數(shù)據(jù)庫平臺和WEB、Mail、中間件等。數(shù)據(jù)庫平臺一般采用可提供多個事務共享數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)庫系統(tǒng)，常用的數(shù)據(jù)系統(tǒng)

16、 SQLSERVER, ORACLE, DB2, SYBASE 等，數(shù)據(jù)訪問通常采用兩層或三層中間件結構。d.應用系統(tǒng)醫(yī)院信息系統(tǒng)目前主要可分為綜合業(yè)務、臨床業(yè)務、行政管理三種類型。3.2 管理模型參考國家標準GB/T 19716信息技術 信息安全管理實用規(guī)則和ISO/IEC 17799Information technology：Code of practice for Information Security Management管理模型的構造方式，結合HIS系統(tǒng)業(yè)務管理特點，將管理模型分為信息安全管理基礎（管理機構、管理制度、人員安全）和信息安全管理生命周期管理方法（建設管理、運維管理）

17、，具體如下圖所示。a.管理制度主要包括管理制度、制定和發(fā)布、評審和修訂3個控制點。b.管理機構主要包括崗位設置、人員配備、授權和審批、溝通和合作以及審核和檢查5個控制點。c.人員安全主要包括人員錄用、人員離崗、人員考核、安全意識教育培訓、外部人員訪問管理等5個控制點。d.建設管理主要包括系統(tǒng)定級、方案設計、產(chǎn)品采購、自行開發(fā)、外包開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務11個控制點。e.運維管理主要包括環(huán)境管理、資產(chǎn)管理、介質管理、設備管理、監(jiān)控管理、安全中心、網(wǎng)絡安全管理、惡意代碼防范管理、密碼管理、變更管理、備份恢復管理、安全事件管理、應急預案管理等13個控制點。3

18、.3 應用模型根據(jù)國家衛(wèi)生部發(fā)布的醫(yī)院信息系統(tǒng)基本功能規(guī)范和市衛(wèi)生局發(fā)布的上海市醫(yī)院信息系統(tǒng)功能規(guī)范有關要求，結合上海市醫(yī)療機構應用業(yè)務系統(tǒng)建設實際，按如下框架構建應用模型：基礎建設業(yè)務應用決策支持基礎網(wǎng)絡建設系統(tǒng)操作平臺政務外網(wǎng)接入網(wǎng)站建設安全解決方案系統(tǒng)管理規(guī)范靶子外部接口臨床業(yè)務部分綜合業(yè)務部分行政管理部分綜合查詢與決策分析知識庫管理及輔助診療管理 HMIS臨床 CIS其中綜合業(yè)務部分分為：綜合業(yè)務部分門急診掛號分系統(tǒng)門急診劃價收費分系統(tǒng)住院病人入出轉管理分系統(tǒng)住院收費分系統(tǒng)物資管理分系統(tǒng)設備管理分系統(tǒng)其它分系統(tǒng)臨床業(yè)務部分分為：臨床業(yè)務部分門診醫(yī)生工作站分系統(tǒng)住院醫(yī)生工作站分系統(tǒng)護士工

19、作站分系統(tǒng)臨床檢驗分系統(tǒng)醫(yī)學影像分系統(tǒng)輸血管理分系統(tǒng)手術、麻醉管理系統(tǒng)藥品管理分系統(tǒng)其它分系統(tǒng)行政管理部分分為：行政管理部分財務管理分系統(tǒng)人事管理分系統(tǒng)科研管理分系統(tǒng)教育管理分系統(tǒng)OA分系統(tǒng)其它分系統(tǒng)綜合查詢與決策分析部分分為：綜合查詢與決策分析部分院長綜合查詢與分析分系統(tǒng)經(jīng)濟核算管理分系統(tǒng)醫(yī)療統(tǒng)計分系統(tǒng)病人咨詢服務分系統(tǒng)其它分系統(tǒng)知識庫管理及輔助診療部分分為：知識庫管理及輔助診療部分合理用藥咨詢及審核分系統(tǒng)病案管理分系統(tǒng)循證臨床路徑指引分系統(tǒng)臨床輔助診療分系統(tǒng)數(shù)字醫(yī)學圖書館分系統(tǒng)其它分系統(tǒng)另外，外部接口部分包括：社區(qū)衛(wèi)生服務接口公共衛(wèi)生信息交換接口遠程醫(yī)療咨詢系統(tǒng)接口外部接口部分計分析部分醫(yī)

