信息安全等級(jí)保護(hù)制度-十堰太和醫(yī)院課件

1、醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)實(shí)施體系化方法東風(fēng)總醫(yī)院馮淑凱醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)實(shí)施體系化方法東風(fēng)總醫(yī)院馮淑主要內(nèi)容 信息安全等級(jí)保護(hù)制度 信息安全等級(jí)保護(hù)的體系化實(shí)施主要內(nèi)容 信息安全等級(jí)保護(hù)制度 信息安全等級(jí)保護(hù)的體信息安全等級(jí)保護(hù)制度 信息安全等級(jí)保護(hù)制度的提出 信息安全等級(jí)保護(hù)發(fā)展現(xiàn)狀 信息安全等級(jí)保護(hù)體系信息安全等級(jí)保護(hù)制度 信息安全等級(jí)保護(hù)制度的提出 信信息安全等級(jí)保護(hù)制度的提出 計(jì)算機(jī)病毒、黑客攻擊、軟硬件故障等信息安全問題給各類組織造成了極大的風(fēng)險(xiǎn) 信息安全問題不僅僅是組織自身的事情，也涉及到國(guó)家和社會(huì)安全 基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系

2、統(tǒng)的安全尤為重要信息安全等級(jí)保護(hù)制度的提出 計(jì)算機(jī)病毒、黑客攻擊、軟硬件信息安全等級(jí)保護(hù)制度的提出 1994年，國(guó)務(wù)院發(fā)布了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（147號(hào)令） 條例第九條明確規(guī)定“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定”。 1999年9月13日，計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）發(fā)布，是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)工作的基礎(chǔ)2003年，國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（27號(hào)）明確指出“實(shí)行信息安全等級(jí)保護(hù)”信息安全等級(jí)保護(hù)制度的提出2003年，國(guó)家信息信息安全等級(jí)保

3、護(hù)制度的提出 2004年，公安部、保密局、密碼管理局、國(guó)信辦聯(lián)合印發(fā)了關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（66號(hào)文件），明確了等級(jí)保護(hù)的原則、內(nèi)容、要求以及部門分工和實(shí)施計(jì)劃 2007年，公安部、保密局、密碼管理局、國(guó)信辦聯(lián)合制定了信息安全等級(jí)保護(hù)管理辦法，標(biāo)志著我國(guó)等級(jí)保護(hù)制度的初步形成信息安全等級(jí)保護(hù)制度的提出 2004年，公安部、保密局、信息安全等級(jí)保護(hù)制度 信息安全等級(jí)保護(hù)制度的提出 信息安全等級(jí)保護(hù)發(fā)展現(xiàn)狀 信息安全等級(jí)保護(hù)體系信息安全等級(jí)保護(hù)制度 信息安全等級(jí)保護(hù)制度的提出 信信息安全等級(jí)保護(hù)發(fā)展現(xiàn)狀 測(cè)評(píng)工作 公信安2010303號(hào)關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)

4、評(píng)工作的通知，要求2010年底前完成測(cè)評(píng)體系建設(shè)，并完成30%第三級(jí)（含）以上信息系統(tǒng)的測(cè)評(píng)工作，2011年底前完成第三級(jí)（含）以上信息系統(tǒng)的測(cè)評(píng)工作，2012年底之前完成第三級(jí)（含）以上信息系統(tǒng)的安全建設(shè)整改工作。信息安全等級(jí)保護(hù)發(fā)展現(xiàn)狀 測(cè)評(píng)工作 公信安20103信息安全等級(jí)保護(hù)制度 信息安全等級(jí)保護(hù)制度的提出 信息安全等級(jí)保護(hù)發(fā)展現(xiàn)狀 信息安全等級(jí)保護(hù)體系信息安全等級(jí)保護(hù)制度 信息安全等級(jí)保護(hù)制度的提出 信信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 安全等級(jí)保護(hù)劃分準(zhǔn)則 GB17859-1999 我國(guó)等級(jí)保護(hù)制度的基礎(chǔ)性標(biāo)準(zhǔn)，規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)級(jí)別第一級(jí)：用戶自主保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)

