医院落实国家信息安全等级保制度的具体措施.pdfVIP

**医院落实国家信息安全等级保护制度的具体措施 一、信息安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别 进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安 全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的 标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上 称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他 组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的 信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实 行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置 的综合性工作。 二、工作目标 信息系统运营使用单位在做好信息系统安全等级保护定级备案 工作基础上，按照国家有关规定和标准规范要求，开展信息安全等级 保护安全建设整改工作。通过落实安全责任制，开展管理制度建设、 技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理 水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减 少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。 三、工作内容 信息系统运营使用单位在开展信息安全等级保护安全建设整改 工作中，应按照国家有关规定和标准规范要求，坚持管理和技术并重 1 的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体 系，提高信息系统整体安全保护能力。我院依据 《国家信息安全等级 保护度 （二级）》，落实信息安全责任制，建立并落实各类安全管理制 度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实 物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技 术施。 四、等级划分 《信息安全等级保护信息安全等级保护管理办法》规定，国家信 息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保 护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要 程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公 民、法人和其他组织的合法权益的危害程度等因素确定。 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合 法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合 法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损 害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特 别严重损害，或者对国家安全造成严重损害。 2 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 五、安全保护能力目标 各级信息系统应通过安全建设达到以下安全保护能力目标： 第一级信息系统：经过安全建设整改，信息系统具有抵御一般性 攻击的能力，防范常见计算机病毒和恶意代码危害的能力；系统遭到 损害后，具有恢复系统主要功能的能力。 第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、 较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性 计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对 安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行 状态的能力。 第三级信息系统：经过安全建设整改，信息系统在统一的安全保 护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自 然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、 发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置， 并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复 正常运行状态的能力；对于服务保障性要求高的系统，应能快速恢复 正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的 能力。 第四级信息系统：经过安全建设整改，信息系统在统一的安全保 护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的 自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、 3 发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处 置，并能够