医疗行业等级保护测评解读50页PPT

《信息安全等级保护测评机构能力规范（征求意见稿）》规定：测评机构应当按照有 关规定和统一标准提供“客观、公正、安全”的测评服务，按照统一的测评报告 模板出具测评报告。测评机构不得从事下列活动： a) 承担信息系统安全建设整改工作； b) 将等级测评任务分包、外包； c) 从事信息安全产品开发、营销和信息系统集成活动；
•防火 •防雷击 •防盗窃和防破坏 •物理访问控制 •物理位置选择
•物理安全以及构成信息系 统的硬件设备和介质等
•网络设备防护 •恶意代码防护 •网络入侵检测 •边界完整性检查 •网络安全审计 •网络访问控制 •结构安全和网段划分
等级测评概述－政策解读
四、等级测评相关政策要求解读
《信息安全等级保护管理办法》规定：信息系统建设完成后，运营、使用单位或者 其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保 护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信 息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次 等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。
医疗行业等级保护测评 解读
2020年5月28日星期四
医疗行业等级保护测评解读
等级测评概述 等级测评的内容 等级测评的流程和方法 医疗行业信息安全现状和测评重点 关于测评机构
等级测评概述－政策背景
一、政策背景——国家全面推行信息安全等级保护制度
2007年6月，公安部、国家保密局、国家密码管理局、国务院 信息化工作办公室联合发布《信息安全等级保护管理办法》（ 公通字［2007］43号），在全社会范围推行“信息安全等级保 护”政策。
•网络安全(三级) 等级测评的内容
• 网络层面构成组件负责支撑信息系统进行网络互联，为信息系统 各个构成组件进行安全通信传输，一般包括计算机、网络设备、连接 线路以及它们构成的网络拓扑等。 • 两个不同信息系统需要交换信息，而进行网络互联（内部互联） ；为了与其他单位/网络交换信息，与他们的网络互联（外部互联）， 这些网络连接边界是网络安全测评的重点之一。

等级保护交流
汇报人：
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载： 行业PPT模板：
节日PPT模板：
PPT素材下载：
PPT背景图片： PPT图表下载：
优秀PPT下载： PPT教程：
W ord教程：
Excel教程：
资料下载：
PPT课件下载：
范文下载：
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度，22年历 史； ②等级保护是唯一建立 系列标准覆盖实施落地 全流程，并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍，警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位；
高端手法：信息安全集成（等级保护）独立运作
为什么选择等级保护？ 1、国家政策 2、安全不是产品的简单堆积，也不是一次性的静态过程，它是
人员、技术、操作三者紧密结合的系统工程，是不断演进、循环 发展的动态过程
3、信息安全是一把手工程，信息安全是全员工程，信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设，让安全建设更加体系 化，可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设，再也 不是头痛医头脚痛医脚，对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状，一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求，一旦发生安全 事件要自己承担相关责任。

4
6
79
应用安全
4
7
9 11
数据安全及备份恢复 2
3
33
管理要求 安全管理制度
2
3
33
安全管理机构
4
5
55
人员安全管理
4
5
55
系统建设管理
9
9 11 11
系统运维管理
9 12 13 13
合计
/
48 66 73 77
级差
/
/ 18 7 4
医院信息系统等级保护建设
基本要求－－GB/T 22239
安全要求类 层面
医院信息系统等级保护建设
系统改建系统改建实施方案设计施方案设计
等级保护工作相关的大部分系统是已建成并投入运行的系统， 信息系统的安全建设也已完成， 因此信息系统的运营使用单 位更关心如何找出现有安全防护与相应等级基本要求的差距。
如何根据差距分析结果设计系统的改建方案， 使其能够指导 该系统后期具体的改建工作，逐步达到相应等级系统的保护 能力。
医院信息系统等级保护建设
信息安全等级保护法规政策体系
医院信息系统等级保护建设 5
等级保护标准
GB/T 22240-2008 《信息安全技术 信息系统安全保护等级定级指南》 GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》
等保实施
GB/T 28448-2012 《信息系统安全等级保护测评要求》 GB/T 28449-2012 《信息系统安全等级保护测评过程指南》
强制监督检查
专门监督检查
医院信息系统等级保护建设
实施指南－－GB/T 25058-2010
等级保护实施过程 基本原则