5、保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)：訪問驗(yàn)證保護(hù)級(jí) 針對(duì)每個(gè)級(jí)別，詳細(xì)列出了等級(jí)劃分準(zhǔn)則信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系第一級(jí)：用戶自主保護(hù)級(jí) 信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T 22240-2008 用于指導(dǎo)信息系統(tǒng)的建設(shè)單位和運(yùn)營(yíng)、使用單位如何對(duì)確定的信息系統(tǒng)進(jìn)行定級(jí)，為信息系統(tǒng)等級(jí)保護(hù)的實(shí)施提供基礎(chǔ)和依據(jù) 定級(jí)要素 受侵害的客體：a）公民、法人和其他組織的合法權(quán)益；b）社會(huì)秩序、公共利益；c）國(guó)家安全 對(duì)客體的侵害程度：a）造成一般損害；b）造成嚴(yán)重?fù)p害；c）造成特別嚴(yán)重?fù)p害。信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南信息安全等級(jí)保護(hù)標(biāo)

6、準(zhǔn)體系 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T 22240-2008對(duì)客體的侵害程度受侵害的客體公民、法人和其他組織的合法權(quán)益社會(huì)秩序、公共利益國(guó)家安全一般損害第一級(jí)第二級(jí)第三級(jí)嚴(yán)重?fù)p害第二級(jí)第三級(jí)第四級(jí)特別嚴(yán)重?fù)p害第二級(jí)第四級(jí)第五級(jí)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系受侵害的客體一般損害嚴(yán)重?fù)p害特別嚴(yán)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全信息系統(tǒng)與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全等級(jí)。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全等級(jí)。業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全信息系統(tǒng)與之

7、相關(guān)的受侵害客體和對(duì)客兩種安全的定義對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞，其危害方式表現(xiàn)為對(duì)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞，其中：信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)；由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同，在定級(jí)過程中，需要分別處理這兩種危害方式。信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果：影響行使工作職能；導(dǎo)致業(yè)務(wù)能力下降；引起法律糾紛；導(dǎo)致財(cái)產(chǎn)損失；造成社會(huì)不良影響；對(duì)其他組織和個(gè)人造成損失；其他影響。兩種安全的定義對(duì)客體的侵害外

8、在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞，其危害定級(jí)流程定級(jí)流程信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 針對(duì)每個(gè)等級(jí)的信息系統(tǒng)提出相應(yīng)安全保護(hù)要求，這些要求的實(shí)現(xiàn)能夠保證系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)能力 用途 為信息系統(tǒng)的建設(shè)單位和運(yùn)營(yíng)、使用單位如何對(duì)確定等級(jí)的信息系統(tǒng)進(jìn)行保護(hù)提供技術(shù)指導(dǎo) 為信息系統(tǒng)主管部門、信息系統(tǒng)運(yùn)營(yíng)、使用單位或?qū)ｉT的等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)安全保護(hù)等級(jí)的檢測(cè)評(píng)估提供依據(jù) 為監(jiān)管部門的監(jiān)督檢查提供依據(jù)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 基本技術(shù)

9、類要求 與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實(shí)現(xiàn) 基本管理類要求 與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要通過控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 基本技術(shù)類要求的三種類型 保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡(jiǎn)記為S）； 保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡(jiǎn)記為A） 通用安

10、全保護(hù)類要求（簡(jiǎn)記為G）信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 不同等級(jí)的信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力 第一級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。 第二級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損

11、害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 不同等級(jí)的信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力 第三級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。 第四級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重

