醫(yī)院信息化安全建設(shè)項目安全建設(shè)思路等級保護建設(shè)流程等級保護的設(shè)計與實施通過以下步驟進行：系統(tǒng)識別與定級：通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對系統(tǒng)的依賴程度確定系統(tǒng)的等級。通過此步驟充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級，為下一步安全域設(shè)計、安全保障體系框架設(shè)計、安全要求選擇以及安全措施選擇提供依據(jù)。安全域設(shè)計：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計將系統(tǒng)分解為多個層次，為下一步安全保障體系框架設(shè)計提供基礎(chǔ)框架。安全保障體系框架設(shè)計：根據(jù)安全域框架，設(shè)計系統(tǒng)各個層次的安全保障體系框架（包括策略、組織、技術(shù)和運作），各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架。確定安全域安全要求：參照國家相關(guān)等級保護安全要求，設(shè)計等級安全指標庫。通過安全域適用安全等級選擇方法確定系統(tǒng)各區(qū)域等級，明確各安全域所需采用的安全指標。評估現(xiàn)狀：根據(jù)各等級的安全要求確定各等級的評估內(nèi)容，根據(jù)國家相關(guān)風(fēng)險評估方法，對系統(tǒng)各層次安全域進行有針對性的等級風(fēng)險評估。通過等級風(fēng)險評估，可以明確各層次安全域相應(yīng)等級的安全差距，為下一步安全技術(shù)解決方案設(shè)計和安全管理建設(shè)提供依據(jù)。安全技術(shù)解決方案設(shè)計：針對安全要求，建立安全技術(shù)措施庫。通過等級風(fēng)險評估結(jié)果，設(shè)計系統(tǒng)安全技術(shù)解決方案。安全管理建設(shè)：針對安全要求，建立安全管理措施庫。通過等級風(fēng)險評估結(jié)果，進行安全管理建設(shè)。參考標準《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）《信息系統(tǒng)安全保護等級定級指南》（GB/T22240-2008）《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》《信息安全等級保護實施指南》（報批稿）《信息系統(tǒng)安全等級保護測評要求》（送審稿）GA/T387－2002計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求GA/T388－2002計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求GA/T389－2002計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求GA/T390－2002計算機信息系統(tǒng)安全等級保護通用技術(shù)要求GA/T391－2002計算機信息系統(tǒng)安全等級保護管理要求GB/T18019-1999信息技術(shù)－包過濾防火墻安全技術(shù)要求GB/T18020-1999信息技術(shù)－應(yīng)用級防火墻安全技術(shù)要求ISO27000IATF：《信息保障技術(shù)框架》ISO/IEC15408（CC）ISO/IEC13335，第一部分：《IT安全的概念和模型》；第二部分：《IT安全