20、療保險接口其它接口電子病歷共享交換接口（以上粗體標注的為衛(wèi)生部醫(yī)院信息系統(tǒng)基本功能規(guī)范明確的子系統(tǒng)）相應的數(shù)據(jù)類型大體可分為四類：1. 患者基本信息：患者姓名、住址、聯(lián)系方式等。2. 診療相關的信息：包括電子病歷、醫(yī)囑、檢驗結果等。這類數(shù)據(jù)不僅要保證完整性，還要防篡改，修改后必須留有痕跡，而且還應做到隱私性保護。3. 經(jīng)濟相關的費用信息：包括藥品材料管理、檢驗價目等，要求受限訪問，設限修改。4. 管理相關的業(yè)務信息：包括人事數(shù)據(jù)、資產(chǎn)管理等。4 定級指導作為定級對象，信息系統(tǒng)安全等級保護管理辦法中將信息系統(tǒng)劃分為五級，前3級分別為：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益

21、造成損害，但不損害國家安全、社會秩序和共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。從本市醫(yī)療機構信息系統(tǒng)遭到破壞后的影響程度來看，基本只損害到本市部分公民的就醫(yī)權利，造成對社會秩序和公共利益的損害不至“嚴重程度”，屬于“第二級”范疇，且HIS系統(tǒng)對信息安全防護和服務能力保護的要求均較高，因此基本定位在LSA(2，2，2)。但從醫(yī)療機構服務受眾的多少（門診量），HIS系統(tǒng)應用依賴的大?。ㄈ畔⒒?、部分信息化、單機版）的

22、不同，建議將第二級細分為：二級（一般）和二級（增強），具體如下：區(qū)縣中心以下醫(yī)療信息系統(tǒng)定為：二級（一般）區(qū)縣中心（含）以上醫(yī)療信息系統(tǒng)定為：二級（增強）5 威脅分析不同等級系統(tǒng)所應對抗的威脅主要從威脅源（自然、環(huán)境、系統(tǒng)、人為）動機（不可抗外力、無意、有意）范圍（局部、全局）能力（工具、技術、資源等）四個要素來考慮。威脅源是指任何能夠導致非預期的不利事件發(fā)生的因素，通常分為自然（如自然災害）環(huán)境（如電力故障）IT系統(tǒng)（如系統(tǒng)故障）和人員（如心懷不滿的員工）四類。動機與威脅源和目標有著密切的聯(lián)系，不同的威脅源對應不同的目標有著不同的動機，通常可分為不可抗外力（如自然災害）無意的（如員工的疏忽大

23、意）和故意的（如情報機構的信息收集活動）。范圍是指威脅潛在的危害范疇，分為局部和整體兩種情況；如病毒威脅，有些計算機病毒的傳染性較弱，危害范圍是有限的；但是蠕蟲類病毒則相反，它們可以在網(wǎng)絡中以驚人的速度迅速擴散并導致整個網(wǎng)絡癱瘓。能力主要是針對威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。能力主要體現(xiàn)在威脅源占有的計算資源的多少、工具的先進程度、人力資源（包括經(jīng)驗）等方面。通過對威脅主要因素的分析，我們組合以上因素得到第二級的威脅：1）危害范圍為局部的環(huán)境或者設備故障；2）無意的員工失誤；3）危害局部的較嚴重的自然事件；4）具備中等能力、有預設目標的威脅情景。在分析一般二級系統(tǒng)面臨威脅的

