澳大利亚国家医疗信息系统安全保障措施简介_V0.2.docVIP

澳大利亚国家医疗信息系统安全保障措施研究 吴辉1，何长龙2，李伟平3 (1. 国家广电总局, 北京 2.北京大学电子政务研究院 北京 100018 3.长春吉大正元信息技术股份有限公司 长春130012) 摘要：本文简要介绍了澳大利亚澳大利亚保险委员会（HIC）澳大利亚澳大利亚对信息安全负有管理责任的职能部门有：国家信息经济办公室、司法部和国防部。国家信息经济办公室是澳大利亚信息安全政策的主要制定机构，与司法部共同协调各部门参与信息安全国际合作；司法部负责保护国家关键基础设施，协调应急处理，与国家信息经济办公室共同协调各部门参与信息安全国际合作。国家信息经济办公室和司法部在信息安全方面的管理职能主要面向社会，国防部主要面向联邦政府国防部信号局（DSD）具体承担，包括为联邦政府其它部门提供信息安全咨询服务和应急技术支援、制定政府信息安全标准、对信息安全产品进行测评等。为加强各部门在保障信息安全方面的协调，澳大利亚联邦政府成立了信息安全协调组和关键基础设施保护组信息安全协调组（ESCG）是澳大利亚在信息安全领域核心政策制定和协调机构，主要负责澳大利亚信息安全战略目标。信息安全协调组由国家信息经济办公室（NOIE）牵头，成员单位包括司法部（AGD）、国防部信号局（DSD）、联邦警察局（AFP）、澳大利亚安全情报局（ASIO）、总理和内阁办公室、外交和贸易部、交通和地方服务部、工业、科技和资源部、财政部、统计局等。信息安全协调组工作包括：增强政府、企业和个人的信息安全意识；推进产业界、联邦政府、州政府和服务提供商之间的有关信息共享；协调联邦政府各部门参与信息安全保障工作；确定人才培养目标和信息安全技术研发方向。 关键基础设施保护组（CIPG）是信息安全协调组的下属委员会，该委员会由司法部牵头，负责界定国家关键基础设施，并提出有关保护建议。目前关键基础设施保护组的主要任务是评估电信、电力、金融、空管等领域信息系统面临的威胁和。信息安全技术研在澳大利亚，信息安全技术研究主要由联邦政府有关机构、学术机构和信息安全企业承担。澳大利亚联邦政府出台了一系列产业发展政策，这些政策已对信息安全产业的发展起到了推动作用。目前国家信息经济办公室正在调研如何进一步强化这些政策，如在商业、政府和学术机构的研发部门间建立更便捷的沟通渠道，增加资金投入等。国防部信号局和国防科技委员会也在寻求建立规范的资金渠道，以支持信息安全研发项目。保障安全 澳大利亚联邦政府在年已将政府服务在线化。为保障网络的安全，各部门制定了一系列与信息安全有关的法律、标准和指南，包括：联邦政府保密行动，信息安全手册，联邦政府的物理、信息和人员安全保障的顶层构架，澳大利亚通信电子安全指示33等。联邦政府要求，各部门自2000年1月起要将信息安全事件事故向联邦政府在线事故报告系统报告，报告的等级和严重程度必须与标准相符。该事故报告系统于2000年11月建立，由国防部信号局维护。 HB 174—2003 《Information security management Implementation guide for the health sector》医疗机构信息安全管理实施指南并推广实施，以指导各级医疗机构信息系统建设，特别是Medicare系统的建设，保障个人与医疗有关的身份信息、医疗记录等信息在传输、交换、存贮、使用过程中的安全管理，教育并向居民说明国家在保护个人隐私方面的政策、管理措施、技术措施等，以消除居民对信息泄露的恐慌。 4.推动标准制定与完善 在HIC下成立了健康信息标准化组织IT-014 Health Informatics Committee，该标准化工作委员会下的第4工作专门负责医疗信息安全，该组织根据国际标准化组织的ISO/TS 17090等系列医疗信息有关规范制定了适用于本国的医疗信息系统安全规范，主要规范见表1。 表1.澳大利亚健康信息安全关键标准 AS ISO 17090-1:2003 Health informatic—Public key infrastructure—Part 1: Framework and overview 健康信息—公钥基础设施—第1部分：框架与概述 定义了公钥基础设施（PKI）的基本概念，并提供了协同工作所需要的计划表，建立PKI以保证卫生信息的通讯，同时定义了卫生信息通讯中的参与者以及主要的安全设施等。 AS ISO 17090-2:2003 Health informatics—Public key infrastructure—Part 2: Certificate profile 健康信息—公钥基础设施—第2部分：证书轮廓 简要介绍了医疗PKI中证书的结构、使用方法以及PKI基本组成部分。 AS ISO 17090-