12、的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 其他已發(fā)布的重要信息安全等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn) 信息安全技術(shù) 信息系統(tǒng)安全管理要求GB/T 20269-2006 信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求GB/T 20282-2006信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 其他已發(fā)布的重要信息安全等級(jí)保主要內(nèi)容 信息安全等級(jí)保護(hù)制度 信息安全等級(jí)保護(hù)的體系化實(shí)施主要內(nèi)容 信息安全等級(jí)保護(hù)制度 信

13、息安全等級(jí)保護(hù)的體信息安全等級(jí)保護(hù)的體系化實(shí)施 體系化管理方法 信息安全等級(jí)保護(hù)工作的體系化需求 信息安全等級(jí)保護(hù)工作的體系化總體實(shí)施流程信息安全等級(jí)保護(hù)的體系化實(shí)施 體系化管理方法 信息安-從管理的定義說起體系化管理方法 什么是管理？-從管理的定義說起體系化管理方法administeradministrationadministratormanagemanagementmanager18世紀(jì)工業(yè)革命（1700S）體系化管理方法“管”中國(guó)古代春秋戰(zhàn)國(guó)康熙19年（1680）-從管理的定義說起“理”管理administermanage18世紀(jì)體系化管理方體系化管理方法-從管理的定義說起 管理的定義

14、 ISO9000:2000 質(zhì)量管理體系 基礎(chǔ)和術(shù)語 管理management：指揮和控制組織的協(xié)調(diào)的活動(dòng) 管理學(xué) 管理是指通過計(jì)劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財(cái)力等資源，以期有效達(dá)成組織目標(biāo)的過程。 管理是一種理論，也可以說是一種方法或工具，與具體業(yè)務(wù)相結(jié)合的時(shí)候，便形成不同領(lǐng)域、不同門類的管理科學(xué)，例如經(jīng)濟(jì)管理、質(zhì)量管理、信息安全管理等體系化管理方法-從管理的定義說起 管理的定義體系化管理方法-管理的體系化 質(zhì)量管理領(lǐng)域率先提出體系化方法 質(zhì)量管理的體系化方法衍生于軍品的質(zhì)量保證要求 1979年，ISO成立了質(zhì)量管理和質(zhì)量保證技術(shù)委員會(huì)負(fù)責(zé)制定質(zhì)量管理和質(zhì)量保證標(biāo)準(zhǔn)，1987

15、年發(fā)布了ISO9000質(zhì)量管理和質(zhì)量保證標(biāo)準(zhǔn)選擇和使用指南、ISO9001質(zhì)量體系 設(shè)計(jì)開發(fā)、生產(chǎn)、安裝和服務(wù)的質(zhì)量保證模式以及ISO9002、ISO9003、ISO9004等標(biāo)準(zhǔn) 質(zhì)量管理的體系化模式取得廣泛應(yīng)用之后，體系化方法也逐漸在其他領(lǐng)域運(yùn)用，例如環(huán)境管理領(lǐng)域、職業(yè)健康安全管理領(lǐng)域等，這種管理的體系化方法也逐漸發(fā)展為一個(gè)特殊的領(lǐng)域，即管理體系體系化管理方法-管理的體系化 質(zhì)量管理領(lǐng)域率先提出體系化體系化管理方法-管理的體系化圖釋增值活動(dòng)信息流體系化管理方法-管理的體系化圖釋增值活動(dòng)體系化管理方法-管理的體系化要素 在管理體系方法中，應(yīng)用了下列要素： 過程方法 PDCA模型 管理職責(zé) 資

16、源管理 持續(xù)改進(jìn)等體系化管理方法-管理的體系化要素 在管理體系方法中，應(yīng)用體系化管理方法-過程方法 過程 process 一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng) 過程方法 process approach 系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過程，特別是這些過程之間的相互作用，稱為過程方法。體系化管理方法-過程方法 過程 process-過程方法記 錄體系化管理方法責(zé)任人輸入資 源測(cè)量、改進(jìn)輸出-過程方法記 錄體系化管理方法測(cè)量、改進(jìn)體系化管理方法-PDCA模型 PDCA模型：持續(xù)改進(jìn)的優(yōu)秀方法A PC D體系化管理方法-PDCA模型 PDCA模型：持續(xù)改進(jìn)的優(yōu)體系化管理方法-PDCA模型 P

