医疗卫生行业信息安全解决方案.pptxVIP

医疗行业信息系统现状----主要业务系统医院信息系统主要应用HIS系统医疗信息系统（流程）LIS系统临床试验系统（临床、患者状况、用药、疗程）PACS系统影像（B超、彩超、X光……）EMR系统电子病历（接收并存放LIS的信息）医疗行业信息系统特点：高速的响应速度和联机事务处理能力；医疗信息数据的复杂性；信息的安全、保密度要求高；数据量大；稳定性要求高；瞬时并发访问量大；系统后期数据维护工作量大；医疗行业信息系统现状----网络架构及安全风险分析安全建设方向：核心业务系统安全防护（网络，主机，数据）等级保护安全建设要求（等级保护测评及整改）省市区三级级安全平台及卫生专网安全建设（健康档案数据库及卫生专网安全建设）外网门户网站安全建设安全建设方案----方案遵循标准《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239-2008《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058-2010《信息系统安全等级保护测评要求》（GB/T28448-2012） 《关于印发基层医疗卫生机构管理信息系统建设项目指导意见的通知》《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函[2011]1126号)安全建设方案----方案内容方案介绍----生产内网身份认证权限控制终端安全主干链路冗余架构边界防护应用防护安全管理内外网安全隔离风险评估渗透测试安全运维方案介绍----互联网安全建设边界安全防护网站安全防护安全监控移动办公接入方案特点1、 根据XX医院的实际需求以及相关行业及等级保护要求，对信息系统进行安全建设，从边界安全，业务安全，内网终端安全，以及安全管理等角度完成对信息系统的安全建设。2、结合医疗行业及本院实际情况，以及国家十二五规划，针对，电子病历，健康档案等核心数据进行重点保护，加强卫生专网边界防护。3、从技术，管理两个角度完成对HIS,PACS等业务系统的安全建设4、提供专业的安全服务，从门户网站监控，到等级保护的咨询与信息系统渗透测试，加固方案，保障用户信息系统健康，安全，稳定的运行5、所提供安全产品具为行业内一流产品，出色的性能和功能，很好的满足用户的安全需求医院临床信息系统与行政业务系统产生的数据的安全，数据储存、数据利用、数据关联性等方面都有很高的要求。由于医院业务的特殊性，任何人为或自然因素所导致的应用或系统中断，都会造成医院巨大的经济和名誉损失及严重的?法律后果。可以设想，在医院信息系统的内外部环境中，任何一个关键环节出现故障时人为事故、网络瘫痪、系统崩溃等，都会造成全院工作停滞，其影响力和损失威胁巨大，如果发生数据完全丢失或大量丢失，则后果不堪设想。所以医院的业务运转和发展对IT系统的持续稳定运行提出了非常苛刻的要求。医院系统是一个复杂的信息系统,分散在不同的系统中的数据协同是一个主要问题，，电子病历等与患者隐私相关的数据，具有更高级别的保密程度，同时，业务系统数据的越权访问，也是屡如何保障数据的完整性，可用性，保密性，是医院信息系统面临的主要安全因素之一。健康档案见不鲜。随着医院管理信息化的不断深入其业务管理数据不断增长,医疗图像信息化技术的飞速发展使得医学图像存档与通信系统(PACS)系统日益成为各级医院信息的重要组成部，再加上病案数字化扫描的应用推广这些都使得业务数据、医疗图像信息的数据量成几何级数地增长其可靠存储和快速查询对于整个医院正常运作已经起着至关重要的作用。医疗卫生等级保护要突出重点，对重要医疗信息系统，应集中资源优先建设。因此必须根据信息系统的等级，采取不同级别的防护措施，体现出“重点信息资产，重点保护”。业务挑战:1、不当的访问和准入控制； 2、医院的统计信息、孕 妇新生儿信息被打包出售 等较为恶性的数据安全事件;3、由于蠕虫、病毒的入侵导致 的系统故障等信息安全事件； 4、医保卡的使用使得医疗 机构与银行、社保等机构需要 更多的数据交换及实时结算政策驱动:《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239-2008 《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058-2010 《信息系统安全等级保护测评要求》（GB/T28448-2012） 《关于印发基层医疗卫生机构管理信息系统建设项目指导意见的通知》 《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函[2011]1126号) 规避风险： 1、按要求做可以规避风险， 划分工作界面， 2、不按照要求做，存在问责 风险。 3、相当于个人买了一份 保险。 （发改办社会 [2012]991号）：要求到2015年，基层医疗卫生机构管理信息系统基本覆盖乡镇卫生院、社区卫生服务机构和有条件的村卫生室。：明确要求在2015年12月30日前完成信息安全等级保护建设