我单位医院信息系统(HIS)
安全等级保护定级报告
定级单位:我单位(盖章)
定级日期: 2019.4.12
一、我单位医院信息系统(HIS)系统描述
(一)该于2007年10月12日由我单位立项,某单位研发。目前该系统由某单位售后负责运行维护。我单位是该信息系统业务的主管部门,我单位为该信息系统定级的责任单位。
(二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对医院信息系统中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分,第一部分为应用服务器,第二部分为局域网。
在机房的核心区域部署了华为的S5700三层交换机。
在机房的网络中配置了一台与外部网络互联的边界设备:锐捷RG-WALL 1600-S3700防火墙。
(三)该信息系统业务主要包含:利用计算机软硬件技术、网络通信技术等现代化手段,对医院及其所属各部门的人流、物流、财流进行综合管理,对在医疗活动各阶段产生的数据进行采集、储存、处理、提取、传输、汇总、加工生成各种信息,从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。
包括基础设施、应用系统、服务系统等方面。其中,基础设施涵盖网络架构、服务器系统、存储系统、机房建设等方面,为应用系统安全、稳定运行提供支撑;应用系统包括医院管理信息系统和临床信息系统;服务系统包括客户管理与服务系统和医院网站;此外,还包括与公共卫生部门、医疗保险、区域协同等外部应用。
二、我单位医院信息系统(HIS)系统安全保护等级的确定
(一)业务信息安全保护等级的确定
1、业务信息描述
医院信息系统中间业务信息包括:代收费情况信息,缴费患者和其他组织的的个人(单位)信息,欠费情况,病历信息,医学影像信息等。
2、业务信息受到破坏时所侵害客体的确定(侵害的客体包括:1国家安全,2社会秩序和公共利益,3公民、法人和其他组织的合法权益等共三个客体)
该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对公民、法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致业务能力下降,造成不良影响,引起法律纠纷等。
3、信息受到破坏后对侵害客体的侵害程度(即上述分析的结果的表现程度)
上述结果的程度表现为严重损害,即工作职能受到严重影响,业务能力显著下降,出现较严重的法律问题,较大范围的不良影响等。
4、确定业务信息安全等级