24、基礎上，結合本市醫(yī)療機構信息系統(tǒng)行業(yè)應用的特點，給出HIS系統(tǒng)具體威脅分析的描述如下：標號威脅描述備注T2-1.雷擊、地震和臺風等自然災難T2-2.水患和火災等災害T2-3.高溫、低溫、多雨等原因導致溫度、濕度異常T2-4.電壓波動T2-5.供電系統(tǒng)故障T2-6.靜電和外界電磁干擾T2-7.通信線路因線纜老化等原因導致?lián)p壞或傳輸質量下降T2-8.存儲綜合業(yè)務、臨床業(yè)務等重要業(yè)務信息的介質老化或質量問題等導致不可用行業(yè)特點T2-9.網(wǎng)絡設備、系統(tǒng)設備及其他設備使用時間過長或質量問題等導致硬件故障T2-10.系統(tǒng)軟件、應用軟件運行故障T2-11.系統(tǒng)軟件、應用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源T2

25、-12.應用軟件、系統(tǒng)軟件缺陷導致數(shù)據(jù)丟失或系統(tǒng)運行中斷T2-13.設施、通信線路、設備或存儲介質因使用、維護或保養(yǎng)不當?shù)仍驅е鹿收蟃2-14.授權用戶操作失誤導致系統(tǒng)文件被覆蓋、數(shù)據(jù)丟失或不能使用T2-15.授權用戶對系統(tǒng)錯誤配置或更改T2-16.攻擊者利用非法手段進入機房內(nèi)部盜竊、破壞等T2-17.攻擊者非法物理訪問系統(tǒng)設備、網(wǎng)絡設備或存儲介質等T2-18.攻擊者采用在通信線纜上搭接或切斷等導致線路不可用T2-19.攻擊者利用分布式拒絕服務攻擊等拒絕服務攻擊工具，惡意地消耗網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源，導致拒絕服務T2-20.攻擊者利用網(wǎng)絡協(xié)議、操作系統(tǒng)、應用系統(tǒng)漏洞，越權訪問文件、數(shù)據(jù)

26、或其他資源T2-21.攻擊者利用通過惡意代碼或木馬程序，對網(wǎng)絡、操作系統(tǒng)或應用系統(tǒng)進行攻擊T2-22.攻擊者利用網(wǎng)絡結構設計缺陷旁路安全策略，未授權訪問網(wǎng)絡T2-23.攻擊者利用非法手段獲得授權用戶的鑒別信息或密碼介質，訪問網(wǎng)絡、系統(tǒng)T2-24.攻擊者利用偽造客戶端進入綜合業(yè)務、臨床業(yè)務等系統(tǒng)，進行非法訪問行業(yè)特點T2-25.攻擊者截獲、讀取、破解介質的信息或剩余信息，進行電子病歷、藥劑藥品用量等敏感信息的竊取行業(yè)特點T2-26.攻擊者截獲、讀取、破解通信線路中的信息T2-27.由于網(wǎng)絡設備、主機系統(tǒng)和應用軟件的故障或雙機熱備失效，造成綜合業(yè)務、臨床業(yè)務等業(yè)務應用的中斷行業(yè)特點T2-28.PA

27、CS中dicom數(shù)據(jù)在傳輸和存儲過程中被錯誤修改或丟失行業(yè)特點T2-29.攻擊者利用通用安全協(xié)議/算法/軟件等缺陷，獲取信息、解密密鑰或破壞通信完整性T2-30.攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運輸?shù)龋┲袗阂飧能浻布2-31.攻擊者和內(nèi)部人員否認自己的操作行為T2-32.攻擊者和內(nèi)部人員利用網(wǎng)絡擴散病毒T2-33.內(nèi)部人員下載、拷貝軟件或文件，打開可疑郵件時引入病毒T2-34.內(nèi)部人員未授權接入外部網(wǎng)絡（如Internet）T2-35.內(nèi)部人員利用技術或管理漏洞，未授權修改綜合業(yè)務、臨床業(yè)務系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序行業(yè)特點T2-36.內(nèi)部人員未授權訪問電子病歷、藥材用量等敏感信息，將信息帶出或

28、通過網(wǎng)絡傳出，導致信息泄露行業(yè)特點6 安全目標信息系統(tǒng)的安全保護能力包括對抗能力和恢復能力。不同級別的信息系統(tǒng)應具備相應等級的安全保護能力，即應該具備不同的對抗能力和恢復能力。將“能力”分級，是基于系統(tǒng)的保護對象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。一般來說，信息系統(tǒng)越重要，應具有的保護能力就越高。因為系統(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴重，因此需要提高相應的安全保護能力。HIS系統(tǒng)（二級）的安全保護能力主要體現(xiàn)為：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造

