20130514-344 医院信息安全等级保护三级建设流程与要点.pdfVIP

2013中华医院信息网络大会征文，请勿转载 医院信息安全等级保护三级建设流程与要点 韩作为① ①阜外医院信息中心，100037，北京市西城区北礼士路167 号 摘 要 随着医院信息信息化的不断发展，医院信息安全工作重视程度越来越高，近期卫生 部发文要求落实国家信息安全等级保护制度，要求原则上三级甲等医院核心信息系统定级不 低于第三级。为此本文按照信息系统的定级、备案、整改、测评、自查与配合监察的五个流 程详细介绍了三甲医院进行信息安全等级保护三级建设的流程和要点。 关键词 信息安全 等级保护 定级 备案 等保测评 1 背景 随着医院尤其是三级甲等大型医院信息化的迅猛发展，医院信息系统已经深入到医疗的 各个环节当中，一旦发生故障将严重影响医疗活动的顺利开展，因此信息安全工作得到了越 来越多医院的重视。 信息安全等级保护是国家层面出台的针对信息安全分级保护的制度，其目的是保护重要 信息系统的安全，提高信息系统防护能力和应急水平。 为了信息安全等级保护能够更好的在各医院实施，卫生部针对医疗行业的实际现状印发 了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发〔2011 〕85 号，此文件在 信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。根据文件精神，三级甲等 医院的核心业务信息系统安全保护等级原则上不低于第三级。 2 医院信息安全等级保护建设流程 [1] 2.1 信息系统定级 信息系统定级主要考虑两方面，一是业务信息受到破坏时客体的是谁， 二是对于客体的侵害程度如何。两方面结合根据表1 来制定本单位的具体哪个信息系统应该 定位第几级。 表1 对客体的侵害程度 受害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 2013中华医院信息网络大会征文，请勿转载 针对三级甲等医院，因门诊量普遍较大，当在早间挂号、就诊等高峰时期会有大量患 者排队挂号与就诊，当发生信息系统瘫痪后会造成大面积患者排队，极易引发群体事件。因 此，定义为对“社会秩序、公共利益”造成“严重损害”，即信息安全等级保护定级为第三 级。涉及的信息系统即与挂号、就诊等与门诊患者密切相关的系统。 2.2. 信息系统评审与备案 按照等级保护管理办法和定级指南要求，在完成对本单位信息系 统的自主定级后需要将业务系统自主定级结果提交卫生部审批 。在定级审批过程中，卫生 部组织专家进行评审，并出具 《审批意见》。 完成评审后，医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保 护定级报告》，备案表与报告范例可在“中国信息安全等级保护网”进行下载。最后医院持 评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续，在拿到备 案回执和审核结果通知后完成定级备案。 [2] 2.3 信息系统安全建设与整改 在完成备案后需要开始对信息系统进行合规性建设与整改， 主要分为以下几个步骤完成： 2.3.1 等级保护差距分析 等级保护的要求整体分为技术与管理两个方面，而技术又可以分 为SAG 三类，主要包括： 业务信息安全类（S 类）:关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏 和免受未授权的修改，比如在传输患者数据及费用数据时是否进行了加密传输，在传输过程 中如果出现异常能否及时发现等。 系统服务安全类（A 类）:关注的是保护系统连续正常的运行，比如机房的电力方面、 服务器的负载方面、HIS 系统的容错性与资