安全生产管理某大型机构信息系统安全规划解决方案.pdfVIP

{安全生产管理}某大型 机构信息系统安全规 划解决方案 北医信息系统安全规划方案 2016-05 1 概述 信息安全等级保护制度不仅是我国信息安全保障工作的一项基本制度，更是一项事关国家安 全及社会稳定的政治任务。２０１１年１２月，卫生部发布《卫生部办公厅关于全面开展卫 生行业信息安全等级保护工作的通知》（卫办综函［２０１１］１１２６号），要求卫生行业 全面开展信息安全等级保护工作 ，同时发布《卫生行业信息安全等级保护工作的指导意见》 （卫办发［２０１１］８５号），结合卫生行业实际，为规范和指导全国卫生行业信息安全 等级保护工作，提供了指导意见。 卫生行业实施信息安全等级保护制度工作全面开启。医院信息系统（ＨＩＳ）是卫生行业信 息系统的重要组成部分。医院医疗工作的正常进行和病人个人隐私信息都与医院信息系统的 安全紧密相关，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的 损失。医院信息系统必须按照要求，全面实施信息安全等级保护制度，以确保医院信息系统 数据安全。１９９４年，国务院发布了《中华人民共和国计算机信息系统安全保护条例》（国 务院１４７号令），规定计算机信息系统实行安全等级保护 。２００４年９月，公安部等 四部委联合发布《关于信息安全等级保护工作的实施意见》（公通字［２００４］６６号）， 明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划等。２００７年 ６月，《信息安全等级保护管理办法》（公通字［２００７］４３号）正式出台，为开展信息 安全等级保护工作提供了规范保障。随后，国家相继出台了《计算机信息系统安全保护等级 划分准则》、《信息系统安全保护等级定级指南》、《信息系统安全保护等级基本要求》、《信 息系统安全等级保护测评要求》等多种安全标准实施办法。 用友作为整体解决方案提供商，在医院系统架构中我们将以数据安全作为方案重点根据国家 标准并结合当前成熟的软硬件技术进行系统软件、硬件设计及架构，如果选择用友提供整体 解决方案，医院管理系统可以实现最好的应用效果和最大的经济效益。 2 总体设计目标 系统具有较强的伸缩性和可扩展性，不但能够满足目前北医日常信息录入、查询、报表分析 等业务操作的需求，而且对今后北医业务增加或访问量增大也具有良好的扩展性，实现业务 和系统性能的线性增长。 功能、性能满足需求的同时，数据安全是我们关注的重点方面，通过安全域划分、边界安全 防护、身份鉴别、服务器容错和备份恢复等手段，用友信息系统可以多角度全方位的保证医 疗信息系统的数据安全。 3 安全总体实现目标 3.1 安全定级 医疗信息系统的准确定级十分关键，如果信息系统的定级不科学，那么依据定级结果建设的 信息安全体系将事与愿违，甚至可能面临严重安全隐患。信息系统的安全保护等级由两个定 级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。信息系统安 全保护等级从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控 保护级 5 个安全等级。 信息系统安全保护等级： （一）第一级为自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其 他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 （二）第二级为指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共 利益造成轻微损害，但不损害国家安全。 （三）第三级为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统， 其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。 （四）第四级为强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统， 其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 （五）第五级为专控保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的 核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。 卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发［２０１１］８５号）的有 关指导意见，北医系统安全保护等级原则上不低于第二级。 附：监督管理办法 第五条信息系统运营、使用单位及个人依据本办法和相关技术标准对信息系统进行保护，国 家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。 （一）第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。 （二）第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时， 国家有关信息安全职能部门可以对其信息安全等级保护工作进行指