29、成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復部分功能（例如：15分鐘內(nèi)故障無法排除應啟動應急預案，及時恢復對外服務，如門急診掛號收費服務）。6.1 技術目標標號二級（一般）二級（增強）O2-1.應具有抵抗一般強度地震、臺風等自然災難造成破壞的能力應具有抵抗較強強度地震、臺風等自然災難造成破壞的能力O2-2.應具有防止雷擊事件導致重要設備被破壞的能力應具有防止雷擊事件導致大面積設備被破壞的能力O2-3.應具有防水和防潮的能力除二級（一般）要求外，還應具有對水患檢測和報警的能力O2-4.應具有滅火的能力應具有專用自動滅火的能力O2-5.應具有檢測火災和

30、報警的能力除二級（一般）要求外，還應具有防止火災蔓延的能力O2-6.應具有溫濕度自動檢測和控制的能力同二級（一般）要求O2-7.應具有防止電壓波動的能力同二級（一般）要求O2-8.應具有對抗短時間斷電的能力應具有對抗較長時間斷電的能力O2-9.應具有防止靜電導致重要設備被破壞的能力應具有防止靜電導致大面積設備被破壞的能力O2-10.具有基本的抗電磁干擾能力除二級（一般）要求外，還應具有對重要設備和介質進行電磁屏蔽的能力O2-11.無應具有防止強電磁場、強震動源和強噪聲源等污染影響系統(tǒng)正常運行的能力O2-12.無應具有監(jiān)測通信線路傳輸狀況的能力O2-13.無應具有及時恢復正常通信的能力O2-14

31、.應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測的能力除二級（一般）要求外，還應實現(xiàn)糾錯能力O2-15.應具有對硬件故障產(chǎn)品進行替換的能力同二級（一般）要求O2-16.應具有系統(tǒng)軟件、應用軟件容錯的能力同二級（一般）要求O2-17.應具有軟件故障分析的能力除二級（一般）要求外，還應具有軟件狀態(tài)監(jiān)測和報警的能力O2-18.無應具有合理使用和控制系統(tǒng)資源的能力O2-19.應具有記錄用戶操作行為的能力除二級（一般）要求外，還應具有分析記錄結果的能力O2-20.應具有對用戶的誤操作行為進行檢測和報警的能力除二級（一般）要求外，還應具有恢復能力O2-21.應具有控制機房進出的能力應具有嚴格控制機房進出的能力O2-

32、22.應具有防止設備、介質等丟失的能力同二級（一般）要求O2-23.應具有控制機房內(nèi)人員活動的能力應具有嚴格控制機房內(nèi)人員活動的能力O2-24.無應具有實時監(jiān)控機房內(nèi)部活動的能力O2-25.無應具有對物理入侵事件進行報警的能力O2-26.應具有控制接觸重要設備、介質的能力同二級（一般）要求O2-27.無應具有對傳輸和存儲中的信息進行保密性保護的能力O2-28.應具有對通信線路進行物理保護的能力除二級（一般）要求外，還應具有使重要通信線路及時恢復的能力O2-29.無應具有合理分配、控制網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源的能力O2-30.無應具有能夠檢測、分析、響應對網(wǎng)絡和重要主機的各種攻擊的能力O2-

33、31.應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力同二級（一般）要求O2-32.應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行嚴格控制的能力O2-33.應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力應具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力O2-34.應具有對資源訪問的行為進行記錄的能力除二級（一般）要求外，還應具有分析響應能力O2-35.應具有對惡意代碼的檢測、阻止和清除能力同二級（一般）要求O2-36.應具有防止惡意代碼等在網(wǎng)絡中擴散的能力同二級（一般）要求O2-37.應具有對惡意代碼庫和搜索引擎及時更新的能力同二級（一般）要求O2-38.應具有保證鑒

