医疗行业安全交流.pptx

南通医疗行业安全交流;公司概况;公司发展;公司服务资质 （应有尽有） 国家安全服务资质（二级）（最高） 计算机信息系统集成资质（二级） ISO9001质量管理体系国际国内双认证 一级应急处理服务资质（最高级） 一级风险评估资质（最高级） ISO27001安全认证（国内安全公司唯一） 微软MAPP合作伙伴（中国第一家） 北京市高新技术企业 国家网络与信息安全信息通报技术支持单位 国家级应急服务支撑单位 公司产品资质（一应俱全） 中国国家信息安全测评中心认证 中国国家公安部认证 中国人民解放军安全产品测评中心认证 国家保密局认证;公司荣誉;核心竞争力：安全技术能力;专业的安全服务能力;绿盟科技安全研究;绿盟科技安全研究;绿盟科技安全研究;绿盟科技产品线;绿盟科技服务体系;绿盟科技服务体系;绿盟科技服务体系;参与国标的编写;2009年 绿盟科技发起成立国际云安全联盟CSA（Cloud Security Alliance）中国区分会，是CSA在亚太地区的第一个企业成员。;福兮，祸所伏…;高速发展的医院信息化;信息化带来的收获;然而…;;到了应该重视的时候;吾日，三省吾身….;医院业务系统;病历信息 信息量大，潜在价值极高！ 用药信息 医药代表趋之若鹜 研究成果信息 创新乃竞争之本 财务、医保相关信息 个人利益直接相关 医疗检验信息 涉及隐私 完整性要求高！ …;各分系统、子系统之间，千丝万缕的联系容易产生“信息烟囱” 事件难以定位;基于Web2.0的社区协作医疗功能架构;医院安全关注点;;内外兼治，技管双修…;卫生部公文;目标与原则;工作机制;（一）定级备案 定级（原则上不低于第三级的卫生重要信息系统） 卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行系统； 国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心； 三级甲等医院的核心业务信息系统； 卫生部网站系统； 其它经过信息安全技术专家委员会评为为第三级（含）以上系统 ;论证评审 拟定为第三级（含）以上的卫生信息系统，应当经信息安全技术专家委员会论证、评审。 备案 第二级（含）以上信息系统应当报属地公安机关及卫生行政部门备案； 跨省全国联网运行并由卫生部定级的信息系统，由卫生部报公安部备案； 在各地运行、应用的分支系统，应当报属地公安机关备案。;（二）建设与整改 差距分析与安全需求 制定信息系统安全等级保护建设整改方案 第三级（含）以上卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。 形成信息安全技术防护体系和信息安全管理体系 完善安全保护措施 建立安全管理制度 落实安全管理措施;（三）等级测评 第三级（含）以上信息系统建设整改工作完成后，选择等级测评机构进行等级测评。 测评合格后，将测评报告报属地公安机关及卫生行政部门备案。 第三级（含）以上信息系统应当每年进行一次测评。 重要部门的第二级信息系统，可参照上述要求进行等级测评。;（四）宣传培训 各级卫生行政部门信息化工作领导小组应当开展政策和标准规范培训； 卫生行业各单位应当开展内部信息安全培训。 （五）监督检查 卫生部信息化工作领导小组 督导检查等保工作落实情况，督促开展等保工作。 省级卫生行政部门信息化工作领导小组 督导检查等保工作落实情况，督促开展等保工作； 向卫生部报送等保工作相关情况。 ;等级测评的内容－十个方面;等级保护-技术与管理;等级保护解决方案的三大步骤;第一步：等级保护差距分析;差距分析的目的;等级保护差距分析;差距分析要素;技术安全要求;管理安全要求;安全要求项级差;采用的方式;第三级基本要求—管理要求—安全管理制度—管理制度 d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 差距分析实施： 访谈 安全主管 查看 ;第三级基本要求—技术要求—主机安全—身份鉴别 f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 差距分析实施： ;第二步： 安全规划与设计;安全规划;安全设计;详细安全设计;第三步： 安全建设与运维;安全建设;安全运维;技术防护部分;医院安全技术解决方案的设计;医院网络典型拓扑;一、外网区域安全建设;外网区域安全威胁;这些问题是如何产生的？;分项解决;绿盟外网安全解决方案;二、内网区域安全建设;;具体的威胁;绿盟内网安全解决方案;安全管理部分;层面;;绿盟科技-巨人背后的安全专家;QA;9、有时候读书是一种巧妙地避开思考的方法。2月-212月-21Wednesday, February 17, 2021 10、阅读一切好书如同和过去最杰出的人谈话。12: