延安医疗集团信息安全等级保护项目设计方案.docVIP

延安医疗集团信息安全等级保护项目设计方案项目建设背景 项目建设目标 三级信息系统安全保护环境的设计目标是：落实GB 17859-1999对三级信息系统的安全保护要求，在二级安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。 依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，以及医疗集团对信息系统等级保护工作的有关规定和要求，医疗集团已经对网络和信息系统进行等级保护定级，并按信息系统逐个编制了定级报告和定级备案表，定级材料已经提交当地公安机关备案。 本次等级保护整改的核心目标是为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面的基本技术要求而进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面定基本管理要求而进行管理体系建设。通过上述两个方面的建设使得医疗集团网络信息系统最终既可以满足等级保护的相关要求，又能够全方位为医疗集团的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。本项目建设将完成以下目标： 1、以医疗集团HIS、LIS、RIS、PACS、体检、临床路径、心电图系统等信息系统的现有基础设施为基础，建设并完成满足等级保护三级系统基本要求的信息系统，确保医疗集团的整体信息化建设符合相关要求并迈向新的台阶。 2、建立安全管理组织机构，成立信息安全工作小组，信息中心负责人为安全责任人，拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，确保信息安全等级保护工作顺利实施。 3、建立完善的安全技术防护体系，根据信息安全等级保护的要求，建立满足三级要求的安全技术防护体系。 4、建立健全信息系统安全管理制度，根据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。 5、制定保障医疗活动不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。 6、安全培训：为医疗集团信息化技术人员提供信息安全相关专业技术知识培训，并获取相关资质认证。 项目参考标准 东软公司有充分的能力和丰富的经验在遵循国家信息安全等级保护指南等最新安全标准的前提下协助医疗集团开展各项等级保护整改建设工作，并助力和配合医疗集团通过相关组织的等级保护测评工作。本项目建设参考依据： 指导思想 中办[2003]27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知） 公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的通知） 公通字[2007]43号文件（关于印发《信息安全等级保护管理办法》的通知） 公信安[2009] 1429《关于开展信息安全等级保护安全建设整改工作的指导意见》 等级保护 GB 17859-1999 计算机信息系统安全保护等级划分准则信安字[2007]10号 信息安全技术 信息系统安全等级保护实施指南 系统定级 GB/T 22240-2008 信息安全技术 信息系统安全保护等级定级指南 技术方面 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统通用安全技术要求 GA/T671-2006 信息安全技术?终端计算机系统安全等级技术要求 GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 管理方面 GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求 GB/T20269-2006信息系统安全管理要求 GB/T20282-2006 信息系统安全工程管理要求 ISO/IEC 27001 信息系统安全管理体系标准 方案设计 信安秘字[2009]059 《信息系统等级保护安全设计技术要求》 等保测评 《信息系统安全等级保护测评要求》（公安部报批稿） 《信息系统安全等级保护测评过程指南》（公安部报批稿） 项目实施原则 针对医疗集团本次项目，东软公司如有幸参与，我们将严格遵循以下原则： 保密性原则：东软公司对安全服务的实施过程和结果将严格保密，在未经医疗集团授权的情况下不会泄露给任何单位和个人，不会利用此数据进行任何侵害客户权益的行为； 标准性原