某大型机构信息系统安全规划解决计划.docxVIP

北医信息系统安全规划方案 2016-05 概述 信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度，更是一项事关国家安全及社会稳定的政治任务。２０１１年 １２月，卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函［２０１１］１１２６号），要求卫生行业全 面 开 展 信 息 安 全 等 级 保 护 工 作，同 时 发 布《卫生行业信息安全等级保护工作的指导意见》（卫办发［２０１１］８５号），结合卫生行业实际，为规范和指导全国卫生行业信息安全等级保护工作，提供了指导意见。 卫生行业实施信息安全等级保护制度工作全面开启。医院信息系统 （ＨＩＳ）是卫生行业信息系统的重要组成部分。医院医疗工作的正常进行和病人个人隐私信息都与医院信息系统的安全紧密相关，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。医院信息系统必须按照要求，全面实施信息安全等级保护制度，以确保医院信息系统数据安全。１９９４年，国务院发布了《中华人民共和国计算机信息系统安全保护条例》（国务院 １４７号令），规定计算机信息系统实行安全等级保护。２００４年 ９月，公安部等四部委联合发布《关于信息安全等级保护工作的实施意见》（公通字［２００４］６６号），明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划等。２００７年 ６月，《信息安全等级保护管理办法》（公通字［２００７］４３号）正式出台，为开展信息安全等级保护工作提供了规范保障。随后，国家相继出台了《计算机信息系统安全保护等级划分准则》、《信息系统安全保护等级定级指南》、《信息系统安全保护等级基本要求》、《信息系统安全等级保护测评要求》等多种安全标准实施办法。 用友作为整体解决方案提供商，在医院系统架构中我们将以数据安全作为方案重点根据国家标准并结合当前成熟的软硬件技术进行系统软件、硬件设计及架构，如果选择用友提供整体解决方案，医院管理系统可以实现最好的应用效果和最大的经济效益。 总体设计目标 系统具有较强的伸缩性和可扩展性，不但能够满足目前北医日常信息录入、查询、报表分析等业务操作的需求，而且对今后北医业务增加或访问量增大也具有良好的扩展性，实现业务和系统性能的线性增长。 功能、性能满足需求的同时，数据安全是我们关注的重点方面，通过安全域划分、边界安全防护、身份鉴别、服务器容错和备份恢复等手段，用友信息系统可以多角度全方位的保证医疗信息系统的数据安全。 安全总体实现目标 安全定级 医疗信息系统的准确定级十分关键，如果信息系统的定级不科学，那么依据定级结果建设的信息安全体系将事与愿违，甚至可能面临严重安全隐患。信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。信息系统安全保护等级从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级5个安全等级。 信息系统安全保护等级： （一）　第一级为自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 （二）　第二级为指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。 （三）　第三级为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。 （四）　第四级为强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 （五）　第五级为专控保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。 卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发［２０１１］８５号）的有关指导意见，北医系统安全保护等级原则上不低于第二级。 附：监督管理办法 第五条　信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。 （一）　第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。 （二）　第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时，国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。 （三）　第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。 （四）　第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。