醫(yī)療機構信息系統(tǒng)安全等級保護基本要求上海市衛(wèi)生局信息中心上海市信息安全測評認證中心二〇〇八年十月2目 錄1前言.........................................................................................................................................122范圍.........................................................................................................................................123一般模型.................................................................................................................................123.1技術模型.......................................................................................................................133.2管理模型.......................................................................................................................143.3應用模型.......................................................................................................................164定級指導.................................................................................................................................215威脅分析.................................................................................................................................226安全目標.................................................................................................................................266.1技術目標.......................................................................................................................276.2管理目標.......................................................................................................................327安全要求（要素表）.............................................................................................................358安全基本要求.........................................................................................................................448.1二級（一般）安全要求...............................................................................................448.1.1技術要求..........................................................................................................................448.1.1.1物理安全.........................................................................................................................448.1.1.1.1物理位置的選擇......................................................................................................448.1.1.1.2物理訪問控制..........................................................................................................448.1.1.1.3防盜竊和防破壞......................................................................................................448.1.1.1.4防雷擊......................................................................................................................458.1.1.1.5防火..........................................................................................................................4538.1.1.1.6 防水和防潮 458.1.1.1.7 防靜電 458.1.1.1.8 溫濕度控制 468.1.1.1.9 電力供應 468.1.1.1.10 電磁防護 468.1.1.2 網(wǎng)絡安全 468.1.1.2.1 結構安全 468.1.1.2.2 訪問控制 478.1.1.2.3 邊界完整性檢查 478.1.1.2.4 網(wǎng)絡設備防護 478.1.1.2.5 網(wǎng)絡可用性 478.1.1.3 主機系統(tǒng)安全 488.1.1.3.1 身份鑒別 488.1.1.3.2 訪問控制 488.1.1.3.3 安全審計 488.1.1.3.4 惡意代碼防范 498.1.1.3.5 資源控制 498.1.1.3.6 主機可用性 498.1.1.4 應用安全 498.1.1.4.1 身份鑒別 498.1.1.4.2 訪問控制 498.1.1.4.3 安全審計 5048.1.1.4.4 通信完整性 508.1.1.4.5 通信保密性 508.1.1.4.6 軟件容錯 508.1.1.4.7 資源控制 518.1.1.5 數(shù)據(jù)安全 518.1.1.5.1 完整性 518.1.1.5.2 數(shù)據(jù)保密性 518.1.1.5.3 備份和恢復 518.1.2 管理要求 528.1.2.1 安全管理制度 528.1.2.1.1 管理制度 528.1.2.1.2 制定和發(fā)布 528.1.2.1.3 評審和修訂 528.1.2.2 安全管理機構 528.1.2.2.1 崗位設置 528.1.2.2.2 人員配備 538.1.2.2.3 授權和審批 538.1.2.2.4 溝通和合作 538.1.2.2.5 審核和檢查 538.1.2.3 人員安全管理 538.1.2.3.1 人員錄用 538.1.2.3.2 人員離崗 5458.1.2.3.3 人員考核 548.1.2.3.4 安全意識教育和培訓 548.1.2.3.5 外部人員訪問管理 548.1.2.4 系統(tǒng)建設管理 558.1.2.4.1 系統(tǒng)定級 558.1.2.4.2 安全方案設計 558.1.2.4.3 產(chǎn)品采購 558.1.2.4.4 自行軟件開發(fā) 558.1.2.4.5 外包軟件開發(fā) 568.1.2.4.6 工程實施 568.1.2.4.7 測試驗收 568.1.2.4.8 系統(tǒng)交付 568.1.2.4.9 安全服務商選擇 578.1.2.5 系統(tǒng)運維管理 578.1.2.5.1 環(huán)境管理 578.1.2.5.2 資產(chǎn)管理 578.1.2.5.3 介質管理 578.1.2.5.4 設備管理 588.1.2.5.5 監(jiān)控管理 588.1.2.5.6 網(wǎng)絡安全管理 588.1.2.5.7 系統(tǒng)安全管理 598.1.2.5.8 惡意代碼防范管理 5968.1.2.5.9 密碼管理 598.1.2.5.10 變更管理 608.1.2.5.11 備份與恢復管理 608.1.2.5.12 安全事件處置 608.1.2.5.13 應急預案管理 618.2 二級（增強）安全要求 618.2.1 技術要求 618.2.1.1 物理安全 618.2.1.1.1 物理位置的選擇 618.2.1.1.2 物理訪問控制 628.2.1.1.3 防盜竊和防破壞 628.2.1.1.4 防雷擊 628.2.1.1.5 防火 628.2.1.1.6 防水和防潮 638.2.1.1.7 防靜電 638.2.1.1.8 溫濕度控制 638.2.1.1.9 電力供應 638.2.1.1.10 電磁防護 648.2.1.2 網(wǎng)絡安全 648.2.1.2.1 結構安全 648.2.1.2.2 訪問控制 648.2.1.2.3 安全審計 6478.2.1.2.4 邊界完整性檢查 658.2.1.2.5 入侵防范 658.2.1.2.6 網(wǎng)絡設備防護 658.2.1.2.7 網(wǎng)絡可用性 658.2.1.3 主機系統(tǒng)安全 668.2.1.3.1 身份鑒別 668.2.1.3.2 訪問控制 668.2.1.3.3 安全審計 668.2.1.3.4 入侵防范 678.2.1.3.5 惡意代碼防范 678.2.1.3.6 資源控制 678.2.1.3.7 主機可用性 678.2.1.4 應用安全 678.2.1.4.1 身份鑒別 678.2.1.4.2 訪問控制 688.2.1.4.3 安全審計 688.2.1.4.4 剩余信息保護 698.2.1.4.5 通信完整性 698.2.1.4.6 通信保密性 698.2.1.4.7 軟件容錯 698.2.1.4.8 資源控制 698.2.1.5 數(shù)據(jù)安全 7088.2.1.5.1 完整性 708.2.1.5.2 數(shù)據(jù)保密性 708.2.1.5.3 備份和恢復 708.2.2 管理要求 718.2.2.1 安全管理制度 718.2.2.1.1 管理制度 718.2.2.1.2 制定和發(fā)布 718.2.2.1.3 評審和修訂 718.2.2.2 安全管理機構 718.2.2.2.1 崗位設置 718.2.2.2.2 人員配備 728.2.2.2.3 授權和審批 728.2.2.2.4 溝通和合作 728.2.2.2.5 審核和檢查 728.2.2.3 人員安全管理 728.2.2.3.1 人員錄用 728.2.2.3.2 人員離崗 738.2.2.3.3 人員考核 738.2.2.3.4 安全意識教育和培訓 738.2.2.3.5 外部人員訪問管理 738.2.2.4 系統(tǒng)建設管理 748.2.2.4.1 系統(tǒng)定級 7498.2.2.4.2 安全方案設計 748.2.2.4.3 產(chǎn)品采購 748.2.2.4.4 自行軟件開發(fā) 748.2.2.4.5 外包軟件開發(fā) 758.2.2.4.6 工程實施 758.2.2.4.7 測試驗收 758.2.2.4.8 系統(tǒng)交付 758.2.2.4.9 安全服務商選擇 768.2.2.5 系統(tǒng)運維管理 768.2.2.5.1 環(huán)境管理 768.2.2.5.2 資產(chǎn)管理 768.2.2.5.3 介質管理 768.2.2.5.4 設備管理 778.2.2.5.5 監(jiān)控管理 778.2.2.5.6 網(wǎng)絡安全管理 778.2.2.5.7 系統(tǒng)安全管理 788.2.2.5.8 惡意代碼防范管理 788.2.2.5.9 密碼管理 788.2.2.5.10 變更管理 798.2.2.5.11 備份與恢復管理 798.2.2.5.12 安全事件處置 798.2.2.5.13 應急預案管理 8010附錄A基本要求的選擇和使用 811、判斷醫(yī)療機構的信息系統(tǒng)是否具備定級的基本條件 812、根據(jù)醫(yī)療機構的分級選擇不同級別的基本要求 823、部分區(qū)縣中心（含）以上醫(yī)療機構可對二級（增強）要求進行選擇使用 82附錄B基本要求的應用注釋 83B1. 物理環(huán)境的應用注釋 83B2.網(wǎng)絡隔離的應用注釋 83B3. 版本變更的應用注釋 85B4. 數(shù)據(jù)加密的應用說明 85B5. 其他 8511前言《國家信息化領導小組關于加強信息安全保障工作的意見》 （中辦發(fā)[2003]27號，以下簡稱“27號文件”）明確要求我國信息安全保障工作實行等級保護制度， 提出“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南” 。2004年9月發(fā)布的《關于信息安全等級保護工作的實施意見》 （公通字[2004]66號，以下簡稱“66號文件”）進一步強調了開展信息安全等級保護工作的重要意義， 規(guī)定了實施信息安全等級保護制度的原則、 內容、職責分工、基本要求和實施計劃，部署了實施信息安全等級保護工作的操作辦法。27號文件和 66號文件不但為各行業(yè)開展信息安全等級保護工作指明了方向， 同時也為各行業(yè)如何根據(jù)自身特點做好信息安全等級保護工作提出了更高的要求。 醫(yī)療機構作為涉及國計民生的重要組成部分，其安全保障事關社會穩(wěn)定，必須按照 27號文件要求，全面實施信息安全等級保護。因此，組織編制《醫(yī)療機構信息系統(tǒng)安全等級保護基本要求》 ，提出針對醫(yī)療機構信息安全等級保護工作的基本思路和具體要求， 指導上海市醫(yī)療機構的信息安全保障工作。范圍本標準規(guī)定了醫(yī)療機構信息系統(tǒng)的基本保護要求， 包括基本技術要求和基本管理要求，適用于指導本市醫(yī)療機構分等級的信息系統(tǒng)的安全建設和監(jiān)督管理。一般模型醫(yī)療機構信息系統(tǒng)（以下簡稱 HIS系統(tǒng)）模型的構造是對 HIS系統(tǒng)進行威脅分析，從12而確定安全保障目標的基礎。 《HIS系統(tǒng)基本要求》將分別從 技術、管理和業(yè)務應用三個層面提出各自的參考模型，具體如下。技術模型、管理模型和應用模型既是三個相對獨立的體系，又是兩兩相互作用，存在密切關系的有機耦合體。 技術模型支持應用模型的實現(xiàn)， 管理模型是技術模型正常工作的保障，應用模型又是技術模型和管理模型支持和管理的核心。3.1技術模型參考國際標準化組織（ ISO）制定的開放系統(tǒng)互聯(lián)標準（ OSI）標準和TCP/IP標準對信息系統(tǒng)技術組成的構造方法，結合 HIS系統(tǒng)業(yè)務應用分類，給出 HIS系統(tǒng)的技術模型，如下圖所示。應用系統(tǒng) 綜合業(yè)務 臨床業(yè)務 行政管理Web服務 Mail服務 數(shù)據(jù)庫 多媒體平臺 中間件主機系統(tǒng)WindowsSolarisAIXHP-UXLinux網(wǎng)絡系統(tǒng)TCP/IPIPX/SPXSNMP物理環(huán)境場地機房網(wǎng)絡布線設備存儲設備HIS系統(tǒng)的技術參考模型描述主要從物理環(huán)境、網(wǎng)絡系統(tǒng)、主機系統(tǒng)、應用系統(tǒng)4個層面進行描述。a.物理環(huán)境包括機房、場地、布線、設備、存儲媒體等內容。13b.網(wǎng)絡系統(tǒng)指HIS系統(tǒng)所基于的網(wǎng)絡標準和網(wǎng)絡結構；網(wǎng)絡標準主要基于 TCP/IP協(xié)議、IPX/SPX的網(wǎng)絡標準，網(wǎng)絡結構主要采用 LAN、WAN的結構。c.主機系統(tǒng)主機系統(tǒng)指服務器操作系統(tǒng)平臺及公共應用平臺。服務器操作系統(tǒng)主要采用服務器版的操作系統(tǒng)，通常有 Windows、Unix 等類型；公共應用平臺主要有數(shù)據(jù)庫平臺和 WEB、Mail、中間件等。數(shù)據(jù)庫平臺一般采用可提供多個事務共享數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)庫系統(tǒng)，常用的數(shù)據(jù)系統(tǒng) SQLSERVER,ORACLE,DB2,SYBASE 等，數(shù)據(jù)訪問通常采用兩層或三層中間件結構。d.應用系統(tǒng)醫(yī)院信息系統(tǒng)目前主要可分為綜合業(yè)務、臨床業(yè)務、行政管理三種類型。3.2管理模型參考國家標準 GB/T 19716《信息技術 信息安全管理實用規(guī)則》和 ISO/IEC 17799《Informationtechnology：CodeofpracticeforInformationSecurityManagement 》管理模型的構造方式，結合 HIS系統(tǒng)業(yè)務管理特點，將管理模型分為信息安全管理基礎（管理機構、管理制度、人員安全）和信息安全管理生命周期管理方法（建設管理、運維管理） ，具體如下圖所示。14信息安全管理生命周期建設管理 運維管理設介資環(huán)密備質產(chǎn)境碼惡管管管管管備系統(tǒng)定級方案設計產(chǎn)品使用自行開發(fā)意理理理理理份代與碼應安網(wǎng)系恢防急全絡統(tǒng)變復范預事安安更管系統(tǒng)交付測試驗收工程實施軟件外包管案件全全管理理管處管管理理置理理管理機構 管理制度 人員安全信息安全管理基礎a.