本文格式為Word版下載后可任意編輯和復(fù)制第第頁信息安全整改措施

XX醫(yī)院信息平安等級愛護(hù)

XX醫(yī)院信息平安等級愛護(hù)

建設(shè)整改方案

福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司

版權(quán)全部侵權(quán)必究

修

訂記

錄

目

1錄

2

3概述41.1目的41.2等級平安體系設(shè)計目標(biāo)41.2.1總體目標(biāo)51.2.2平安技術(shù)體系目標(biāo)5平安需求分析62.1現(xiàn)狀分析62.1.1網(wǎng)絡(luò)體系現(xiàn)狀62.1.2平安體系現(xiàn)狀62.1.3應(yīng)用系統(tǒng)現(xiàn)狀72.2平安風(fēng)險威逼分析82.3平安問題總結(jié)82.3.1網(wǎng)絡(luò)平安問題82.3.2主機(jī)平安問題92.3.3應(yīng)用系統(tǒng)和數(shù)據(jù)平安92.3.4平安保障92.4平安需求總結(jié)92.4.1身份鑒別與訪問掌握92.4.2病毒的防治錯誤！未定義書簽。2.4.3平安審計錯誤！未定義書簽。2.4.4平安管理錯誤！未定義書簽。

等保平安體系總體設(shè)計9

3.1等級愛護(hù)體系概述錯誤！未定義書簽。

3.2等級化平安體系設(shè)計方法錯誤！未定義書簽。

3.33.2.111

分域愛護(hù)框架建立錯誤！未定義書簽。

4

53.3.111整改方案總結(jié)錯誤！未定義書簽。

附錄：資產(chǎn)清單列表錯誤！未定義書簽。

概述

1.1編制背景

隨著醫(yī)療衛(wèi)生體制改革的不斷深化，衛(wèi)生行業(yè)信息化應(yīng)用不斷普及。醫(yī)院信息系統(tǒng)已成為醫(yī)療服務(wù)的重要支撐體系。醫(yī)院信息系統(tǒng)的平安性直接關(guān)系到醫(yī)院醫(yī)療工作的正常運行，一旦網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失，將會給醫(yī)院和病人帶來巨大的災(zāi)難和難以彌補(bǔ)的損失。同時，醫(yī)院信息系統(tǒng)涉及大量醫(yī)院經(jīng)營和患者醫(yī)療等私密信息，信息的泄露和傳播將會給醫(yī)院、社會和患者帶來平安風(fēng)險。

為貫徹落實國家信息平安等級愛護(hù)制度，根據(jù)《衛(wèi)生部關(guān)于印發(fā)〈衛(wèi)生行業(yè)信息平安等級愛護(hù)工作的指導(dǎo)意見〉的通知》要求，XX醫(yī)院樂觀開展等級測評工作。醫(yī)院信息系統(tǒng)是支撐醫(yī)院系統(tǒng)運作及各部門共同合作與營運的關(guān)鍵應(yīng)用，承載著醫(yī)院主要的業(yè)務(wù)數(shù)據(jù)。通過信息系統(tǒng)等級愛護(hù)定級和平安測評工作，提前發(fā)覺信息系統(tǒng)中存在的平安風(fēng)險和漏洞，據(jù)此提出信息系統(tǒng)平安等級愛護(hù)整改和解決方案，避開平安大事對業(yè)務(wù)工作帶來損失；完善信息系統(tǒng)平安管理制度，提升信息系統(tǒng)平安管理水平。

1.2編制目的

依據(jù)XX醫(yī)院網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀和將來的應(yīng)用需求，并結(jié)合等級化愛護(hù)的相關(guān)要求，而制定針對性的技術(shù)方案與管理方案，為XX醫(yī)院信息系統(tǒng)的等級化平安體系改造和加固供應(yīng)參考和實施依據(jù)。本方案將主要闡述和針對XX醫(yī)院網(wǎng)絡(luò)系統(tǒng)的改造和信息平安體系的規(guī)劃設(shè)計。

主要內(nèi)容為XX醫(yī)院信息系統(tǒng)的總體信息平安體系平安改造，包括以下幾個方面：

?

?

?

?