17、DCA模型：持續(xù)改進(jìn)的優(yōu)秀方法 又稱戴明環(huán)， PDCA循環(huán)是能使任何一項(xiàng)活動(dòng)有效進(jìn)行的工作程序：策劃實(shí)施檢查處置體系化管理方法-PDCA模型 PDCA模型：持續(xù)改進(jìn)的優(yōu)體系化管理方法-PDCA模型 PDCA的特點(diǎn)一 按順序進(jìn)行，它靠組織的力量來推動(dòng)，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)PDAC體系化管理方法-PDCA模型 PDCA的特點(diǎn)一PA體系化管理方法-PDCA模型 PDCA的特點(diǎn)二 組織中的每個(gè)部分，甚至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題PDACA PC DA PC D體系化管理方法-PDCA模型 PDCA的特點(diǎn)二PAA 體系化管理方法-PDCA模型 PDCA的特點(diǎn)

18、三 每通過一次PDCA 循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA 循環(huán)PAC DPAC D體系化管理方法-PDCA模型 PDCA的特點(diǎn)三PAC 體系化管理方法-管理職責(zé) 管理職責(zé)是指管理活動(dòng)中，管理者應(yīng)該具備的職責(zé)要求 有人認(rèn)為這應(yīng)該是一個(gè)很簡(jiǎn)單的活動(dòng) 質(zhì)量管理中，當(dāng)質(zhì)量與進(jìn)度產(chǎn)生沖突時(shí)，往往是質(zhì)量讓進(jìn)度！ 信息安全管理中，安全與方便性、安全與日常習(xí)慣發(fā)生矛盾時(shí)，安全管理如何保證？ 管理職責(zé)的重要性就在于此，作為管理者，在任何時(shí)刻都應(yīng)毫無疑義的堅(jiān)持管理的要求體系化管理方法-管理職責(zé) 管理職責(zé)是指管理活動(dòng)中，管理者體系化管理方法-資源管理 在整個(gè)管理活動(dòng)中，如何分配人員、能否保證資金

19、、如何配備物品，是影響實(shí)現(xiàn)管理目標(biāo)的關(guān)鍵要素 人員無疑是資源管理中最難控制的部分 人員的評(píng)價(jià)：是否滿足崗位的要求 人員的培訓(xùn)：確定需求、實(shí)施培訓(xùn)、培訓(xùn)效果評(píng)價(jià) 人員的持續(xù)發(fā)展：確保人員能夠一直滿足崗位要求體系化管理方法-資源管理 在整個(gè)管理活動(dòng)中，如何分配人員體系化管理方法-持續(xù)改進(jìn) 不斷對(duì)管理活動(dòng)進(jìn)行檢查，發(fā)現(xiàn)問題及時(shí)采取改進(jìn)措施，從而實(shí)現(xiàn)持續(xù)的改進(jìn) 檢查方式 內(nèi)部審核 管理評(píng)審等 改進(jìn)措施 糾正措施：為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施 預(yù)防措施：為消除潛在不符合或其他潛在不期望情況的原因所采取的措施體系化管理方法-持續(xù)改進(jìn) 不斷對(duì)管理活動(dòng)進(jìn)行檢查，發(fā)現(xiàn)問信息安全等級(jí)保護(hù)

