信息安全等级保护制度-六安第二人民医院.PPT

构建等级保护的体系化实施模型 在原有等级保护工作的基础上，使过程方法和PDCA模型更加完善和清晰化 补充其他体系化要素，形成完整的信息安全等级保护体系化实施方法 作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通 。 医院复杂的HIS、RIS、PACS等应用系统，要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。 医院的网络系统连接着Internet、医保网和高校等，访问人员比较复杂，所以如何保证医院网络系统中的数据安全问题尤为重要。 第一步：“评估定级，定义安全需求”。 通过风险评估、系统定级、等级评估等服务组件识别系统的安全风险，确定 系统的安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。 第二步：“体系建设，定义安全需求”。 通过体系设计制定等级方案，进行安全策略体系、安全组织体系、安全技术 体系和安全运维体系建设，满足评估定级阶段形成的安全需求，实现按需防御。 第三步：“安全运维，确保持续安全”。 通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件，从 事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满足持续 性按需防御的安全需求。 原则上，卫生行业信息安全保护等级不超三级，以下重要信息系统保护等级不低于第三级： （1）跨市全省联网运行的信息系统； （2）省、市卫生信息平台，新农合、血液管理、社区妇幼管理、卫生监督、药品招标采购等省级应用系统和数据中心。 （3）三级医院的核心业务信息系统； （4）其他经过信息安全技术专家委员会评定为三级的系统。 信息系统安全保护等级为第二级（含）以上的，由信息系统运营使用单位，在系统投入运行后（新建系统）或确定等级后（已运行的系统）30日内，填写《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》办理备案手续。已完成定级备案单位要参照本实施指南动态调整安全等级，未完成定级备案单位要抓紧到属地公安部门备案。 省直医疗卫生单位信息系统和全省统一联网或跨市联网运行的信息系统，经省卫生厅审核后，统一报省公安厅备案；各市卫生局及下属单位、辖区内医疗卫生单位报属地市级公安机关备案。 各市卫生局应将辖区内信息系统备案情况于每年末汇总后向卫生厅报备。 在医疗机构信息系统中除了具有HIS系统、LIS系统、PACS系统等二级系统外，还有医院网站、OA系统的一级系统，那么在不同等级互联时，我们可采用的策略有： 策略一：将所有系统放在一个安全域中，按照最高级别(三级和二级共存的情况，按照高级别的三级防护)进行防护；这样做的好处是所有系统都满足各自系统的防护需求； 策略二：将所有三级系统放在一个安全域中，利用访问控制手段与其他系统进行隔离，并按照三级要求进行防护；将所有二级和一级系统分别放在一个安全域中，利用访问控制手段与其他系统进行隔离，并按照要求进行防护。 两种策略各有优劣，根据医疗机构信息系统建设发展的具体情况进行选择。 总结 一、安全方案：设计合规性、适用性并重的安全方案。 二、安全实施：采用标准、成熟、先进的等级保护实施方法开展安全实施。 三、风险评估与测评：引入风险评估方法，保障集成实施过程中风险可识别可控制。测评确保合规。 四、安全政策：基于等级保护和业务风险设计安全策略。 五、安全制度：设计可有效执行的安全管理制度。 六、安全培训：通过层次化、体系化的培训，保障系统可持续运维。 七、应急响应：通过高效、专业的应急响应服务，保障系统安全运营。 愿景 D阶段-实施运行阶段-现状 D阶段-实施运行阶段-安全保障体系方案 C阶段-安全检查 接受来自公安机关的检查，三级系统每年至少检查一次。 选择认证的等级保护测评机构，三级系统每年至少测评一次。 三级系统至少每年自查一次。信息系统安全状况、安全保护制度及措施的落实情况。 自 查 等级测评 检 查 A阶段-处置改进阶段 开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。 1.查找差距 根据信息系统安全保护现状分析结果，按照《信息系统安全等级保护基本要求》、《信息系统等级保护安全设计技术要求》等国家标准，制定信息安全等级保护建设整改方案。第三级（含）以上的安全建设整改方案须经省信息安全等级保护专家技术委员会论证。 2.制定方案 各单位应按照安全建设整改方案，完善安全保护措施，配备符合标准规范的安全产品，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和安