34、別數(shù)據(jù)傳輸和存儲保密性的能力同二級（一般）要求O2-39.應具有對用戶進行唯一標識的能力同二級（一般）要求O2-40.應具有對用戶產(chǎn)生復雜鑒別信息并進行鑒別的能力除二級（一般）要求外，還應具有對同一個用戶產(chǎn)生多重鑒別信息并進行多重鑒別的能力O2-41.無應具有檢測非法接入設備的能力O2-42.應具有對存儲介質中的殘余信息進行刪除的能力同二級（一般）要求O2-43.無應具有對傳輸和存儲中的信息進行保密性保護的能力O2-44.無應具有防止加密數(shù)據(jù)被破解的能力O2-45.無應具有路由選擇和控制的能力O2-46.無應具有信息源發(fā)的鑒別能力O2-47.無應具有通信數(shù)據(jù)完整性檢測和糾錯能力O2-48.無應

35、具有對關鍵區(qū)域進行電磁屏蔽的能力O2-49.應具有非活動狀態(tài)一段時間后自動切斷連接的能力同二級（一般）要求O2-50.無應具有基于密碼技術的抗抵賴能力O2-51.應具有防止未授權下載、拷貝軟件或者文件的能力同二級（一般）要求O2-52.應具有網(wǎng)絡邊界完整性檢測能力除二級（一般）要求外，還應具有切斷非法連接的能力O2-53.應具有重要數(shù)據(jù)和程序進行完整性檢測和糾錯能力同二級（一般）要求O2-54.無應具有對敏感信息的流向進行控制的能力O2-55.應具有重要數(shù)據(jù)恢復的能力應具有及時恢復重要數(shù)據(jù)的能力O2-56.應具有保證重要業(yè)務系統(tǒng)恢復運行的能力應具有保證重要業(yè)務系統(tǒng)及時恢復運行的能力6.2 管理

36、目標標號二級（一般）二級（增強）O2-57.應確保建立了安全職能部門，配備了安全管理人員，支持信息安全管理工作同二級（一般）要求O2-58.應確保配備了足夠數(shù)量的管理人員，對系統(tǒng)進行運行維護同二級（一般）要求O2-59.應確保對主要的管理活動進行了制度化管理同二級（一般）要求O2-60.應確保建立并不斷完善、健全安全管理制度同二級（一般）要求O2-61.應確保能協(xié)調信息安全工作在各功能部門的實施同二級（一般）要求O2-62.應確保能控制信息安全相關事件的授權與審批同二級（一般）要求O2-63.應確保建立恰當可靠的聯(lián)絡渠道，以便安全事件發(fā)生時能得到支持同二級（一般）要求O2-64.應確保對人員的

37、行為進行控制同二級（一般）要求O2-65.應確保對人員的管理活動進行了指導同二級（一般）要求O2-66.應確保安全策略的正確性和安全措施的合理性同二級（一般）要求O2-67.應確保對信息系統(tǒng)進行合理定級除二級（一般）要求外，還應進行備案管理O2-68.應確保安全產(chǎn)品的可信度和產(chǎn)品質量同二級（一般）要求O2-69.應確保自行開發(fā)過程和工程實施過程中的安全同二級（一般）要求O2-70.應確保能順利地接管和維護信息系統(tǒng)同二級（一般）要求O2-71.應確保安全工程的實施質量和安全功能的準確實現(xiàn)同二級（一般）要求O2-72.應確保機房具有良好的運行環(huán)境同二級（一般）要求O2-73.應確保對信息資產(chǎn)進行標

38、識管理同二級（一般）要求O2-74.應確保對各種軟硬件設備的選型、采購、發(fā)放、使用和保管等過程進行控制同二級（一般）要求O2-75.應確保各種網(wǎng)絡設備、服務器正確使用和維護同二級（一般）要求O2-76.應確保對網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)進行安全管理同二級（一般）要求O2-77.應確保用戶具有鑒別信息使用的安全意識同二級（一般）要求O2-78.應確保定期地對通信線路進行檢查和維護同二級（一般）要求O2-79.應確保硬件設備、存儲介質存放環(huán)境安全，并對其的使用進行控制和保護同二級（一般）要求O2-80.應確保對支撐設施、硬件設備、存儲介質進行日常維護和管理同二級（一般）要求O2-81

