下载文档原格式
xx医院等保建设方案实战一、引言信息的安全对于医院来说至关重要。
医院涉及到大量的医疗和患者的个人信息,一旦泄露将会造成巨大的社会和经济损失,甚至危及患者的生命安全。
因此,必须加强xx医院的等保建设,确保患者信息和医疗设备的安全。
二、目标和范围1. 目标:确保xx医院的信息系统和网络安全,保护患者个人信息和医疗设备的安全,提高信息系统的可靠性和可用性。
2. 范围:涉及到xx医院的各类信息系统、网络设备、服务器以及与之相关的所有软硬件设备。
三、等级保护要求1. 根据国家相关法律法规和标准,将xx医院的信息系统划分为不同的安全等级,确定相应的等级保护要求。
2.根据等级保护要求,制定相应的技术措施和管理措施,确保各个等级的信息系统和设备的安全。
四、技术措施1.策略和规划- 制定xx医院的信息安全政策,确保所有员工遵守相关规定。
-设立信息安全管理部门,负责制定和执行信息安全管理制度。
-定期进行风险评估和安全事件响应演练,提前发现安全隐患和漏洞,并及时做出处理。
-建立安全事件报告制度,对于发生的安全事件及时上报和处理,以及总结经验教训,不断改进安全防护措施。
2.网络安全-建立网络安全管理系统,包括防火墙、入侵检测系统等,确保网络设备和系统的安全。
-对于医院内部的网络进行划分,设置网络隔离和访问控制,限制员工的访问权限,保证敏感数据的安全。
-加强对外部网络的监控和防护,防止未经授权的访问和攻击。
-建立网络安全策略和策略执行机制,确保信息的保密性、完整性和可用性。
3.信息系统安全-建立信息系统安全管理制度,确保系统的正常运行和安全实施。
-强化对于操作系统和应用系统的安全检测和漏洞修补,确保系统的稳定性和安全性。
-对于敏感数据进行加密存储和传输,确保数据的保密性。
-建立系统日志和审计机制,追踪系统的使用情况,发现异常行为和安全事件。
4.设备安全-建立设备管理制度,包括设备的购置、使用和报废等管理流程,确保设备的安全和合规性。
医院等级保护建设网络安全建设数据存储过程中的完整性可以通过数据库的访问控制来实现。
(1) 读访问控制必须制定相应的控制措施,以确保获准访问数据库或数据库表的个体,能够在数据库数据的信息分类级别的合适的级别得到验证。
通过使用报表或者查询工具提供的读访问必须由数据所有人控制和批准,以确保能够采取有效的控制措施控制谁可以读取哪些数据。
(2) 读取/写入访问控制对于那些提供读访问的数据库而言,每个访问该数据的自然人以及/或者对象或进程都必须确立相应的账户。
该ID可以在数据库内直接建立,或者通过那些提供数据访问功能的应用予以建立。
这些账户必须遵从本标准规定的计算机账户标准。
用户验证机制必须基于防御性验证技术(比如用户ID/密码),这种技术可以应用于每一次登录尝试或重新验证,并且能够根据登录尝试的被拒绝情况指定保护措施。
为了保证数据库的操作不会绕过应用安全,定义角色的能力不得成为默认的用户特权。
访问数据库配置表必须仅限于数据库管理员,以防未经授权的插入、更新和删除。
5.4.2 数据保密性关于数据保密性,可以通过一些具体的技术保护手段,在数据和文档的生命周期过程中对其进行安全相关防护,确保内部数据和文档在整个生命周期的过程中的安全。
1) 加强对于数据的认证管理操作系统须设置相应的认证手段;数据本身也须设置相应的认证手段,对于重要的数据应对其本身设置相应的认证机制。
2) 加强对于数据的授权管理对文件系统的访问权限进行一定的限制;对网络共享文件夹进行必要的认证和授权。
除非特别必要,可禁止在个人的计算机上设置网络文件夹共享。
3) 数据和文档加密保护数据和文档的另一个重要方法是进行数据和文档加密。
数据加密后,即使别人获得了相应的数据和文档,也无法获得其中的内容。
网络设备、操作系统、数据库系统和应用程序的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性和存储保密性。
当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。
医院信息化安全是现在所有医院面临的重要课题。
为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。
2007 年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。
卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、 LIS和RIS。
图1医院网络现状(如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中:内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统;外网即与Internet相联的网络,承载的业务包括邮件、OA等;设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。
各医院实际网络建设模式会有不同。
传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。
内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。
医院的网络根据承载介质的不同可分为有线网络和无线网络。
根据传统习惯,如果不特别说明,上述的内网、外网和设备网均特指有线网络。
但实际上无线网络承载的业务也有内外网之分。
有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。
无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。