管理制度主要包括管理制度、制定和發(fā)布、評審和修訂 3個控制點。b.管理機構主要包括崗位設置、人員配備、授權和審批、溝通和合作以及審核和檢查 5個控制點。c.人員安全主要包括人員錄用、人員離崗、人員考核、安全意識教育培訓、外部人員訪問管理等 5個控制點。d.建設管理主要包括系統(tǒng)定級、方案設計、產(chǎn)品采購、自行開發(fā)、外包開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務 11個控制點。e.運維管理主要包括環(huán)境管理、資產(chǎn)管理、介質管理、設備管理、監(jiān)控管理、安全中心、網(wǎng)絡安15全管理、惡意代碼防范管理、密碼管理、變更管理、備份恢復管理、安全事件管理、應急預案管理等 13個控制點。3.3應用模型根據(jù)國家衛(wèi)生部發(fā)布的《醫(yī)院信息系統(tǒng)基本功能規(guī)范》和市衛(wèi)生局發(fā)布的《上海市醫(yī)院信息系統(tǒng)功能規(guī)范》 有關要求，結合上海市醫(yī)療機構應用業(yè)務系統(tǒng)建設實際， 按如下框架構建應用模型：16管理 臨床HMIS CIS綜合查詢與決策分析 知識庫管理及輔助診療行政管理部分 臨床業(yè)務部分綜合業(yè)務部分系統(tǒng) 網(wǎng)站 系統(tǒng)操作 建設 管理平臺 規(guī)范基礎 政務 安全 外部網(wǎng)絡 外網(wǎng) 解決 接口建設 接入 方案

決策支持業(yè)務應用基礎建設其中綜合業(yè)務部分分為：17綜合業(yè)務部分門門住住物設其急急院院資備它診診病收管管分掛劃人費理理系號價入分分分統(tǒng)分收出系系系系費轉統(tǒng)統(tǒng)統(tǒng)統(tǒng)分管系理統(tǒng)分系統(tǒng)臨床業(yè)務部分分為：臨床業(yè)務部分門住護臨醫(yī)輸手藥其診院士床學血術品它醫(yī)醫(yī)工檢影管、管分生生作驗像理麻理系工工站分分分醉分統(tǒng)作作分系系系管系站站系統(tǒng)統(tǒng)統(tǒng)理統(tǒng)分分統(tǒng)系系系統(tǒng)統(tǒng)統(tǒng)18行政管理部分分為：行政管理部分財人科教O其務事研育A它管管管管分分理理理理系系分分分分統(tǒng)統(tǒng)系系系系統(tǒng)統(tǒng)統(tǒng)統(tǒng)綜合查詢與決策分析部分分為：19綜合查詢與決策分析部分院經(jīng)醫(yī)病其長濟療人它綜核統(tǒng)咨分合算計詢系查管分服統(tǒng)詢理系務與分統(tǒng)分分系系析統(tǒng)統(tǒng)分系統(tǒng)知識庫管理及輔助診療部分分為：知識庫管理及輔助診療部分合病循臨數(shù)其理案證床字它用管臨輔醫(yī)分藥理床助學系咨分路診圖統(tǒng)詢系徑療書及統(tǒng)指分館審引系分核分統(tǒng)系分系統(tǒng)系統(tǒng)統(tǒng)20另外，外部接口部分包括：外部接口部分醫(yī)社公遠電其療區(qū)共程子它保衛(wèi)衛(wèi)醫(yī)病接險生生療歷口接服信咨共口務息詢享接交系交口換統(tǒng)換接接接口口口（以上粗體標注的為衛(wèi)生部《醫(yī)院信息系統(tǒng)基本功能規(guī)范》明確的子系統(tǒng)）相應的數(shù)據(jù)類型大體可分為四類：患者基本信息：患者姓名、住址、聯(lián)系方式等。診療相關的信息：包括電子病歷、醫(yī)囑、檢驗結果等。這類數(shù)據(jù)不僅要保證完整性，還要防篡改，修改后必須留有痕跡，而且還應做到隱私性保護。經(jīng)濟相關的費用信息：包括藥品材料管理、檢驗價目等，要求受限訪問，設限修改。管理相關的業(yè)務信息：包括人事數(shù)據(jù)、資產(chǎn)管理等。定級指導作為定級對象，《信息系統(tǒng)安全等級保護管理辦法》中將信息系統(tǒng)劃分為五級，前 3級21分別為：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。從本市醫(yī)療機構信息系統(tǒng)遭到破壞后的影響程度來看，基本只損害到本市部分公民的就醫(yī)權利，造成對社會秩序和公共利益的損害不至 “嚴重程度”，屬于“第二級”范疇，且HIS系統(tǒng)對信息安全防護和服務能力保護的要求均較高，因此基本定位在 LSA(2，2，2)。但從醫(yī)療機構服務受眾的多少（門診量） ，HIS系統(tǒng)應用依賴的大?。ㄈ畔⒒?、部分信息化、單機版）的不同，建議將第二級細分為：二級（一般）和二級（增強） ，具體如下：區(qū)縣中心以下醫(yī)療信息系統(tǒng)定為：二級（一般）區(qū)縣中心（含）以上醫(yī)療信息系統(tǒng)定為：二級（增強）威脅分析不同等級系統(tǒng)所應對抗的威脅主要從 威脅源（自然、環(huán)境、系統(tǒng)、人為） 動機（不可抗外力、無意、有意） 范圍（局部、全局） 能力（工具、技術、資源等）四個要素來考慮。威脅源——是指任何能夠導致非預期的不利事件發(fā)生的因素，通常分為自然（如自然災害）環(huán)境（如電力故障） IT系統(tǒng)（如系統(tǒng)故障）和人員（如心懷不滿的員工）四類。動機——與威脅源和目標有著密切的聯(lián)系，不同的威脅源對應不同的目標有著不同的動機，通?？煞譃椴豢煽雇饬Γㄈ缱匀粸暮Γo意的（如員工的疏忽大意）和故意的（如情22報機構的信息收集活動） 。范圍——是指威脅潛在的危害范疇，分為局部和整體兩種情況；如病毒威脅，有些計算機病毒的傳染性較弱， 危害范圍是有限的； 但是蠕蟲類病毒則相反， 它們可以在網(wǎng)絡中以驚人的速度迅速擴散并導致整個網(wǎng)絡癱瘓。能力——主要是針對威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。能力主要體現(xiàn)在威脅源占有的計算資源的多少、 工具的先進程度、 人力資源（包括經(jīng)驗）等方面。通過對威脅主要因素的分析，我們組合以上因素得到第二級的威脅：1）危害范圍為局部的環(huán)境或者設備故障；2）無意的員工失誤；3）危害局部的較嚴重的自然事件；4）具備中等能力、有預設目標的威脅情景。在分析一般二級系統(tǒng)面臨威脅的基礎上， 結合本市醫(yī)療機構信息系統(tǒng)行業(yè)應用的特點，給出HIS系統(tǒng)具體威脅分析的描述如下：標號 威脅描述 備注T2-1. 雷擊、地震和臺風等自然災難T2-2. 水患和火災等災害T2-3. 高溫、低溫、多雨等原因導致溫度、濕度異常T2-4. 電壓波動T2-5. 供電系統(tǒng)故障T2-6. 靜電和外界電磁干擾T2-7. 通信線路因線纜老化等原因導致?lián)p壞或傳輸質量下23降T2-8.存儲綜合業(yè)務、臨床業(yè)務等重要業(yè)務信息的介質老化行業(yè)或質量問題等導致不可用特點T2-9.網(wǎng)絡設備、系統(tǒng)設備及其他設備使用時間過長或質量問題等導致硬件故障T2-10.系統(tǒng)軟件、應用軟件運行故障T2-11.系統(tǒng)軟件、應用軟件過度使用內存、CPU等系統(tǒng)資源T2-12. 應用軟件、系統(tǒng)軟件缺陷導致數(shù)據(jù)丟失或系統(tǒng)運行中斷T2-13. 設施、通信線路、設備或存儲介質因使用、維護或保養(yǎng)不當?shù)仍驅е鹿收蟃2-14. 授權用戶操作失誤導致系統(tǒng)文件被覆蓋、數(shù)據(jù)丟失或不能使用T2-15. 授權用戶對系統(tǒng)錯誤配置或更改T2-16. 攻擊者利用非法手段進入機房內部盜竊、破壞等T2-17. 攻擊者非法物理訪問系統(tǒng)設備、網(wǎng)絡設備或存儲介質等T2-18. 攻擊者采用在通信線纜上搭接或切斷等導致線路不可用T2-19. 攻擊者利用分布式拒絕服務攻擊等拒絕服務攻擊工具，惡意地消耗網(wǎng)絡、操作系統(tǒng)和應用系統(tǒng)資源，導致拒絕服務24T2-20.攻擊者利用網(wǎng)絡協(xié)議、操作系統(tǒng)、應用系統(tǒng)漏洞，越權訪問文件、數(shù)據(jù)或其他資源T2-21.攻擊者利用通過惡意代碼或木馬程序，對網(wǎng)絡、操作系統(tǒng)或應用系統(tǒng)進行攻擊T2-22.攻擊者利用網(wǎng)絡結構設計缺陷旁路安全策略，未授權訪問網(wǎng)絡T2-23.攻擊者利用非法手段獲得授權用戶的鑒別信息或密碼介質，訪問網(wǎng)絡、系統(tǒng)T2-24.攻擊者利用偽造客戶端進入綜合業(yè)務、臨床業(yè)務等系行業(yè)統(tǒng)，進行非法訪問特點T2-25.攻擊者截獲、讀取、破解介質的信息或剩余信息，進行業(yè)行電子病歷、藥劑藥品用量等敏感信息的竊取特點T2-26.攻擊者截獲、讀取、破解通信線路中的信息T2-27.由于網(wǎng)絡設備、主機系統(tǒng)和應用軟件的故障或雙機熱行業(yè)備失效，造成綜合業(yè)務、臨床業(yè)務等業(yè)務應用的中斷特點T2-28.PACS中dicom數(shù)據(jù)在傳輸和存儲過程中被錯誤修改行業(yè)或丟失特點T2-29.