39、.應確保系統(tǒng)中使用的硬件、軟件產(chǎn)品的質量同二級（一般）要求O2-82.應確保各類人員具有與其崗位相適應的技術能力同二級（一般）要求O2-83.應確保對各類人員進行相關的技術培訓同二級（一般）要求O2-84.應確保提供的足夠的使用手冊、維護指南等資料同二級（一般）要求O2-85.應確保內(nèi)部人員具有安全方面的常識和意識同二級（一般）要求O2-86.應確保具有設計合理、安全網(wǎng)絡結構的能力同二級（一般）要求O2-87.無應確保對軟硬件的分發(fā)過程進行控制O2-88.無應確保軟硬件中沒有后門程序O2-89.應確保密碼算法和密鑰的使用符合國家有關法律、法規(guī)的規(guī)定同二級（一般）要求O2-90.應確保任何變更控

40、制和設備重用要申報和審批，并對其實行制度化的管理同二級（一般）要求O2-91.應確保在事件發(fā)生后能采取積極、有效的應急策略和措施同二級（一般）要求O2-92.應確保信息安全事件實行分等級響應、處置 同二級（一般）要求7 安全要求（要素表）HIS基本要求的安全要求在整體框架結構上以三種分類為支撐點，自上而下分別為：類、控制點和項。其中，類表示HIS基本要求在整體上大的分類，其中技術部分分為：物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全及備份恢復等5大類，管理部分分為：安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等5大類，一共分為10大類?？刂泣c表示每個大類下的關鍵控制

41、點，如物理安全大類中的“物理訪問控制”作為一個控制點。而項則是控制點下的具體要求項，如“機房出入應安排專人負責，控制、鑒別和記錄進入的人員?！本唧w框架結構如圖所示：HIS安全要求物理安全網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全及備份恢復技術要求管理要求安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理根據(jù)信息系統(tǒng)安全的整體結構來看，信息系統(tǒng)安全可從五個層面：物理、網(wǎng)絡、主機系統(tǒng)、應用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進行保護，因此，技術類安全要求也相應的分為五個層面上的安全要求：物理層面安全要求：主要是從外界環(huán)境、基礎設施、運行硬件、介質等方面為信息系統(tǒng)的安全運行提供基本的后臺支持和保證；網(wǎng)絡層面安全要求：為

42、信息系統(tǒng)能夠在安全的網(wǎng)絡環(huán)境中運行提供支持，確保網(wǎng)絡系統(tǒng)安全運行，提供有效的網(wǎng)絡服務；主機層面安全要求：在物理、網(wǎng)絡層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行；應用層面安全要求：在物理、網(wǎng)絡、系統(tǒng)等層面安全的支持下，實現(xiàn)用戶安全需求所確定的安全目標；數(shù)據(jù)及備份恢復層面安全要求：全面關注信息系統(tǒng)中存儲、傳輸、處理等過程的數(shù)據(jù)的安全性。信息系統(tǒng)的生命周期主要分為五個階段：初始階段、采購/開發(fā)階段、實施階段、運行維護階段和廢棄階段。管理類安全要求正是針對這五個階段中的不同安全活動提出的，分為：安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設

43、管理和系統(tǒng)運維管理五個方面。一、技術類安全要求（1）物理安全序號安全要求二級（一般）二級（增強）對象對象程度（*）1物理位置的選擇主機房主機房2物理訪問控制主機房主機房、信息管理部門辦公室、弱電間*3防盜竊和防破壞主機房主機房、信息管理部門辦公室、弱電間*4防雷擊主機房主機房、樓層弱電間5防火主機房主機房*6防水和防潮主機房主機房、樓層弱電間*7防靜電主機房主機房8溫濕度控制主機房主機房9電力供應主機房、掛號收費終端主機房、樓層弱電間、掛號收費終端*10電磁防護不適用不適用醫(yī)院選址時已考慮（2）網(wǎng)絡安全序號安全要求二級（一般）二級（增強）對象對象程度（*）1結構安全內(nèi)網(wǎng)網(wǎng)絡全網(wǎng)絡，重點要求內(nèi)外

44、網(wǎng)隔離2訪問控制內(nèi)網(wǎng)網(wǎng)絡全網(wǎng)絡*3安全審計核心網(wǎng)絡設備核心網(wǎng)絡設備*4邊界完整性檢查內(nèi)網(wǎng)網(wǎng)絡內(nèi)網(wǎng)網(wǎng)絡、內(nèi)網(wǎng)與外網(wǎng)接口*5入侵防范不適用內(nèi)網(wǎng)網(wǎng)絡以及與外網(wǎng)網(wǎng)絡接口6網(wǎng)絡設備防護核心網(wǎng)絡設備核心網(wǎng)絡設備、樓層接入網(wǎng)絡設備*7網(wǎng)絡可用性冷備雙機熱備（重要服務器）（3）主機安全序號安全要求二級（一般）二級（增強）對象對象程度（*）1身份鑒別所有服務器、各類工作站所有服務器、各類工作站*2訪問控制所有服務器、各類工作站所有服務器、各類工作站*3安全審計所有服務器所有服務器、各類工作站*4入侵防范不適用所有服務器5惡意代碼防范所有服務器、各類工作站所有服務器、各類工作站6資源控制不適用核心服務器7主機可用

45、性冷備雙機熱備（4）應用安全目前，安全要求的應用安全部分主要針對實現(xiàn)綜合業(yè)務和臨床業(yè)務功能的應用系統(tǒng)提出相應的技術安全要求。其他行政管理類應用系統(tǒng)從系統(tǒng)遭到破壞后的影響程度來看，基本定位于第一級。因此建議采用第一級的有關要求，提出較通用的應用安全要求，HIS系統(tǒng)基本要求中的威脅分析、安全目標等環(huán)節(jié)不再進行詳細分析描述。a.綜合業(yè)務、臨床業(yè)務序號安全要求二級（一般）二級（增強）對象對象程度（*）1身份鑒別門急診、掛號收費應用綜合業(yè)務、臨床業(yè)務等關鍵業(yè)務應用*2訪問控制門急診、掛號收費應用綜合業(yè)務、臨床業(yè)務等關鍵業(yè)務應用*3安全審計門急診、掛號收費應用綜合業(yè)務、臨床業(yè)務等關鍵業(yè)務應用*4通信完整性

46、不適用PACS關鍵業(yè)務應用數(shù)據(jù)5通信保密性身份鑒別信息身份鑒別信息、電子病歷應用數(shù)據(jù)6軟件容錯門急診、掛號收費應用綜合業(yè)務、臨床業(yè)務等關鍵業(yè)務應用7資源控制不適用綜合業(yè)務、臨床業(yè)務等關鍵業(yè)務應用b. 行政管理系統(tǒng)序號安全要求一般增強1身份鑒別教育系統(tǒng)、科研系統(tǒng)、OA系統(tǒng)人事系統(tǒng)、財務系統(tǒng)2訪問控制3安全審計（5）數(shù)據(jù)安全（需根據(jù)業(yè)務數(shù)據(jù)的重新分類確定）序號安全要求二級（一般）二級（增強）對象對象程度（*）1數(shù)據(jù)完整性不適用Dicom數(shù)據(jù)2數(shù)據(jù)保密性身份鑒別信息身份鑒別信息、患者信息（包括電子病歷、醫(yī)囑、檢驗結果等）、藥品信息（包括藥劑材料用量等）3備份和恢復門急診、掛號收費數(shù)據(jù)綜合業(yè)務、臨床業(yè)

47、務的關鍵業(yè)務數(shù)據(jù)二、管理類安全要求序號安全管理要求備 注1.安全管理制度管理制度1、管理類安全要求是一個整體實施管理的過程，不再區(qū)分二級（一般）和二級（增強），標準編寫時將結合HIS系統(tǒng)的應用特點，重點參考借鑒HIS安全策略中的有關要求。2、已建HIS系統(tǒng)將主要涉及管理制度、管理機構、人員安全、系統(tǒng)運維管理的有關管理要求，在新建系統(tǒng)或系統(tǒng)改擴建時需按照系統(tǒng)建設管理要求建設實施。3、應急響應中重點突出對外服務（如門急診掛號配藥等）涉及設備的備份措施，雙機熱備的切換演練等。2.制定和發(fā)布3.評審和修訂4.安全管理機構崗位設置5.人員配備6.授權和審批7.溝通和合作8.審核和檢查9.人員安全管理人員

48、錄用10.人員離崗11.人員考核12.安全意識教育和培訓13.外部人員訪問管理14.系統(tǒng)建設管理系統(tǒng)定級15.安全方案設計16.產(chǎn)品采購和使用17.自行軟件開發(fā)18.外包軟件開發(fā)19.工程實施20.測試驗收21.系統(tǒng)交付22.安全服務商選擇23.系統(tǒng)運維管理環(huán)境管理24.資產(chǎn)管理25.介質管理26.設備管理27.網(wǎng)絡安全管理28.系統(tǒng)安全管理29.惡意代碼防范管理30.密碼管理31.變更管理32.備份與恢復管理33.安全事件處置34.應急預案管理8 安全基本要求8.1 二級（一般）安全要求8.1.1 技術要求8.1.1.1 物理安全8.1.1.1.1 物理位置的選擇a) 機房和辦公場地應選擇在

49、具有防震、防風和防雨等能力的建筑內(nèi)。8.1.1.1.2 物理訪問控制a) 機房出入口應有身份鑒別機制（人工或電子方式），鑒別進入的人員身份并登記在案；b) 進入機房的來訪人員應有醫(yī)院方面的授權并由醫(yī)院專人陪同，限制和監(jiān)控其活動范圍。8.1.1.1.3 防盜竊和防破壞a) 應將主要設備放置在機房等物理受限的范圍內(nèi)；b) 應注意對機房、線纜等重要區(qū)域做防鼠措施；c) 應對服務器、網(wǎng)絡設備等關鍵設施進行固定，并設置明顯的標記；d) 應將通信線纜鋪設在隱蔽處，如鋪設在地下或管道中等；e) 應對信息科室使用的介質（諸如：存有信息的光盤、軟盤、移動硬盤、紙質文檔等）分類標識，存儲在介質庫或檔案室中；f)

50、應安裝必要的防盜報警設施，以防進入機房的盜竊和破壞行為；g) 存有重要信息的設備或存儲介質攜帶出工作環(huán)境時，應登記說明。8.1.1.1.4 防雷擊a) 機房建筑應設置避雷裝置；b) 應設置交流電源地線。8.1.1.1.5 防火a) 應設置滅火設備和火災自動報警系統(tǒng)，并保持滅火設備和火災自動報警系統(tǒng)的良好狀態(tài)；b) 機房內(nèi)不應使用或堆放易燃物品或材料。8.1.1.1.6 防水和防潮a) 水管安裝，不得穿過屋頂和活動地板下；b) 應對穿過墻壁和樓板的水管增加必要的保護措施，如設置套管；c) 應采取措施防止雨水通過屋頂和墻壁滲透；d) 應采取措施防止室內(nèi)水蒸氣結露和地下積水的轉移與滲透。8.1.1.

51、1.7 防靜電a) 應采用必要的接地防靜電措施；b) 機房地板鋪設應采用機房專用防靜電活動地板。8.1.1.1.8 溫濕度控制a) 應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)；b) 溫、濕度自動調節(jié)設施宜具備斷續(xù)電自動重啟機制；c) 應于關鍵場所配備溫濕度監(jiān)控設施。8.1.1.1.9 電力供應a) 計算機系統(tǒng)供電應與其他供電分開；b) 應設置穩(wěn)壓器和過電壓防護設備；c) 應提供備用電力供應（如：UPS設備、發(fā)電機等）；d) 應對UPS等設備做定期維護并保證此類設備的負載在合理范圍內(nèi)；e) UPS設備應能夠于特定狀態(tài)下（如啟動、中斷、故障等）向管理人員發(fā)出告警（如短信、聲音方式）；f)