?建設(shè)XX醫(yī)院網(wǎng)絡(luò)平安基礎(chǔ)設(shè)施；XX醫(yī)院信息系統(tǒng)的邊界平安愛護(hù)；XX醫(yī)院信息系統(tǒng)的計算環(huán)境平安愛護(hù)；建立XX醫(yī)院信息系統(tǒng)的平安管理和運維體系。

1.3等級平安體系設(shè)計目標(biāo)

依據(jù)對XX醫(yī)院信息系統(tǒng)的全面了解，并結(jié)合國家的相關(guān)政策標(biāo)準(zhǔn)，XX醫(yī)院網(wǎng)絡(luò)系統(tǒng)的信息平安建設(shè)目標(biāo)如下。

4

1.3.1總體目標(biāo)

為了落實《衛(wèi)生行業(yè)信息平安等級愛護(hù)工作的指導(dǎo)意見》（衛(wèi)辦發(fā)〔2022〕85號）和《關(guān)于全面開展衛(wèi)生行業(yè)信息平安等級愛護(hù)工作的通知》（衛(wèi)辦綜函[2022]1126號），實施符合國家標(biāo)準(zhǔn)的平安等級愛護(hù)體系建設(shè)，通過對XX醫(yī)院網(wǎng)絡(luò)系統(tǒng)的平安等級劃分，確保XX醫(yī)院網(wǎng)絡(luò)的核心信息資產(chǎn)的平安性，從而使重要信息系統(tǒng)的平安威逼最小化，達(dá)到網(wǎng)絡(luò)信息平安投入的最優(yōu)化。最終實現(xiàn)如下總體平安目標(biāo)：

（1）依據(jù)信息系統(tǒng)所包括的信息資產(chǎn)的平安性、信息系統(tǒng)主要處理的業(yè)務(wù)信息類別、信息系統(tǒng)

服務(wù)范圍以及業(yè)務(wù)對信息系統(tǒng)的依靠性等指標(biāo)，來劃分信息系統(tǒng)的平安等級。

（2）通過信息平安需求分析，推斷信息系統(tǒng)的平安愛護(hù)現(xiàn)狀與《信息平安技術(shù)信息系統(tǒng)平安等

級愛護(hù)基本要求》之間的差距，確定平安需求，然后依據(jù)信息系統(tǒng)的劃分狀況、信息系統(tǒng)定級

狀況、信息系統(tǒng)承載業(yè)務(wù)狀況和平安需求等，設(shè)計合理的、滿意等級愛護(hù)要求的總體平安方案，

并制定出平安實施規(guī)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)平安建設(shè)工程實施。

（3）達(dá)到公安部關(guān)于信息系統(tǒng)平安等級愛護(hù)相關(guān)要求。

1.3.2平安技術(shù)體系目標(biāo)

根據(jù)信息系統(tǒng)平安等級愛護(hù)關(guān)于信息系統(tǒng)在物理、網(wǎng)絡(luò)平安運行、信息保密和管理等方面的總體要求，科學(xué)合理評估信息系統(tǒng)當(dāng)前存在的風(fēng)險，幫助其合理確定平安愛護(hù)等級，在此基礎(chǔ)上科學(xué)規(guī)劃設(shè)計一整套完整的平安體系改造加固方案。

該平安體系需要全面保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、邊界和外部接入、計算環(huán)境、支持性基礎(chǔ)設(shè)施、數(shù)據(jù)和系統(tǒng)等方面內(nèi)容，實現(xiàn)信息資源的機(jī)密、完整、可用、不行抵賴和可審計性，基本做到“進(jìn)不來、拿不走、改不了、看不懂、跑不了、可審計”。

詳細(xì)包括：

（1）保障基礎(chǔ)設(shè)施平安，保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的持續(xù)使用。

（2）保障網(wǎng)絡(luò)連接平安，保障網(wǎng)絡(luò)傳輸中的平安，尤其保障網(wǎng)絡(luò)邊界和外部接入中的平安。

（3）保障計算環(huán)境的平安，保障操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的平安。

（4）保障應(yīng)用系統(tǒng)平安，保障應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實的愛護(hù)和

鑒別，防止和抵擋各種平安