返回
医院信息安全等级保护建设方案.doc

医院信息安全等级保护建设方案.doc

ID:55248735

大小:440.50 KB

页数:9页

时间:2020-05-07

医院信息安全等级保护建设方案.doc_第1页
医院信息安全等级保护建设方案.doc_第2页
医院信息安全等级保护建设方案.doc_第3页
医院信息安全等级保护建设方案.doc_第4页
医院信息安全等级保护建设方案.doc_第5页
资源描述:

《医院信息安全等级保护建设方案.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、医院信息系统等级保护建设方案-9-1.为什么需要等级保护?1.1什么是等级保护?信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。1.2等级保护的重要性等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合

2、,设计一套等级化的信息安全保障体系,是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。在医疗行业的信息化建设过程中,信息安全的建设虽然只是一个很小的部分,但其重要性不容忽视。便捷、开放的网络环境,是医疗行业信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障医疗信息化业务的正常运行。然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。1.3国家强制性等保要求国家公安部、保密

3、局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医疗信息系统构筑至少应达到二级或以上防护要求。2.等级保护实施过程“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。根据

4、等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行:1.系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。2.-9-安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。1.安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。2.确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。

5、3.评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。4.安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全技术解决方案。5.安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行安全管理建设。通过如上步骤,医院的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。信息系统实施等级保护的过程如图所示:系统定级、备案安全规划设计安全实

6、施实施阶段施安全运维重大变更局部调整系统终止图信息系统安全等级保护实施的基本过程-9-3.等级保护建设依据在本次等级保护建设技术方案设计中,参考的主要标准如下:ü《计算机信息系统安全保护等级划分准则》(GB17859-1999)(基础标准)ü《信息系统安全等级保护基本要求》(报批稿)(基线标准)ü《信息系统安全保护等级定级指南》(国标征求意见稿)(辅助标准)ü《信息安全等级保护实施指南》(报批稿)(辅助标准)ü《信息系统安全等级保护测评准则》(送审稿)(辅助标准)ü《电子政务信息安全等级保护实施指南(试行)》ü《信

7、息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)ü《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)ü《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)ü《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)ü《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671)ü《信息系统安全安全管理要求》(GB/T20269)ü《信息系统安全工程管理要求》(GB/T20282)ü《信息安全技术 服务器技术要求》4.医院等级保护解决方

8、案4.1系统定级通过分析医院业务系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度,以及为了更大强度的保证业务系统的安全,我们把XX医院的业务系统按照等级保护的三级标准进行设计,安全解决方案也将依据等级保护三级的具体要求来编写。4.2安全域设计根据等级保护相关工作提出的要求,特制定本方案,方案中对医院整个网络实施分区分域的安全域划分,在技术体系方案

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。