医院信息安全等级保护三级建设流程与要点1 背景随着医院尤其是三级甲等大型医院信息化的迅猛发展,医院信息系统已经深入到医疗的各个环节当中,一旦发生故障将严重影响医疗活动的顺利开展,因此信息安全工作得到了越来越多医院的重视。
信息安全等级保护是国家层面出台的针对信息安全分级保护的制度,其目的是保护重要信息系统的安全,提高信息系统防护能力和应急水平。
为了信息安全等级保护能够更好的在各医院实施,卫生部针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011〕85号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。
根据文件精神,三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程2.1 信息系统定级[1]信息系统定级主要考虑两方面,一是业务信息受到破坏时客体的是谁,二是对于客体的侵害程度如何。
两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
表1针对三级甲等医院,因门诊量普遍较大,当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊,当发生信息系统瘫痪后会造成大面积患者排队,极易引发群体事件。
因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。
涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。
2.2. 信息系统评审与备案按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。
在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。
最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
XX医院等级保护方案北京网御星云信息技术有限公司2021年3月目录1工程项目背景52系统分析63等级保护建设流程64方案参照标准85安全区域框架96安全等级划分96.1.1定级流程96.1.2定级结果117安全风险与需求分析127.1安全技术需求分析127.1.1物理安全风险与需求分析127.1.2计算环境安全风险与需求分析127.1.3区域边界安全风险与需求分析157.1.4通信网络安全风险与需求分析167.2安全管理需求分析188技术体系方案设计188.1方案设计目标188.2方案设计框架198.3安全技术体系设计198.3.1物理安全设计198.3.2计算环境安全设计218.3.2.1身份鉴别218.3.2.2访问控制228.3.2.3系统安全审计238.3.2.4入侵防范248.3.2.5主机恶意代码防范258.3.2.6软件容错258.3.2.7数据完整性与保密性268.3.2.8备份与恢复278.3.2.9资源控制288.3.2.10客体安全重用298.3.2.11抗抵赖298.3.3区域边界安全设计308.3.3.1边界访问控制308.3.3.2边界完整性检查318.3.3.3边界入侵防范328.3.3.4边界安全审计338.3.3.5边界恶意代码防范348.3.4通信网络安全设计348.3.4.1网络结构安全348.3.4.2网络安全审计358.3.4.3网络设备防护358.3.4.4通信完整性368.3.4.5通信保密性368.3.4.6网络可信接入368.3.5安全管理中心设计388.3.5.1系统管理388.3.5.2审计管理398.3.5.3安全管理408.3.6不同等级系统互联互通41 9安全管理体系设计4210安全运维服务设计4310.1安全扫描4410.2人工检查4410.3安全加固4510.3.1流程4510.3.2内容4510.3.3风险规避4710.4日志分析4810.4.1流程4910.4.2内容4910.5补丁管理5010.5.1流程5010.5.2内容5010.6安全监控5110.6.1流程5110.6.2内容5210.7安全通告5210.8应急响应5310.8.1入侵调查5410.8.2主机、网络异常响应5410.8.3其他紧急事件5410.8.4响应流程5510.9安全运维服务的客户价值56 11整体配置方案5611.1部署拓扑5611.2部署说明5811.3设备列表5812方案合规性分析5812.1技术部分5912.2管理部分7713附录:9113.1等级划分标准9113.2技术要求组合确定9213.3安全域划分方法941工程项目背景近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,XX医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院信息系统等级保护建设方案1.为什么需要等级保护?1.1 什么是等级保护?信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.2 等级保护的重要性等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。
便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。
然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
1.3 国家强制性等保要求国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。