开展信息安全意识培训
定期组织信息安全意识培训，提高全院员工对信息安全的重 视程度，增强防范意识。
完善信息安全培训体系
建立覆盖全院员工的信息安全培训体系，根据不同岗位和业 务需求，提供个性化的信息安全培训课程。
加强与其他医疗机构和信息安全监管部门的合作与交流
深化与其他医疗机构的合作
积极与其他医疗机构开展信息安全领域的合作与交流，共享信息安全防护经验，共同提高医疗行业信 息安全水平。
04
医院信息安全等级保护成 效评估
信息安全事件处置情况
事件响应速度
01
医院在信息安全事件发生时，能够迅速启动应急响应机制，及
时处置事件，避免事态扩大。
事件处置效果
02
通过对信息安全事件的处置，医院成功阻止了潜在的数据泄露
和系统破坏，确保了医疗业务的正常运行。
经验教训总结
03
针对每起信息安全事件，医院都进行了详细的经验教训总结，
加强与信息安全监管部门的沟通
主动与信息安全监管部门保持密切沟通，及时了解政策动态和监管要求，确保医院信息安全工作符合 国家和行业规定。
感谢您的观看
THANKS
信息安全管理制度建设
制度完善
医院已建立完善的信息安全管理 制度，包括信息安全管理规定、 信息安全事件应急处置预案等， 以确保医院信息系统的安全和稳
定运行。
组织架构
医院设立了专门的信息安全管理 机构，负责信息安全工作的统筹 规划和监督执行，确保各项安全
措施得到有效实施。
流程规范
医院对信息安全相关流程进行规 范，包括信息安全风险评估、安 全漏洞检测、系统变更管理等， 降低安全风险，提高整体安全水
维护患者权益
医院信息系统中存储了大量患者的个人隐私和医疗记录，实施信息安全 等级保护能够有效防止患者隐私泄露，维护患者的合法权益。

《计算站场地技术条件》 、
G B 9 3 6 1 - 8 8 《 计 算 站 场 地 安 全 要2流程
等级测评项目启动 信息收集和分析
编制测评方案 工具和文档准备 方案确认和资源协调 现场测评和结果记录 结果确认和资料归还 分析测评结果 形成等级测评结论 编制测评报告
防火 防雷击 防盗窃和防破坏 物理访问控制 物理位置选择
等 物理安全(三级) 级测评的内容
物理层面构成组件包括信息系统工作的设施环境以及构成信息系 统的硬件设备和介质等
网络设备防护 恶意代码防护 网络入侵检测 边界完整性检查 网络安全审计 网络访问控制 结构安全和网段划分
网络安全(三级) 等级测评的内容
等级保护工作是信息安全工作的基本制度，是维护国家信 息安全的根本保障，是国家意志的体现。
根据《信息安全等级保护管理办法》规定，信息系统运营、 使用单位在进行信息系统备案后，都应当选择测评机构进 行等级测评。
等级测评概述－什么是等级测评
二、什么是等级测评？ 等级测评是测评机构依据国家信息安全等级
广域网
1.身份鉴别和自主访问控制 2.安全审计 3.完整性和保密性保护 4.边界保护 11.环境与设施安全
局域网
1.身份鉴别和自主访问控制 2.安全审计 3.完整性和保密性保护 4.边界保护 5.资源控制 6.入侵防范和恶意代码防范 10.密码技术应用 11.环境与设施安全
21
等级测评的内容－主要核心技
医疗行业等级保护测评 解读
2021年7月13日星期二
医疗行业等级保护测评解 读
等级测评概述 等级测评的内容 等级测评的流程和方法 医疗行业信息安全现状和测评重点 关于测评机构
2
等级测评概述－政策背景

安全 建设整改
等级测评
安全自查与 监督检查
3 等保工作
电力供应 防盗窃和防破坏 物理访问控制 物理位置选择
电磁防护
不做硬 性要求
防雷击、防火、防水和防潮、防静电、温湿度控制
3 等保工作
物理安全的整改要点（10个）
物理位置的选择
基本防护能力
物理访问控制
基本出入控制 在机房中的活动
7 信息系统安全保护等级专家评审 意见
8 主管部门审核批准信息系统安全 保护等级的意见
3 等保工作
系统定级
系统备案
安全 建设整改
等级测评
安全自查与 监督检查
范围：已备案的第二级（含）以上信息系统纳入安全建设整改的范围。 • 尚未开展定级备案的信息系统，要先定级备案，定级不准的 要先纠正，再开展安全建设整改。 • 新建系统要同步开展安全建设工作。
防静电地板 冗余/并行线路 备用供电系统
3 等保工作
系统定级
系统备案
安全 建设整改
等级测评
安全自查与 监督检查
3 等保工作
网络安全的整改要点（7个）
结构安全
关键设备冗余空间 核心网络带宽 子网/网段控制
访问控制
访问控制设备（用户、网段） 拨号访问限制
主要设备冗防余火空墙间（网安）路由控制 整体网络带宽流量控制 带宽分配优先级 重要网段部署
资料下载：
PPT课件下载：
范文下载：
试卷下载：
教案下载： PPT论坛：
2
等级保护政策标准
2 政策体系
2 标准体系
2 标准体系
基础类 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》 GB/T25058-2010

.
组合分析
4、对处理特定应用的信息系统（查阅定级指南，哪些应用系统定级） 作为定级对象的信息系统应具有如下基本特征： 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责 任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应 是这些下级单位共同所属的单位； 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象； 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他 业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网 络传输设备。
安全管理制度
0
0
7 10 0
2 32
安全管理机构
0
管理
人员安全管理
0
类
系统建设管理
0
0
9 19 2 8 5 8
0
11 16 5 4 5 4
0
28 41 13 18 9 18
系统运维管理
0
0
27 51 42 54 12 54
控制点 二三 级级 23 47 24 40 20 34 21 37 48 7 12 11 27 16 20 41 59 69 105
线缆隔离、设备和介质屏蔽 .