攻擊者利用通用安全協(xié)議/算法/軟件等缺陷，獲取信息、解密密鑰或破壞通信完整性T2-30. 攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運輸?shù)龋┲袗阂飧能浻布2-31. 攻擊者和內部人員否認自己的操作行為25T2-32. 攻擊者和內部人員利用網(wǎng)絡擴散病毒T2-33. 內部人員下載、拷貝軟件或文件，打開可疑郵件時引入病毒T2-34.內部人員未授權接入外部網(wǎng)絡（如Internet）T2-35.內部人員利用技術或管理漏洞，未授權修改綜合業(yè)行業(yè)務、臨床業(yè)務系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序特點T2-36.內部人員未授權訪問電子病歷、藥材用量等敏感信行業(yè)息，將信息帶出或通過網(wǎng)絡傳出，導致信息泄露 特點安全目標信息系統(tǒng)的安全保護能力包括對抗能力和恢復能力。不同級別的信息系統(tǒng)應具備相應等級的安全保護能力，即應該具備不同的對抗能力和恢復能力。將 “能力”分級，是基于系統(tǒng)的保護對象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。一般來說，信息系統(tǒng)越重要，應具有的保護能力就越高。因為系統(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴重，因此需要提高相應的安全保護能力。HIS系統(tǒng)（二級）的安全保護能力主要體現(xiàn)為：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、 一般的自然災難、 以及其他相當危害程度的威脅所造成的重要資源損害， 能夠發(fā)現(xiàn)重要的安全漏洞和安全事件， 在系統(tǒng)遭到損害后， 能夠在一段時間內恢復部分功能（例如： 15分鐘內故障無法排除應啟動應急預案，及時恢復對外服務，如門急診掛號收費服務） 。266.1 技術目標標號二級（一般）二級（增強）O2-1.應具有抵抗一般強度地震、臺風應具有抵抗較強強度地震、臺風等自然災難造成破壞的能力等自然災難造成破壞的能力O2-2.應具有防止雷擊事件導致重要設應具有防止雷擊事件導致大面積備被破壞的能力設備被破壞的能力O2-3.應具有防水和防潮的能力除二級（一般）要求外，還應具有對水患檢測和報警的能力O2-4.應具有滅火的能力應具有專用自動滅火的能力O2-5.應具有檢測火災和報警的能力除二級（一般）要求外，還應具有防止火災蔓延的能力O2-6.應具有溫濕度自動檢測和控制的同二級（一般）要求能力O2-7.應具有防止電壓波動的能力同二級（一般）要求O2-8.應具有對抗短時間斷電的能力應具有對抗較長時間斷電的能力O2-9.應具有防止靜電導致重要設備被應具有防止靜電導致大面積設備破壞的能力被破壞的能力O2-10.具有基本的抗電磁干擾能力除二級（一般）要求外，還應具有對重要設備和介質進行電磁屏蔽的能力O2-11.無應具有防止強電磁場、強震動源27和強噪聲源等污染影響系統(tǒng)正常運行的能力O2-12.應具有監(jiān)測通信線路傳輸狀況的無能力O2-13.應具有及時恢復正常通信的能力無O2-14.除二級（一般）要求外，還應實應具有對傳輸和存儲數(shù)據(jù)進行完整性檢測的能力現(xiàn)糾錯能力O2-15.同二級（一般）要求應具有對硬件故障產(chǎn)品進行替換的能力O2-16.同二級（一般）要求應具有系統(tǒng)軟件、應用軟件容錯的能力O2-17.除二級（一般）要求外，還應具應具有軟件故障分析的能力有軟件狀態(tài)監(jiān)測和報警的能力O2-18.應具有合理使用和控制系統(tǒng)資源無的能力O2-19.除二級（一般）要求外，還應具應具有記錄用戶操作行為的能力有分析記錄結果的能力O2-20.除二級（一般）要求外，還應具應具有對用戶的誤操作行為進行檢測和報警的能力有恢復能力O2-21.應具有嚴格控制機房進出的能力應具有控制機房進出的能力O2-22.同二級（一般）要求應具有防止設備、介質等丟失的能力28O2-23.應具有嚴格控制機房內人員活動應具有控制機房內人員活動的能力的能力O2-24.應具有實時監(jiān)控機房內部活動的無能力O2-25.應具有對物理入侵事件進行報警無的能力O2-26.同二級（一般）要求應具有控制接觸重要設備、介質的能力O2-27.應具有對傳輸和存儲中的信息進無行保密性保護的能力O2-28.除二級（一般）要求外，還應具應具有對通信線路進行物理保護的能力有使重要通信線路及時恢復的能力O2-29.應具有合理分配、控制網(wǎng)絡、操無作系統(tǒng)和應用系統(tǒng)資源的能力O2-30.應具有能夠檢測、分析、響應對無網(wǎng)絡和重要主機的各種攻擊的能力O2-31.同二級（一般）要求應具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O2-32.應具有對網(wǎng)絡、系統(tǒng)和應用的訪應具有對網(wǎng)絡、系統(tǒng)和應用的訪問進行控制的能力問進行嚴格控制的能力29O2-33.應具有對數(shù)據(jù)、文件或其他資源應具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力的訪問進行嚴格控制的能力O2-34.除二級（一般）要求外，還應具應具有對資源訪問的行為進行記錄的能力有分析響應能力O2-35.同二級（一般）要求應具有對惡意代碼的檢測、阻止和清除能力O2-36.同二級（一般）要求應具有防止惡意代碼等在網(wǎng)絡中擴散的能力O2-37.同二級（一般）要求應具有對惡意代碼庫和搜索引擎及時更新的能力O2-38.同二級（一般）要求應具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O2-39.同二級（一般）要求應具有對用戶進行唯一標識的能力O2-40.除二級（一般）要求外，還應具應具有對用戶產(chǎn)生復雜鑒別信息并進行鑒別的能力有對同一個用戶產(chǎn)生多重鑒別信息并進行多重鑒別的能力O2-41.應具有檢測非法接入設備的能力無O2-42.同二級（一般）要求應具有對存儲介質中的殘余信息進行刪除的能力O2-43.應具有對傳輸和存儲中的信息進無行保密性保護的能力30O2-44.應具有防止加密數(shù)據(jù)被破解的能無力O2-45.應具有路由選擇和控制的能力無O2-46.應具有信息源發(fā)的鑒別能力無O2-47.應具有通信數(shù)據(jù)完整性檢測和糾無錯能力O2-48.應具有對關鍵區(qū)域進行電磁屏蔽無的能力O2-49.同二級（一般）要求應具有非活動狀態(tài)一段時間后自動切斷連接的能力O2-50.應具有基于密碼技術的抗抵賴能無力O2-51.同二級（一般）要求應具有防止未授權下載、拷貝軟件或者文件的能力O2-52.除二級（一般）要求外，還應具應具有網(wǎng)絡邊界完整性檢測能力有切斷非法連接的能力O2-53.同二級（一般）要求應具有重要數(shù)據(jù)和程序進行完整性檢測和糾錯能力O2-54.應具有對敏感信息的流向進行控無制的能力O2-55.應具有及時恢復重要數(shù)據(jù)的能力應具有重要數(shù)據(jù)恢復的能力O2-56.應具有保證重要業(yè)務系統(tǒng)及時恢應具有保證重要業(yè)務系統(tǒng)恢復運31行的能力復運行的能力6.2管理目標標號二級（一般）二級（增強）O2-57.應確保建立了安全職能部門，配同二級（一般）要求備了安全管理人員，支持信息安全管理工作O2-58.應確保配備了足夠數(shù)量的管理人同二級（一般）要求員，對系統(tǒng)進行運行維護O2-59.應確保對主要的管理活動進行了同二級（一般）要求制度化管理O2-60.應確保建立并不斷完善、健全安同二級（一般）要求全管理制度O2-61.應確保能協(xié)調信息安全工作在各同二級（一般）要求功能部門的實施O2-62.應確保能控制信息安全相關事件同二級（一般）要求的授權與審批O2-63.應確保建立恰當可靠的聯(lián)絡渠同二級（一般）要求道，以便安全事件發(fā)生時能得到支持O2-64.應確保對人員的行為進行控制同二級（一般）要求32O2-65.同二級（一般）要求應確保對人員的管理活動進行了指導O2-66.同二級（一般）要求應確保安全策略的正確性和安全措施的合理性O2-67.除二級（一般）要求外，還應進應確保對信息系統(tǒng)進行合理定級行備案管理O2-68.同二級（一般）要求應確保安全產(chǎn)品的可信度和產(chǎn)品質量O2-69.同二級（一般）要求應確保自行開發(fā)過程和工程實施過程中的安全O2-70.同二級（一般）要求應確保能順利地接管和維護信息系統(tǒng)O2-71.同二級（一般）要求應確保安全工程的實施質量和安全功能的準確實現(xiàn)O2-72.同二級（一般）要求應確保機房具有良好的運行環(huán)境O2-73.同二級（一般）要求應確保對信息資產(chǎn)進行標識管理O2-74.同二級（一般）要求應確保對各種軟硬件設備的選型、采購、發(fā)放、使用和保管等過程進行控制O2-75.同二級（一般）要求應確保各種網(wǎng)絡設備、服務器正確使用和維護O2-76.同二級（一般）要求應確保對網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)33庫管理系統(tǒng)和應用系統(tǒng)進行安全管理O2-77.同二級（一般）要求應確保用戶具有鑒別信息使用的安全意識O2-78.同二級（一般）要求應確保定期地對通信線路進行檢查和維護O2-79.同二級（一般）要求應確保硬件設備、存儲介質存放環(huán)境安全，并對其的使用進行控制和保護O2-80.同二級（一般）要求應確保對支撐設施、硬件設備、存儲介質進行日常維護和管理O2-81.同二級（一般）要求應確保系統(tǒng)中使用的硬件、軟件產(chǎn)品的質量O2-82.同二級（一般）要求應確保各類人員具有與其崗位相適應的技術能力O2-83.同二級（一般）要求應確保對各類人員進行相關的技術培訓O2-84.同二級（一般）要求應確保提供的足夠的使用手冊、維護指南等資料O2-85.同二級（一般）要求應確保內部人員具有安全方面的常識和意識O2-86.同二級（一般）要求應確保具有設計合理、安全網(wǎng)絡34結構的能力O2-87.應確保對軟硬件的分發(fā)過程進行無控制O2-88.應確保軟硬件中沒有后門程序無O2-89.同二級（一般）要求應確保密碼算法和密鑰的使用符合國家有關法律、法規(guī)的規(guī)定O2-90.同二級（一般）要求應確保任何變更控制和設備重用要申報和審批，并對其實行制度化的管理O2-91.同二級（一般）要求應確保在事件發(fā)生后能采取積極、有效的應急策略和措施O2-92.同二級（一般）要求應確保信息安全事件實行分等級響應、處置安全要求（要素表）HIS基本要求》的安全要求在整體框架結構上以三種分類為支撐點，自上而下分別為：類、控制點和項。其中，類表示《HIS基本要求》在整體上大的分類，其中技術部分分為：物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全及備份恢復等 5大類，管理部分分為：安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等 5大類，一共分為10大類?？刂泣c表示每個大類下的關鍵控制點， 如物理安全大類中的 “物理訪問控制”作為一個控制點。而項則是控制點下的具體要求項， 如“機房出入應安排專人負責，35控制、鑒別和記錄進入的人員。 ”具體框架結構如圖所示：HIS安全要求技術要求 管理要求物網(wǎng)主應數(shù)據(jù)安安人系系理絡機用安全全全員統(tǒng)統(tǒng)安安安安及管管安建運全全全全備份理理全設維恢復制機管管管度構理理理根據(jù)信息系統(tǒng)安全的整體結構來看，信息系統(tǒng)安全可從五個層面：物理、網(wǎng)絡、主機系統(tǒng)、應用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進行保護， 因此，技術類安全要求也相應的分為五個層面上的安全要求：——物理層面安全要求：主要是從外界環(huán)境、基礎設施、運行硬件、介質等方面為信息系統(tǒng)的安全運行提供基本的后臺支持和保證；——網(wǎng)絡層面安全要求：為信息系統(tǒng)能夠在安全的網(wǎng)絡環(huán)境中運行提供支持，確保網(wǎng)絡系統(tǒng)安全運行，提供有效的網(wǎng)絡服務；——主機層面安全要求：在物理、網(wǎng)絡層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行；——應用層面安全要求：在物理、網(wǎng)絡、系統(tǒng)等層面安全的支持下，實現(xiàn)用戶安全需36求所確定的安全目標；——數(shù)據(jù)及備份恢復層面安全要求：全面關注信息系統(tǒng)中存儲、傳輸、處理等過程的數(shù)據(jù)的安全性。信息系統(tǒng)的生命周期主要分為五個階段：初始階段、采購 /開發(fā)階段、實施階段、運行維護階段和廢棄階段。 管理類安全要求正是針對這五個階段中的不同安全活動提出的， 分為：安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理五個方面。一、技術類安全要求（1）物理安全二級（一般） 二級（增強）序號 安全要求對象 對象 程度（*）1 物理位置的選擇 主機房 主機房主機房 主機房、信息管理部門2 物理訪問控制 *辦公室、弱電間主機房 主機房、信息管理部門3 防盜竊和防破壞 *辦公室、弱電間主機房 主機房、樓4 防雷擊層弱電間5 防火 主機房 主機房 *37主機房主機房、樓6防水和防潮*層弱電間7防靜電主機房主機房8溫濕度控制主機房主機房主機房、掛號主機房、樓收費終端層弱電間、9電力供應*掛號收費終端不適用不適用醫(yī)院選址10電磁防護時已考慮（2）網(wǎng)絡安全二級（一般）二級（增強）序號安全要求對象對象程度（*）內網(wǎng)網(wǎng)絡全網(wǎng)絡，重1結構安全點要求內外網(wǎng)隔離2訪問控制內網(wǎng)網(wǎng)絡全網(wǎng)絡*核心網(wǎng)絡設核心網(wǎng)絡設3安全審計*備備內網(wǎng)網(wǎng)絡內網(wǎng)網(wǎng)絡、4邊界完整性檢查*內網(wǎng)與外網(wǎng)385 入侵防范6 網(wǎng)絡設備防護7 網(wǎng)絡可用性（3）主機安全序號 安全要求1 身份鑒別2 訪問控制3 安全審計

接口不適用 內網(wǎng)網(wǎng)絡以及與外網(wǎng)網(wǎng)絡接口核心網(wǎng)絡設 核心網(wǎng)絡設備 備、樓層接 *入網(wǎng)絡設備冷備 雙機熱備（重要服務器）二級（一般）二級（增強）對象對象程度（*）所有服務器、所有服務各類工作站器、各類工*作站所有服務器、所有服務各類工作站器、各類工*作站所有服務器所有服務器、各類工*作站394 入侵防范 不適用 所有服務器所有服務器、 所 有 服 務5 惡意代碼防范 各類工作站 器、各類工作站6 資源控制 不適用 核心服務器7 主機可用性 冷備 雙機熱備4）應用安全目前，安全要求的應用安全部分主要針對實現(xiàn)綜合業(yè)務和臨床業(yè)務功能的應用系統(tǒng)提出相應的技術安全要求。 其他行政管理類應用系統(tǒng)從系統(tǒng)遭到破壞后的影響程度來看， 基本定位于第一級。因此建議采用第一級的有關要求，提出較通用的應用安全要求， 《HIS系統(tǒng)基本要求》中的威脅分析、安全目標等環(huán)節(jié)不再進行詳細分析描述。a.綜合業(yè)務、臨床業(yè)務二級（一般） 二級（增強）序號 安全要求對象 對象 程度（*）門急診、掛號 綜合業(yè)務、臨1 身份鑒別 收費應用 床業(yè)務等關 *鍵業(yè)務應用門急診、掛號 綜合業(yè)務、臨2 訪問控制 收費應用 床業(yè)務等關 *鍵業(yè)務應用門急診、掛號 綜合業(yè)務、臨3 安全審計 *收費應用 床業(yè)務等關404 通信完整性5 通信保密性6 軟件容錯7 資源控制行政管理系統(tǒng)

鍵業(yè)務應用不適用 PACS關鍵業(yè)務應用數(shù)據(jù)身份鑒別信 身份鑒別信息 息、電子病歷應用數(shù)據(jù)門急診、掛號 綜合業(yè)務、臨收費應用 床業(yè)務等關鍵業(yè)務應用不適用 綜合業(yè)務、臨床業(yè)務等關鍵業(yè)務應用序號安全要求一般增強1身份鑒別教育系統(tǒng)、科人事系統(tǒng)、2訪問控制研系統(tǒng)、OA財務系統(tǒng)3安全審計系統(tǒng)（5）數(shù)據(jù)安全（需根據(jù)業(yè)務數(shù)據(jù)的重新分類確定）二級（一般） 二級（增強）序號 安全要求對象 對象 程度（*）411數(shù)據(jù)完整性不適用Dicom數(shù)據(jù)身份鑒別信身份鑒別信息息、患者信息（包括電子病歷、醫(yī)囑、2 數(shù)據(jù)保密性3 備份和恢復

檢驗結果等）、藥品信息（包括藥劑材料用量等）門急診、掛號 綜合業(yè)務、臨收費數(shù)據(jù) 床業(yè)務的關鍵業(yè)務數(shù)據(jù)二、管理類安全要求序號安全管理要求備注1.管理制度1、管理類安全要求是一2.制定和發(fā)布個整體實施管理的過程，安全管理制度3.評審和修訂不再區(qū)分二級（一般）和4.崗位設置二級（增強），標準編寫5.人員配備時將結合HIS系統(tǒng)的應用6.授權和審批特點，重點參考借鑒《HIS安全管理機構7.溝通和合作安全策略》中的有關要8.審核和檢查求。429.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.

人員錄用人員離崗人員安全管理 人員考核安全意識教育和培訓外部人員訪問管理系統(tǒng)定級安全方案設計產(chǎn)品采購和使用自行軟件開發(fā)系統(tǒng)建設管理 外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付安全服務商選擇環(huán)境管理資產(chǎn)管理介質管理設備管理系統(tǒng)運維管理網(wǎng)絡安全管理系統(tǒng)安全管理惡意代碼防范管理密碼管理

2、已建HIS系統(tǒng)將主要涉及管理制度、管理機構、人員安全、系統(tǒng)運維管理的有關管理要求，在新建系統(tǒng)或系統(tǒng)改擴建時需按照系統(tǒng)建設管理要求建設實施。3、應急響應中重點突出對外服務（如門急診掛號配藥等）涉及設備的備份措施，雙機熱備的切換演練等。4331.32.33.34.

變更管理備份與恢復管理安全事件處置應急預案管理安全基本要求8.1 二級（一般）安全要求8.1.1技術要求8.1.1.1物理安全8.1.1.1.1物理位置的選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內。8.1.1.1.2物理訪問控制機房出入口應有身份鑒別機制（人工或電子方式），鑒別進入的人員身份并登記在案；進入機房的來訪人員應有醫(yī)院方面的授權并由醫(yī)院專人陪同，限制和監(jiān)控其活動范圍。8.1.1.1.3防盜竊和防破壞應將主要設備放置在機房等物理受限的范圍內；應注意對機房、線纜等重要區(qū)域做防鼠措施；應對服務器、網(wǎng)絡設備等關鍵設施進行固定，并設置明顯的標記；44應將通信線纜鋪設在隱蔽處，如鋪設在地下或管道中等；應對信息科室使用的介質（諸如：存有信息的光盤、軟盤、移動硬盤、紙質文檔等）分類標識，存儲在介質庫或檔案室中；應安裝必要的防盜報警設施，以防進入機房的盜竊和破壞行為；存有重要信息的設備或存儲介質攜帶出工作環(huán)境時，應登記說明。8.1.1.1.4防雷擊機房建筑應設置避雷裝置；應設置交流電源地線。8.1.1.1.5防火a) 應設置滅火設備和火災自動報警系統(tǒng)， 并保持滅火設備和火災自動報警系統(tǒng)的良好狀態(tài)；機房內不應使用或堆放易燃物品或材料。8.1.1.1.6防水和防潮水管安裝，不得穿過屋頂和活動地板下；應對穿過墻壁和樓板的水管增加必要的保護措施，如設置套管；應采取措施防止雨水通過屋頂和墻壁滲透；應采取措施防止室內水蒸氣結露和地下積水的轉移與滲透。8.1.1.1.7防靜電應采用必要的接地防靜電措施；機房地板鋪設應采用機房專用防靜電活動地板。458.1.1.1.8溫濕度控制應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內；溫、濕度自動調節(jié)設施宜具備斷續(xù)電自動重啟機制；應于關鍵場所配備溫濕度監(jiān)控設施。8.1.1.1.9電力供應計算機系統(tǒng)供電應與其他供電分開；應設置穩(wěn)壓器和過電壓防護設備；應提供備用電力供應（如：UPS設備、發(fā)電機等）；應對UPS等設備做定期維護并保證此類設備的負載在合理范圍內；UPS設備應能夠于特定狀態(tài)下（如啟動、中斷、故障等）向管理人員發(fā)出告警（如短信、聲音方式）；關鍵設備（如：核心服務器、核心交換機等）應保證電力供應來源的冗余，如：由不同供電途徑作為電源輸入。8.1.1.1.10電磁防護電源線和通信線纜應隔離，避免互相干擾；機房區(qū)域應遠離強電磁和輻射源。8.1.1.2網(wǎng)絡安全8.1.1.2.1結構安全網(wǎng)絡設備的業(yè)務處理能力應具備冗余空間，要求滿足業(yè)務高峰期需要；應設計和繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖；應根據(jù)醫(yī)院業(yè)務的特點，在滿足業(yè)務高峰期需要的基礎上，合理設計網(wǎng)絡帶寬；應在各工作站與服務器之間進行路由控制，建立安全的訪問路徑；46應根據(jù)各科室的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。8.1.1.2.2訪問控制醫(yī)院內網(wǎng)與醫(yī)院外網(wǎng)之間應采用物理或邏輯的方式予以隔離；醫(yī)院信息系統(tǒng)重要網(wǎng)段（如服務器網(wǎng)段），應能根據(jù)會話狀態(tài)信息（包括數(shù)據(jù)包的源地址、目的地址、源端口號、目的端口號、協(xié)議、出入的接口、會話序列號、發(fā)出信息的主機名等信息），為數(shù)據(jù)流提供明確的允許 /拒絕訪問的能力；a) 應具備記錄、允許或拒絕終端 PC接入醫(yī)院網(wǎng)絡的能力。8.1.1.2.3邊界完整性檢查應能夠檢測內部網(wǎng)絡中出現(xiàn)的內部用戶未通過準許私自聯(lián)到外部網(wǎng)絡的行為（即“非法外聯(lián)”行為）。8.1.1.2.4網(wǎng)絡設備防護應對登錄網(wǎng)絡設備的用戶進行身份鑒別；應對網(wǎng)絡設備的管理員登錄地址進行限制；網(wǎng)絡設備用戶應清晰明確且處于受控狀態(tài)；身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等；應具有登錄失敗處理功能，如：結束會話、限制非法登錄次數(shù)，當網(wǎng)絡登錄連接超時，自動退出。8.1.1.2.5網(wǎng)絡可用性應對關鍵網(wǎng)絡設備根據(jù)安全策略進行冗余備份；應對冗余備份的有效性做定期校驗。478.1.1.3主機系統(tǒng)安全8.1.1.3.1身份鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶應清晰明確且處于受控狀態(tài)；應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；c) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)身份鑒別信息應具有不易被冒用的特點， 例如口令長度、復雜性和定期的更新等；應具有登錄失敗處理功能，如：結束會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出。8.1.1.3.2訪問控制應依據(jù)安全策略控制主體（如用戶等）對客體（如目錄、文件、視圖、表等資源）的訪問；訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作；應由授權主體設置對客體訪問和操作的權限；應嚴格限制默認用戶的訪問權限；e) 應對醫(yī)院內接入信息系統(tǒng)的終端的設備接口（如光驅、軟驅、 USB口等）進行管理和控制。8.1.1.3.3安全審計安全審計應覆蓋到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；安全審計應記錄系統(tǒng)內重要的安全相關事件，包括重要用戶行為和重要系統(tǒng)命令的使用等；安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等；審計進程應受到保護避免受到未預期的中斷；審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。488.1.1.3.4惡意代碼防范服務器和重要終端設備（包括移動設備）應安裝實時檢測和查殺惡意代碼的軟件產(chǎn)品。8.1.1.3.5資源控制應根據(jù)安全策略設置登錄終端的操作超時響應和鑒別失敗響應機制；當系統(tǒng)的服務水平降低到預先規(guī)定的最小值時，應能及時檢測、報警并予以處理。8.1.1.3.6主機可用性應對關鍵主機設備根據(jù)安全策略進行冗余備份；應對冗余備份的有效性做定期校驗。8.1.1.4應用安全8.1.1.4.1身份鑒別應用系統(tǒng)用戶的身份標識應具有唯一性；應對登錄的用戶進行身份標識和鑒別；系統(tǒng)用戶身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等；應具有登錄失敗處理功能，如：結束會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出；應用系統(tǒng)應及時清除存儲空間中動態(tài)使用的鑒別信息。8.1.1.4.2訪問控制應依據(jù)安全策略控制用戶對客體的訪問；訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作；49訪問控制的粒度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級；應由授權主體設置用戶對系統(tǒng)功能操作和對數(shù)據(jù)訪問的權限，特別是諸如藥品及材料的用量等信息的訪問；應實現(xiàn)應用系統(tǒng)特權用戶的權限分離，例如將管理與審計的權限分配給不同的應用系統(tǒng)用戶；權限分離應采用最小授權原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權限，并在它們之間形成相互制約的關系；應嚴格限制默認用戶的訪問權限（如使用2次開發(fā)產(chǎn)品作應用平臺的情況）。8.1.1.4.3安全審計安全審計應覆蓋到應用系統(tǒng)的每個用戶；安全審計應記錄應用系統(tǒng)重要的安全相關事件，包括重要用戶行為和重要系統(tǒng)功能的執(zhí)行等；安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等；安全審計應可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。8.1.1.4.4通信完整性在PACS系統(tǒng)中傳輸?shù)臉I(yè)務數(shù)據(jù)應具備完整性校驗機制（如使用醫(yī)學數(shù)字成像及通信標準，DICOM3.0）。8.1.1.4.5通信保密性在通信過程中，應對敏感信息字段（如：電子病歷、藥材用量等）進行加密。8.1.1.4.6軟件容錯應對通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)進行有效性檢驗；50應有狀態(tài)監(jiān)測能力，當故障發(fā)生時，能實時檢測到故障狀態(tài)并報警。8.1.1.4.7資源控制應根據(jù)安全策略設置用戶登錄的操作超時響應和鑒別失敗響應機制；應根據(jù)安全策略限制同一用戶賬號在同一時間內并發(fā)登錄數(shù)。8.1.1.5數(shù)據(jù)安全8.1.1.5.1完整性應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)（如患者基本信息、診療相關的信息、經(jīng)濟相關的費用信息等）在存儲過程中完整性受到破壞。8.1.1.5.2數(shù)據(jù)保密性a) 網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)（如患者的基本信息、診療相關的信息等）應采用加密或其他保護措施實現(xiàn)存儲保密性；當使用便攜式和移動式設備時，應加密存儲敏感信息；用于特定業(yè)務通信（遠程診療、移動醫(yī)生工作站等）的通信信道應符合相關的國家規(guī)定。8.1.1.5.3備份和恢復應提供自動機制對重要信息（如臨床信息、管理信息）進行有選擇的數(shù)據(jù)備份；應提供恢復重要信息的功能。518.1.2管理要求8.1.2.1安全管理制度8.1.2.1.1管理制度應制定信息安全工作的總體方針、政策性文件和安全策略等，說明醫(yī)院信息安全工作的總體目標、范圍、方針、原則、責任等；應對安全管理活動中重要的管理內容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；c) 應對要求管理人員或操作人員執(zhí)行的重要管理操作， 建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤。8.1.2.1.2制定和發(fā)布應在信息安全職能部門的總體負責下，組織相關業(yè)務科室或人員制定；應保證安全管理制度具有統(tǒng)一的格式風格，并進行版本控制；應組織相關人員對制定的管理制度進行論證和審定；安全管理制度應經(jīng)過管理層簽發(fā)后按照一定的程序以文件形式發(fā)布。8.1.2.1.3評審和修訂a) 應定期對安全管理制度進行評審和修訂， 對存在不足或需要改進的安全管理制度進行修訂。8.1.2.2安全管理機構8.1.2.2.1崗位設置a) 醫(yī)院應針對信息安全工作成立相關信息安全領導機構， 設立安全主管人、 安全管理各個方面的負責人，定義各負責人的職責；52應于醫(yī)院信息科室設立系統(tǒng)管理人員、網(wǎng)絡管理人員、應用管理人員、安全管理人員等角色，定義各個角色的職責；應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。8.1.2.2.2人員配備應配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡管理人員、應用管理人員、安全管理人員等。8.1.2.2.3授權和審批應授權審批部門及批準人，對關鍵活動進行審批；應列表說明須審批的事項、審批部門和可批準人。8.1.2.2.4溝通和合作應加強各類合作與溝通（如醫(yī)院內部、與上級主管部門、與集成商等），定期或不定期召開協(xié)調會議，共同協(xié)助處理信息安全問題和確保安全工作的實施。8.1.2.2.5審核和檢查應由安全管理人員定期進行安全檢查，檢查內容包括終端使用情況、用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計情況等。8.1.2.3人員安全管理8.1.2.3.1人員錄用應保證被錄用人具備基本的專業(yè)技術水平和安全管理知識；應對被錄用人的身份、背景、專業(yè)資格和資質等進行審查；應對被錄用人所具備的技術技能進行考核；應對被錄用人說明其角色和職責；應簽署保密協(xié)議。538.1.2.3.2人員離崗應立即終止由于各種原因即將離崗的員工的所有訪問權限；應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備和其他介質；應經(jīng)醫(yī)院人事部門辦理嚴格的調離手續(xù)，并承諾調離后的保密義務后方可離開。8.1.2.3.3人員考核應定期對各個崗位的人員進行安全技能及安全認知的考核；應對關鍵崗位的人員進行全面、嚴格的安全審查；應對違背安全策略和規(guī)定的人員進行懲戒。8.1.2.3.4安全意識教育和培訓應對各類人員進行安全意識教育；應告知人員相關的安全責任和懲戒措施；應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓；應對安全教育和培訓的情況和結果進行記錄并歸檔保存。8.1.2.3.5外部人員訪問管理第三方人員應在訪問前與機構簽署安全責任合同書或保密協(xié)議；對重要區(qū)域的訪問，必須經(jīng)過有關負責人的批準，并由專人陪同或監(jiān)督下進行，并記錄備案；未經(jīng)許可不允許第三方人員使用任何方法（如拷貝磁盤、刻錄光盤、打印數(shù)據(jù)、手工記錄等）帶走任何數(shù)據(jù)和程序；外部人員使用的系統(tǒng)或設備帳號在其離開后應立即更改口令。548.1.2.4系統(tǒng)建設管理8.1.2.4.1系統(tǒng)定級應明確信息系統(tǒng)劃分的方法；應確定信息系統(tǒng)的安全保護等級；c) 應以書面的形式定義確定了安全保護等級的信息系統(tǒng)的屬性， 包括使命、業(yè)務、網(wǎng)絡、硬件、軟件、數(shù)據(jù)、邊界、人員等；應確保信息系統(tǒng)的定級結果經(jīng)過相關部門的批準。8.1.2.4.2安全方案設計a) 應根據(jù)系統(tǒng)的安全級別選擇基本安全措施， 依據(jù)風險評估的結果補充和調整安全措施；b) 應以書面的形式描述對系統(tǒng)的安全保護要求和策略、 安全措施等內容，形成系統(tǒng)的安全方案；應對安全方案進行細化，形成能指導安全系統(tǒng)建設和安全產(chǎn)品采購的詳細設計方案；應組織相關部門和有關安全技術專家對安全設計方案的合理性和正確性進行論證和審定；應確保安全設計方案必須經(jīng)過批準，才能正式實施。8.1.2.4.3產(chǎn)品采購應確保安全產(chǎn)品的使用符合國家的有關規(guī)定；應確保密碼產(chǎn)品的使用符合國家密碼主管部門的要求；應指定或授權專門的部門負責產(chǎn)品的采購。8.1.2.4.4自行軟件開發(fā)應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；55應確保提供軟件設計的相關文檔和使用指南；應在軟件安裝之前檢測軟件包中可能存在的惡意代碼；應確保系統(tǒng)開發(fā)文檔由專人負責保管，系統(tǒng)開發(fā)文檔的使用受到控制。8.1.2.4.5外包軟件開發(fā)應與軟件開發(fā)單位簽訂協(xié)議，明確知識產(chǎn)權的歸屬和安全方面的要求；應根據(jù)協(xié)議的要求檢測軟件質量；應在軟件安裝之前檢測軟件包中可能存在的惡意代碼；應確保提供軟件設計的相關文檔和使用指南。8.1.2.4.6工程實施應與工程實施單位簽訂與安全相關的協(xié)議，約束工程實施單位的行為；應指定或授權專門的人員或部門負責工程實施過程的管理；應制定詳細的工程實施方案控制實施過程。8.1.2.4.7測試驗收應對系統(tǒng)進行安全性測試驗收；b) 應在測試驗收前根據(jù)設計方案或合同要求等制訂測試驗收方案， 測試驗收過程中詳細記錄測試驗收結果，形成測試驗收報告；應組織相關部門和相關人員對系統(tǒng)測試驗收報告進行審定，沒有疑問后由雙方簽字。8.1.2.4.8系統(tǒng)交付應明確系統(tǒng)的交接手續(xù)，并按照交接手續(xù)完成交接工作；應由系統(tǒng)建設方完成對委托建設方的運維技術人員的培訓；應由系統(tǒng)建設方提交系統(tǒng)建設過程中的文檔和指導用戶進行系統(tǒng)運行維護的文檔；應由系統(tǒng)建設方進行服務承諾，并提交服務承諾書，確保對系統(tǒng)運行維護的支持。568.1.2.4.9安全服務商選擇應確保安全服務商的選擇符合國家的有關規(guī)定。8.1.2.5系統(tǒng)運維管理8.1.2.5.1環(huán)境管理應對機房供配電、空調、溫濕度控制等設施指定專人或專門的部門定期進行維護管理；應建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定；應對機房來訪人員實行登記管理，同時限制來訪人員的活動范圍；加強對辦公環(huán)境的保密性管理，包括如工作人員調離應立即交還鑰匙、磁卡和不在辦公區(qū)接待來訪人員等。8.1.2.5.2資產(chǎn)管理應建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責任人員或責任部門；應編制并保存與信息系統(tǒng)相關的資產(chǎn)、資產(chǎn)所屬關系、安全級別和所處位置等信息的資產(chǎn)清單；應根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行定性賦值和標識管理，根據(jù)資產(chǎn)的價值選擇相應的管理措施。8.1.2.5.3介質管理應確保介質存放在安全的環(huán)境中，并對各類介質進行控制和保護，以防止被盜、被毀、被未授權的修改以及信息的非法泄漏；應有介質的存儲、歸檔、登記和查詢記錄，并根據(jù)備份及存檔介質的目錄清單定期盤點；57c) 對于需要送出維修或銷毀的介質， 應首先清除介質中的敏感數(shù)據(jù)， 防止信息的非法泄漏；d) 應根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質進行分類和標識管理， 并實行存儲環(huán)境專人管理。