20、的體系化實(shí)施 體系化管理方法 信息安全等級(jí)保護(hù)工作的體系化需求 信息安全等級(jí)保護(hù)工作的體系化總體實(shí)施流程信息安全等級(jí)保護(hù)的體系化實(shí)施 體系化管理方法 信息安信息安全等級(jí)保護(hù)工作的體系化需求 信息安全等級(jí)保護(hù)工作的特點(diǎn) 過程多：包括定級(jí)備案、建設(shè)改建、等級(jí)測(cè)評(píng)、自查、檢查等諸多過程 內(nèi)容繁雜：涉及到系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全管理制度、管理機(jī)構(gòu)、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等各個(gè)層面 涉及面廣：等級(jí)保護(hù)工作將覆蓋組織的多個(gè)部門，包括系統(tǒng)建設(shè)部門、運(yùn)維部門、使用部門以及行政、人力、財(cái)務(wù)等部門 應(yīng)該采用體系化方法來實(shí)施等級(jí)保護(hù)工作信息安全等級(jí)保護(hù)工

21、作的體系化需求 信息安全等級(jí)保護(hù)工作的信息安全等級(jí)保護(hù)工作的體系化需求 等級(jí)保護(hù)工作的出發(fā)點(diǎn)在于對(duì)信息系統(tǒng)進(jìn)行定級(jí)和分級(jí)保護(hù)，圍繞著信息系統(tǒng)而實(shí)施一系列的保護(hù)活動(dòng) 但一般情況下，信息系統(tǒng)運(yùn)營(yíng)、使用單位都會(huì)存在多個(gè)信息系統(tǒng)，這些信息系統(tǒng)可能處于不同級(jí)別 因此，更應(yīng)該采用體系化方法來統(tǒng)一規(guī)劃整個(gè)單位的信息安全工作信息安全等級(jí)保護(hù)工作的體系化需求 等級(jí)保護(hù)工作的出發(fā)點(diǎn)在信息安全等級(jí)保護(hù)工作的體系化需求 信息安全等級(jí)保護(hù)工作的定級(jí)備案、建設(shè)改建、等級(jí)測(cè)評(píng)、自查、檢查等過程，體現(xiàn)了部分體系化要素，最明顯的就是采用了過程方法和PDCA的一些思想 定級(jí)備案、建設(shè)改建、等級(jí)測(cè)評(píng)等過程均基于過程的概念，通過使用

22、相關(guān)的資源以及管理活動(dòng)，將輸入轉(zhuǎn)化為輸出，例如定級(jí)工作的輸入是系統(tǒng)的相關(guān)建設(shè)管理文檔，而輸出是系統(tǒng)級(jí)別 不同過程之間相互關(guān)聯(lián)，例如定級(jí)備案過程的輸出：系統(tǒng)級(jí)別，是后續(xù)建設(shè)改建、測(cè)評(píng)、檢查等過程的輸入 每個(gè)過程都包含不同的子過程，例如定級(jí)過程包括系統(tǒng)分析、等級(jí)確定兩個(gè)子過程信息安全等級(jí)保護(hù)工作的體系化需求 信息安全等級(jí)保護(hù)工作信息安全等級(jí)保護(hù)工作的體系化需求 從整體來看等級(jí)保護(hù)的工作，也體現(xiàn)出了PDCA模型的一些特點(diǎn) 建設(shè)和整改包含系統(tǒng)的規(guī)劃和設(shè)計(jì)，即P（規(guī)劃）階段的內(nèi)容 規(guī)劃工作的具體實(shí)施，以及系統(tǒng)的運(yùn)行屬于D（實(shí)施）階段的內(nèi)容 測(cè)評(píng)、自查和檢查等活動(dòng)都可作為C（檢查）階段的工作內(nèi)容 對(duì)于發(fā)現(xiàn)