2. 等级保护实施过程“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。
医院信息系统等级保护建设方案1.为什么需要等级保护?1.1 什么是等级保护?信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.2 等级保护的重要性等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。
便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。
然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
1.3 国家强制性等保要求国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。
2. 等级保护实施过程“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。
根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。
医院等级保护技术方案一、项目背景在这个信息爆炸的时代,医院作为信息密集型单位,面临着日益严峻的信息安全挑战。
等级保护作为我国信息安全的重要手段,对医院信息系统的保护提出了更高要求。
本项目旨在针对医院等级保护技术需求,制定一套完整的技术方案,确保医院信息系统安全稳定运行。
二、等级保护标准1.物理安全:确保医院信息系统硬件设备安全,防止物理损坏、盗窃等风险。
2.网络安全:建立安全防护体系,确保网络通信安全,防止数据泄露、篡改等风险。
3.主机安全:强化主机系统安全防护,防止恶意代码、病毒等攻击。
4.应用安全:确保应用系统安全,防止应用程序漏洞被利用。
5.数据安全:保护医院信息系统数据,防止数据泄露、篡改等风险。
6.安全管理:建立健全安全管理制度,提高员工安全意识。
三、技术方案1.物理安全方案(1)设立专门的机房,配置防火、防盗、防潮、防尘等设施。
(2)对关键设备进行冗余备份,确保系统高可用性。
(3)建立视频监控系统,对关键区域进行实时监控。
2.网络安全方案(1)采用防火墙、入侵检测系统等设备,建立安全防护体系。
(2)划分安全域,实现内部网络与外部网络的隔离。
(3)采用VPN技术,实现远程访问的安全接入。
(4)定期对网络设备进行安全检查和更新。
3.主机安全方案(1)安装防病毒软件,定期更新病毒库。
(2)对主机操作系统进行安全加固,关闭不必要的服务和端口。
(3)建立主机监控与审计系统,实时监控主机运行状态。
4.应用安全方案(1)采用安全编码规范,提高应用程序安全性。
(2)对应用程序进行安全测试,发现并修复漏洞。
(3)建立应用程序安全防护机制,防止恶意代码攻击。
5.数据安全方案(1)对重要数据进行加密存储和传输。
(2)建立数据备份和恢复机制,防止数据丢失。
(3)定期对数据安全进行检查,确保数据完整性。
6.安全管理方案(1)建立健全安全管理制度,明确各级人员安全职责。
(2)定期开展安全培训,提高员工安全意识。
医疗卫生行业等级(二级)保护建设方案华创科技2013年12月22日目录医疗卫生行业等级(二级)保护建设方案 (1)一、项目概述 (3)二、政策要求 (3)三、方案目标与范围 (5)四、方案设计依据 (5)五、信息安全二级-技术方案 (6)●物理安全 (6)●网络安全 (8)●主机安全 (10)●应用安全 (12)●数据安全及备份恢复 (16)六、信息安全二级-管理方案 (17)●安全管理制度 (18)●安全管理机构 (18)●人员安全管理 (18)●系统建设管理 (18)●系统运维管理 (19)七、安全服务平台 (20)7.1 安全运维服务的特点 (21)7.1.1 满足信息系统等级保护要求 (21)7.1.2 遵循ISO20000和ITILv3 (22)7.2 安全服务平台的内容 (23)7.2.1 资产管理 (23)7.2.2 事件管理 (24)7.2.3 工单管理 (25)一、项目概述项目简单介绍…….。
随着医疗信息系统HMIS应用范围不断推广扩大,我国许多医院建立了以院长为中心的医院信息网络化管理决策机制,并将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起,医院信息化管理系统通过网络覆盖医院的每个部门,涵盖病人来院就诊的各个环节. 然而,在信息安全方面,我国的医院信息安全建设尚处于初级阶段,信息安全的认识、投入上更是淡漠,重投入轻防护,信息系统安全问题频频告急,严重影响到医院正常运行。
应该说,基础信息网络与重要信息系统的作用日益增强,已成为国家和社会发展、人民生活需要的重要资源.保障基础网络和重要信息系统安全,更好地维护国家安全、保障社会稳定和人民经济生活的需要,是信息化发展中必须解决的重大问题。
二、政策要求等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性工作。
通过将等级化方法和安全体系方法有效结合,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法.信息安全等级保护对组织信息安全具有重大的意义.1994年国务院发布的147号令《中华人民共和国计算机信息系统安全保护条例》首次提出计算机信息系统实行安全等级保护以来,多项国家文件和政策均提到了等级保护工作的重要性.1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999《计算机信息系统安全等级保护划分准则》,为等级保护这一安全国策给出了技术角度的诠释。