8.1.2.5.4設備管理應對信息系統(tǒng)相關的各種設施、設備、線路等指定專人或專門的部門定期進行維護管理；應對信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放或領用等過程建立基于申報、審批和專人負責的管理規(guī)定；應對服務器、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備的操作和使用進行規(guī)范化管理；應對帶離機房或辦公地點的信息處理設備進行控制；應按操作規(guī)程實現(xiàn)服務器的啟動/停止、加電/斷電等操作，加強對服務器操作的日志文件管理和監(jiān)控管理，應按安全策略的要求對網(wǎng)絡設備進行配置，并對其配置進行備份和定期檢查。8.1.2.5.5監(jiān)控管理應對醫(yī)院信息系統(tǒng)內所有物理門禁、設備運行、通信鏈路、環(huán)境參數(shù)、應用情況進行監(jiān)控，對異常行為應能及時發(fā)現(xiàn)并報警。8.1.2.5.6網(wǎng)絡安全管理應指定專人對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作；應建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置和日志等方面作出規(guī)定；應根據(jù)廠家提供的軟件升級版本對網(wǎng)絡設備進行更新，并在更新前對現(xiàn)有的重要文件進行備份；應保證所有與外部系統(tǒng)的連接均應得到授權和批準；58應對網(wǎng)絡設備的安全策略、授權訪問、最小服務、升級與打補丁、維護記錄、日志等方面做出具體要求。8.1.2.5.7系統(tǒng)安全管理應指定專人對系統(tǒng)進行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶；應制訂系統(tǒng)安全管理制度，對系統(tǒng)安全配置、系統(tǒng)賬戶以及審計日志等方面作出規(guī)定；應定期安裝系統(tǒng)的最新補丁程序，并根據(jù)廠家提供的可能危害計算機的漏洞進行及時修補，并在安裝系統(tǒng)補丁前對現(xiàn)有的重要文件進行備份；應根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略，系統(tǒng)訪問控制策略用于控制分配信息系統(tǒng)、文件及服務的訪問權限；應對系統(tǒng)賬戶進行分類管理，權限設定應當遵循最小授權要求；應對系統(tǒng)的安全策略、授權訪問、最小服務、升級與打補丁、維護記錄、日志等方面做出具體要求；應規(guī)定系統(tǒng)審計日志的保存時間以便為可能的安全事件調查提供支持；應進行系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行及時的修補。8.1.2.5.8惡意代碼防范管理應提高所用用戶的防病毒意識，告知及時升級防病毒軟件；應在讀取移動存儲設備（如軟盤、移動硬盤、光盤）上的數(shù)據(jù)以及網(wǎng)絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網(wǎng)絡系統(tǒng)之前也要進行病毒檢查；應指定專人對網(wǎng)絡和主機的進行惡意代碼檢測并保存檢測記錄；應對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等作出明確管理規(guī)定。8.1.2.5.9密碼管理密碼算法和密鑰的使用應符合國家密碼管理規(guī)定。598.1.2.5.10變更管理確認系統(tǒng)中要發(fā)生的變更，并制定變更方案；建立變更管理制度，重要系統(tǒng)變更前，應向主管領導申請，審批后方可實施變更，并以書面形式留檔；系統(tǒng)變更情況應向所有相關人員通告。8.1.2.5.11備份與恢復管理應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；應規(guī)定備份信息的備份方式（如增量備份或全備份等）、備份頻度（如每日或每周等）、存儲介質、保存期等；應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略，備份策略應指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒?；應指定相應的負責人定期維護和檢查備份及冗余設備的狀況，確保需要接入系統(tǒng)時能夠正常運行；根據(jù)備份方式，規(guī)定相應設備的安裝、配置和啟動的流程。8.1.2.5.12安全事件處置a) 所有用戶均有責任報告自己發(fā)現(xiàn)的安全弱點和可疑事件， 但任何情況下用戶均不應嘗試驗證弱點；b) 應制定安全事件報告和處置管理制度， 規(guī)定安全事件的現(xiàn)場處理、 事件報告和后期恢復的管理職責；應分析信息系統(tǒng)的類型、網(wǎng)絡連接特點和信息系統(tǒng)用戶特點，了解本系統(tǒng)和同類系統(tǒng)已發(fā)生的安全事件，識別本系統(tǒng)需要防止發(fā)生的安全事件，事件可能來自攻擊、錯誤、故障、事故或災難；60d) 應根據(jù)國家相關管理部門對計算機安全事件等級劃分方法， 根據(jù)安全事件在本系統(tǒng)產(chǎn)生的影響，將本系統(tǒng)計算機安全事件進行等級劃分； （注明：需另行參考相關標準）e) 應記錄并保存所有報告的安全弱點和可疑事件， 分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生。8.1.2.5.13應急預案管理a) 應在統(tǒng)一的應急預案框架下制定不同事件的應急預案， 應急預案框架應包括啟動應急預案的條件、 應急處理流程、系統(tǒng)恢復流程和事后教育和培訓等內容， 制定的應急預案須經(jīng)醫(yī)院各相關科室確認且具備可操作性；b) 對涉及實時性要求高的局部系統(tǒng)（如門急診、掛號、收費系統(tǒng)等），在 15分鐘內無法恢復系統(tǒng)正常使用的情況下，應立即啟動應急預案并上報上級單位；應對系統(tǒng)相關的人員進行培訓使之了解如何及何時使用應急預案中的控制手段及恢復策略，對應急預案的培訓和演練至少每年舉辦一次并應留有記錄。8.2 二級（增強）安全要求8.2.1技術要求8.2.1.1物理安全8.2.1.1.1物理位置的選擇機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內；機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。（未符合此要求項，則須符合要求項8.2.1.1.4和8.2.1.1.6）618.2.1.1.2物理訪問控制機房出入口應有身份鑒別機制（人工或電子方式），鑒別進入的人員身份并登記在案；進入機房的來訪人員應有醫(yī)院方面的授權并由醫(yī)院專人陪同，限制和監(jiān)控其活動范圍。8.2.1.1.3防盜竊和防破壞應將主要設備放置在機房等物理受限的范圍內；應注意對機房、線纜等重要區(qū)域做防鼠措施；應對服務器、網(wǎng)絡設備等關鍵設施進行固定，并設置明顯的標記；應將通信線纜鋪設在隱蔽處，如鋪設在地下或管道中等；應對信息科室使用的介質（諸如：存有信息的光盤、軟盤、移動硬盤、紙質文檔等）分類標識，存儲在介質庫或檔案室中；應安裝必要的防盜報警設施，以防進入機房的盜竊和破壞行為；存有重要信息的設備或存儲介質攜帶出工作環(huán)境時，應指定專人負責和內容加密。8.2.1.1.4防雷擊機房建筑應設置避雷裝置；應設置交流電源地線。8.2.1.1.5防火a) 應設置滅火設備和火災自動報警系統(tǒng)， 并保持滅火設備和火災自動報警系統(tǒng)的良好狀態(tài)；機房內不應使用或堆放易燃物品或材料；有條件的醫(yī)院應使用機房專用自動滅火裝置。628.2.1.1.6防水和防潮水管安裝，不得穿過屋頂和活動地板下；應對穿過墻壁和樓板的水管增加必要的保護措施，如設置套管；應采取措施防止雨水通過屋頂和墻壁滲透；應采取措施防止室內水蒸氣結露和地下積水的轉移與滲透。8.2.1.1.7防靜電應采用必要的接地防靜電措施；機房地板鋪設應采用機房專用防靜電活動地板。8.2.1.1.8溫濕度控制應設置溫、濕度自動調節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內；溫、濕度自動調節(jié)設施宜具備斷續(xù)電自動重啟機制；應于關鍵場所配備溫濕度監(jiān)控設施；有條件的醫(yī)院應對溫、濕度自動調節(jié)設施做冗余備份；有條件的醫(yī)院可采用關鍵場所的整體環(huán)境監(jiān)控系統(tǒng)。8.2.1.1.9電力供應計算機系統(tǒng)供電應與其他供電分開；應設置穩(wěn)壓器和過電壓防護設備；應提供備用電力供應（如：UPS設備、發(fā)電機等）；應對UPS等設備做定期維護并保證此類設備的負載在合理范圍內；UPS設備應能夠于特定狀態(tài)下（如啟動、中斷、故障等）向管理人員發(fā)出告警（如短信、聲音方式）；關鍵設備（如：核心服務器、核心交換機等）應保證電力供應來源的冗余，如：由