23、的問題，需要及時(shí)整改，即A（處置）階段的工作內(nèi)容 此外，管理職責(zé)和資源管理也是非常重要的工作內(nèi)容，貫穿于各項(xiàng)活動(dòng)之中，是其他工作順利開展的基礎(chǔ)信息安全等級(jí)保護(hù)工作的體系化需求 從整體來看等級(jí)保護(hù)的工信息安全等級(jí)保護(hù)工作的體系化需求 因此，信息安全等級(jí)保護(hù)工作應(yīng)該，也適合采用體系化方法來加以實(shí)施 構(gòu)建等級(jí)保護(hù)的體系化實(shí)施模型 在原有等級(jí)保護(hù)工作的基礎(chǔ)上，使過程方法和PDCA模型更加完善和清晰化 補(bǔ)充其他體系化要素，形成完整的信息安全等級(jí)保護(hù)體系化實(shí)施方法信息安全等級(jí)保護(hù)工作的體系化需求 因此，信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)的體系化實(shí)施 體系化管理方法 信息安全等級(jí)保護(hù)工作的體系化需求 信息安全

24、等級(jí)保護(hù)工作的體系化總體實(shí)施流程信息安全等級(jí)保護(hù)的體系化實(shí)施 體系化管理方法 信息安4、等級(jí)保護(hù)持續(xù)改進(jìn)3、等保自查與測(cè)評(píng)1、實(shí)施指南建設(shè)思路2、等保二、三級(jí)系統(tǒng)建設(shè)4、等級(jí)保護(hù)持續(xù)改進(jìn)1、實(shí)施指南建設(shè)思路局部調(diào)整實(shí)施指南-基本實(shí)施過程系統(tǒng)定級(jí)安全規(guī)劃設(shè)計(jì)重大變更安全實(shí)施/實(shí)現(xiàn)安全運(yùn)行管理系統(tǒng)終止局部調(diào)整實(shí)施指南-基本實(shí)施過程安全運(yùn)行管理定級(jí)建議定級(jí)建議“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必須從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化信息安全資源的配置，確保重點(diǎn)?！薄?7號(hào)文”“等級(jí)保護(hù)不是要做成一個(gè)框框，而是要在有限資源的條件下，用適當(dāng)?shù)某杀精@得適度的安全?！钡燃?jí)保護(hù)的基

25、本含義“信息化發(fā)展的不同階段和不同的信息系統(tǒng)有著不同的安全需求，必醫(yī)療衛(wèi)生等保實(shí)施流程規(guī)劃 第一步：“評(píng)估定級(jí)，定義安全需求”。通過風(fēng)險(xiǎn)評(píng)估、系統(tǒng)定級(jí)、等級(jí)評(píng)估等服務(wù)組件識(shí)別系統(tǒng)的安全風(fēng)險(xiǎn)，確定系統(tǒng)的安全等級(jí)，并找出系統(tǒng)安全現(xiàn)狀與等級(jí)要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。 第二步：“體系建設(shè)，實(shí)現(xiàn)按需防御”。通過體系設(shè)計(jì)制定等級(jí)方案，進(jìn)行安全策略體系、安全組織體系、安全技術(shù)體系和安全運(yùn)維體系建設(shè)，滿足評(píng)估定級(jí)階段形成的安全需求，實(shí)現(xiàn)按需防御。 第三步：“安全運(yùn)維，確保持續(xù)安全”。通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等服務(wù)組件，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，

26、確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。醫(yī)療衛(wèi)生等保實(shí)施流程規(guī)劃 第一步：“評(píng)估定級(jí)，定義安全需求體系涵蓋內(nèi)容醫(yī)療衛(wèi)生行業(yè)等級(jí)保護(hù)體系方案詳細(xì)設(shè)計(jì)二級(jí)系統(tǒng)等級(jí)保護(hù)不同等級(jí)系統(tǒng)互聯(lián)互通三級(jí)系統(tǒng)等級(jí)保護(hù)體系涵蓋內(nèi)容二級(jí)系統(tǒng)等級(jí)保護(hù)不同等級(jí)系統(tǒng)互聯(lián)互通三級(jí)系統(tǒng)等醫(yī)療衛(wèi)生行業(yè)等級(jí)保護(hù)解決方案技術(shù)措施管理措施不同等級(jí)互聯(lián)二級(jí)(以醫(yī)院系統(tǒng)為例)技術(shù)措施管理措施不同等級(jí)互聯(lián)三級(jí)(以公衛(wèi)系統(tǒng)為例)醫(yī)療衛(wèi)生行業(yè)等級(jí)保護(hù)解決方案技術(shù)措施技術(shù)措施體系設(shè)計(jì)(二級(jí))結(jié)合安全方案詳細(xì)設(shè)計(jì)思路，在醫(yī)療衛(wèi)生行業(yè)，以醫(yī)療機(jī)構(gòu)信息系統(tǒng)為例，二級(jí)等級(jí)保護(hù)體系我們采用的模型如圖所示54體系設(shè)計(jì)(二級(jí))結(jié)合安全設(shè)計(jì)思路體系設(shè)

