莆田市卫生行业.docVIP

莆田市卫生行业 信息系统安全建设 基本规范 莆田市卫生信息中心 二〇一二年九月 目 录 一、目的与范围 1 1、背景 1 2、目的 2 3、范围 2 4、规范引用文件 3 二、信息安全等级保护工作 3 三、安全技术体系 6 1、物理安全 6 1.1机房选址 6 1.2机房装修 7 1.3机房供配电 8 1.4接地和防雷 9 1.5机柜标准 10 1.6空调系统 11 1.7消防和监控 11 2、网络安全 13 2.1结构安全 13 2.2网络安全审计 13 2.3网络设备防护 14 2.4边界访问控制 15 2.5边界安全隔离 16 2.6边界完整性检查 17 2.7边界入侵防御 19 2.8网页防篡改 20 2.9边界恶意代码防范 20 3、主机安全 20 3.1身份鉴别 20 3.2访问控制 21 3.3系统安全审计 22 3.4主机入侵防范 23 3.5主机恶意代码防范 24 3.6资源控制 25 4、应用安全 26 4.1应用身份鉴别 26 4.2访问控制 27 4.3应用安全审计 27 4.4剩余信息保护 28 4.5通信完整性和保密性 29 4.6抗抵赖 29 4.7软件容错和资源控制 29 5、数据安全 30 5.1数据完整性 30 5.2数据保密性 31 5.3备份与恢复 32 四、安全管理体系 34 4.1安全管理机构 34 4.2安全管理制度 34 4.3人员安全管理 34 4.4系统建设管理 35 4.5系统运维管理 35 一、目的与范围 1、背景 新医改以来，我市卫生信息化发展迅速，信息化基础设施及业务应用逐步建设并完善，目前已完成或在建的项目有：全市区域卫生信息专网、居民健康档案信息系统、基层医疗机构综合信息管理系统、新农合信息管理系统、区域电子病历系统、视频会议系统、全市OA办公自动化系统和区域PACS系统等。随着医疗业务的不断开展，网络与信息系统安全问题也随之暴露出来。目前，我市卫生行业网络与信息系统安全尚缺乏统一的规划、安排、组织和实施，现有的安全应用还比较单一，缺乏系统性和整体性，存在较大安全风险，远不能达到国家、省、市政府对信息系统安全防护的相关要求，如不及时解决将严重影响卫生信息化的进一步发展。 《中华人民共和国计算机信息系统安全防护条例》（国务院令第147号）明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147 号令的要求而制订发布的强制性国家标准《计算机信息系统安全防护等级划分准则》（GB17859-1999）为计算机信息系统安全防护等级的划分奠定了技术基础。《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出实行信息安全等级保护，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度”。《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划，明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为网络与信息安全体系的建设提供了法律、政策、标准依据。省卫生厅和公安厅于今年1月份联合印发了《福建省医院信息系统安全等级保护工作实施方案》指导各医疗机构实施信息系统安全保护，这为卫生行业网络与信息安全体系建设奠定了基础。 2、目的 本标准编制的目的是依据国家信息系统等级保护相关标准及其他信息安全标准规范，结合莆田市卫生信息化实际情况，对卫生专网与信息系统安全的基本框架、安全技术体系、安全管理和安全运维服务等进行规范，指导全市卫生行业各单位、部门在信息安全等级保护定级和备案工作基础上，开展网络与信息系统安全规划、整改及建设工作，落实安全防护技术措施，建立健全安全管理制度，进一步提高卫生网络与信息系统的安全保障能力和防护水平，确保各单位、部门网络与信息系统的安全运行，推进卫生信息化的安全、健康、协调发展。 3、范围 本规范适用于全市卫生行业各单位，用于指导各单位信息化项目建设安全部分、业务内外网、医保新农合网络和政务外网的接入等有关网络与信息系统安全规划、设计、建设和整改，保障信息系统的安全运行，可用于规范指导全市各级医疗机构开展信息系统安全等级保护工作，也可作为卫生行业信息安全职能部门进行监督、检查和指导的依据。各单位政务内网的网络与信息安全系统建设应遵循国家有关职能部门及卫生部、卫生厅的相关规定。 4、规范引用文件 (1)《计算机信息系统安全防护等级划分准则》(GB 17859-1999); (2)《中华人民共和国计算机信息系统安全防护条例》(国务院令第147号);