沈韬+医院信息系统业务持的续性管理概说.pdf

医院信息系统 业务持续性管理概说 中国医院协会信息管理丏业委员会 沈 韬 信息安全已成为国家战略 没有网络安全就没有国家安全，没有信息化 就没有现代化 2014年2月，习 近平在中央网络 安全和信息化领 导小组第一次会 议上的讲话  《中华人民共和 国网络安全法》 2017年6月生效 医院信息安全的主要关注点 财务安全 防止职工利用信 息系统漏洞贪污 敏感信息泄漏 业务持续性 保护病人隐私，控 避免医院核心业 制非法统方行为 务中断造成混乱 亏联网安全 浏览行为监控，阻止 恶意攻击及信息篡改 业务持续性的核心地位 信息系统安全保护定级原则 2007年6月，公安部、国家保密局、国家密码管 理局、国务院信息化工作办公室印収 《信息安全 等级保护管理办法》(公通字[2007]43号) 对客体的侵害程度 受侵害客体 特别严 一般损害 严重损害 重损害 公民、法人和其他组 第一级 第二级 织的合法权益 社会秩序和公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第亐级 行业黑镜头 系统宕机 供电故障 网络风暴 数据库死锁 恶意破坏 内部职工泄愤 美国加州好莱坞长老会医疗中心 黑客敲诈 2016年2月5日， 美国某医院遭遇勒 索软件，损失惨重 业务持续性管理 业务持续性管理(Business Continuity Management, BCM) 是针对组织信息安全与风险管理的综合管理流程 。通过对组织面临危机时潜在影响的识别，确立 有效响应和恢复业务能力的框架，以期提高组织 的风险防范及有效应对非计划业务破坏的能力， 达到保护组织及其利益相关方、降低不良影响的 目的 信息系统的灾难备份与灾难恢复计划是BCM的 一个组成部分 业务持续性管理实施要点 利益相关方 利益相关方 理解组织业务 确定业务 演练、维 BCM计划 持续性管 护和审查 管理