【Ｃ】 3.有病情和病历等 资料交接制度并落 实 , 保障诊疗的连 续性。
工作制度中 有病情和病 历等资料交 接制度。
访谈5名医 务人员，是 否熟悉转科 制度及流程 。
临床相关条款C级指标
2.4.4 加强出院患者健康教育和随访预约管理，提高患者健康知识水平和出院后 医疗、护理及康复措施的知晓度。 评审标 准 2.4.4.1 评审要点 资料查阅 调查访谈 实地 个案 抽查 访视 追踪 考核
• 从第二~四章中抽取与临床科室密切相关的评审 标准共16节60条94款。
现场评审
（一）评价形式：审阅资料、调查访谈、 实地访视、个案追踪、抽查考核、逐项 核查等。 （二）药事管理系统追踪检查
第二章 医院服务
一、预约诊疗服务
二、门诊流程管理
三、急诊绿色通道管理 四、住院、转诊、转科服务 五、基本医疗保障服务 六、患者的合法权益 七、投诉管理 八、就诊环境管理
访谈临床科室5名医 护人员，对出院患 者健康教育制度的 知晓程度，患者出 院时告知的内容和 注意事项
调查访谈 访谈患者及 家属，医院 在没有空床 或医疗设施 有限时对其 安臵处理是 否明确告知 了原因和处 理的方案。
实地 个案 抽查 访视 追踪 考核
4. 有科室没有空 床或医疗设施有 限时的处理制度 与流程,并告知 患者原因和处理 方案。
临床相关条款C级指标
2.4.2 为急诊患者入院制定合理、便捷的入院相关制度与流程。危重患者应先抢 救并及时办理入院手续。 评审标 准 2.4.2.1 评审要点
调查 实地 个案 抽查考核 访谈 访视 追踪
抽查10份病历 ，核实相关科 室在进行患者 的留观、入院 、出院、转科 、转院的过程 中是否严格执 行医院规定的 相关服务流程 。

通过信息系统的定级，国家掌握了重要信 息系统在全国范围内的分布、使用情况以 及其重要程度。
在定级基础上，应开展信息系统安全建设 和整改，达到相应等级的安全防护能力。

二、等级保护相关标准解读

需要了解的几个法规、政策

保护环境框架图
审计子系统是系统的监督 中枢，安全审计员通过制定审 计策略，强制实现对整个信息 系统的行为审计，确保用户无 法抵赖违背系统安全策略的行 为，同时为应急处理提供依据。

保护环境框架图
主要流程
安全管理流程
几个与等级保护有关的标志性政策、文件：
《中华人民共和国计算机信息系统安全保护条例》（147号令） 《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发[2019]27号）。
《关于信息安全等级保护工作的实施意见》（公通字 [2019]66号）
《信息安全等级保护管理办法》（公通字[2019]43号）
第四级 结构化保护级 第五级 访问验证保护级

自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
12
《信息系统安全等级保护基本要求》的定位
安全管理流程主要由安全管理中心的安全管理员 系统管理员和系统审计员实施，分别实施系统维 护、安全策略部署和审计策略部署等机制。
访问控制流程
访问控制流程是在系统运行时执行，实施自主访 问控制、强制访问控制等。
定级系统互联件连或移和接动系部功进护的统件。能出计软组的安算件成部全机以，分计系安算信统及也，统算一全环网外可。对环管管境络部以安境理理、上设是跨全的的中安的定独备级计信设心全安安立及系全算息施是区全统的其互安。环进对策域联全部境行部略边管件理保及署与界中在机和心安制安全实全计施通

主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具

17
等级保护测评内容
测评内容覆盖组织的重要信息资产 技术层面：测评和分析在网络和主机上存在的安全技术风险， 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
…
序号 …
设备名称 …
操作系统/数据库管理系统
业务应用软件 …
27

等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料
序号 姓名 … 岗位/角色 … 联系方式 … 序号 …
测评实施
设备名称 …
形成报告
用 途 … 重要程度 …
测评规划
…
序号 …
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性，不对现有的运 行和业务的正常提供 产生显著影响，尽可 能小地影响系统和网 络的正常运行。
最小影响原则
14

等级保护测评原则
从公司、人员、过程三个 标准性原则 方面进行保密控制： 1.测评公司与甲方双方签 署保密协议，不得利用 规范性原则 测评中的任何数据进行 其他有损甲方利益的活 可控性原则 动； 2.人员保密，公司内部签 整体性原则 订保密协议； 3.在测评过程中对测评数 最小影响原则 据严格保密。
5

等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则

等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后，运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构，依据《信息系统安 全等级保护测评要求》等技术标准，定期对信息系统安全等 级状况开展等级测评； 2.第三级信息系统应当每年至少进行一次等级测评，第四级 信息系统应当每半年至少进行一次等级测评，第五级信息系 统应当依据特殊安全需求进行等级测评； 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查，第四级信息系统 应当每半年至少进行一次自查，第五级信息系统应当依据特 殊安全需求进行自查； 4.经测评或者自查，信息系统安全状况未达到安全保护等级 要求的，运营、使用单位应当制定方案进行整改