浅谈三甲医院信息安全等级保护工作.docxVIP

浅谈三甲医院信息安全等级保护工作 1、建设背景 随着医院信息化建设的不断的发展， 医院各项工作的开展都不同程度的采用了网络信息系统， 信息系统在三甲医院中的角色也越来越重要， 现代医院的发展建设已经和信息化建设结合为一体； 当医院信息系统安全受到攻击或破坏从而导致医院不能正常开展各项医疗工作时， 就很容易引发社会性的群体事故， 如泄露患者个人隐私信息（重大疾病） 、挂号系统中断引发患者情绪不满在医院闹事，因此如何保证医院信息系统安全也成为医院信息化建设需重视的问题。 为了进一步做好医院信息安全保护工作， 卫生部针对我国现阶段各医疗行业的现状，下发了《卫生行业信息安全等级保护工作的指导意见》 的通知 {2011}85 号，在该通知中明确了信息安全等级保护与医疗行业信息安全保护的联系， 根据该文件的指导精神， 三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。 2、建设过程 医院信息安全等级保护工作建设主要分为以下几个过程： 2.1 医院信息系统定级评审 根据信息安全等级保护的相关规定， 当信息系统遭到攻击或破坏时引发的 后果可分为对国家安全、 社会秩序及公共利益、 公民及个人的合法利益的受损害 程序来进行等级划分。 对比此规定，按照卫生行业信息安全等级保护工作的相关 要求，三甲医院应按照信息安全等级保护三级标准来对医院核心业务进行定级， 并组织各方相关信息安全专家完成医院信息系统的定级工作。 2.2 医院信息系统备案 在对医院信息系统进行定级评审后， 医院需将《信息系统安全等级保护备案 表》、《信息系统安全等级保护定级报告》及相关文档上交给当地卫生主管部门， 有卫生部门报市级以上公安机关进行备案登记， 等拿到备案回单后完成信息系统 的定级工作。 2.3 医院信息系统等级保护测评 在完成信息系统定级及备案工作后， 需选择当地公安部门授权的具有信息安全等级保护测评资质的专业测评机构对医院信息系统进行整体测评。 其测评目的在于对医院信息系统的安全防护能力做出客观评价， 通过对物理安全、网络安全、 应用安全、数据安全、主机安全、安全管理几个方面的安全检查，以国家信息安 全等级保护基本要求作为安全基线， 进行客观的符合性判定， 进一步衡量当前系 统的安全防护能力， 以及系统所面临的威胁和风险所在。 为安全整改和将来的安 全建设提供有力依据。 2.3.1 测评指标与方法 医院核心业务系统属于等级保护三级系统， 安全测评指标应包括 《信息系统安全等级保护基本要求》 7.1 节“技术要求”中的三级通用指标类（ G3），三级业务信息安全性指标类（ S3）和三级业务服务保证类（ A3）。 测评现场工作将采用访谈、 检查和测试等三类方法。 访谈是测评人员通过与信息系统有关人员进行交流、 讨论等活动以获取证据的一种方法。 检查是测评人员通过对测评对象进行观察、 查验、分析等活动以获取证据的一种方法。 测试是指测评人员对测评对象按照预定的方法 / 工具使其产生特定的响应等活动，然后通过查看、分析响应输出结果来获取证据的一种方法。 访谈使用到的工具主要是访谈列表。测评人员针对访谈列表上的问题，逐 项与信息系统有关人员进行交流、 讨论，根据被访谈人员的回答了解和确认信息 系统的安全保护情况。 检查使用到的工具主要是核查列表。测评人员针对核查 列表上的问题， 通过观察、查验、分析等活动， 逐项核实。根据检查对象的不同， 检查可以进一步分为文档审查、现场观测和配置核查等方式。 依据工具和实施过程的不同，测试可以进一步细分为信息获取、漏洞扫描、渗透测试、密码分析等方式。 信息获取是指获取存活主机 / 设备的名称、 IP 地址、操作系统、开放的服务端口以及特定的数据包等信息内容； 漏洞扫描是指利用漏洞扫描设备对目标设备进行自动探测，发现这些主机 / 设备上各个对网络开放端口上存在的错误配置和已知安全漏洞； 渗透测试是模拟黑客可能使用的攻击技术， 试图侵入信息 系统或取得信息系统上的更多资源，以直观地测评信息系统的安全状况。 从不同接入点对信息系统进行漏洞扫描和渗透测试，可以反映出信息系统在不同角度、不同视野下的安全状况。 2.3.2 单元测评 把测评指标和测评方式结合到信息系统的具体测评对象上， 就构成了可以具 体测评的工作单元。测评机构将分别对物理安全、网络安全、主机系统安全、应 用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、 系统建设管理和系统运维管理等方面进行单元测评。 2.3.3 整体测评 信息系统的安全控制集成到信息系统后，会在层面内、层面间和区域间产生连接、交互、依赖、协同等相互关联关系，使信息系统的整体安全功能与信息系统的结构密切相关， 在整体上呈现出一种集成特性。 这些集成特性在安全控制的工作单元中是没有完