27、計(jì)(三級(jí))結(jié)合安全方案詳細(xì)設(shè)計(jì)思路，在醫(yī)療衛(wèi)生行業(yè)，以公共衛(wèi)生信息系統(tǒng)為例，三級(jí)等級(jí)保護(hù)體系我們采用的模型如圖所示（其中灰色北京的是三級(jí)比二級(jí)增加的項(xiàng)目）：55體系設(shè)計(jì)(三級(jí))結(jié)合安全方思路，在醫(yī)4321醫(yī)療衛(wèi)生行業(yè)等級(jí)保護(hù)實(shí)施落地實(shí)施規(guī)劃與設(shè)計(jì)技術(shù)設(shè)計(jì)管理設(shè)計(jì)實(shí)施與運(yùn)行技術(shù)措施實(shí)現(xiàn)管理措施實(shí)現(xiàn)安全運(yùn)行與維護(hù)持續(xù)改進(jìn)安全檢查二級(jí)檢查三級(jí)檢查持續(xù)改進(jìn)持續(xù)改進(jìn)4321醫(yī)療衛(wèi)生行業(yè)等級(jí)保護(hù)實(shí)施規(guī)劃與設(shè)計(jì)實(shí)施與運(yùn)行持4、等級(jí)保護(hù)持續(xù)改進(jìn)3、等保自查與測(cè)評(píng)1、實(shí)施指南建設(shè)思路2、等保二、三級(jí)系統(tǒng)建設(shè)4、等級(jí)保護(hù)持續(xù)改進(jìn)1、實(shí)施指南建設(shè)思路信息安全等級(jí)保護(hù)制度-十堰太和醫(yī)院課件信息安全等級(jí)保護(hù)制度-十堰太

28、和醫(yī)院課件信息安全等級(jí)保護(hù)制度-十堰太和醫(yī)院課件、，、，信息安全等級(jí)保護(hù)制度-十堰太和醫(yī)院課件信息安全等級(jí)保護(hù)制度-十堰太和醫(yī)院課件信息安全等級(jí)保護(hù)制度-十堰太和醫(yī)院課件信息安全等級(jí)保護(hù)制度-十堰太和醫(yī)院課件信息安全等級(jí)保護(hù)制度-十堰太和醫(yī)院課件信息安全等級(jí)保護(hù)制度-十堰太和醫(yī)院課件安全運(yùn)行與維護(hù)醫(yī)療衛(wèi)生行業(yè)提出的等級(jí)保護(hù)體系化建設(shè)流程中，在進(jìn)行安全保障體系設(shè)計(jì)以及安全建設(shè)之后將會(huì)按照PDCA模型進(jìn)入到周期性的安全運(yùn)維階段，來保證和鞏固等級(jí)保護(hù)建設(shè)的成果。根據(jù)建立的信息安全管理運(yùn)維體系對(duì)信息安全系統(tǒng)進(jìn)行實(shí)時(shí)的維護(hù)管理，針對(duì)醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)安全軟、硬件實(shí)施全面的安全運(yùn)維。具有條件的單位可以采

29、用自行運(yùn)維的方式，如在運(yùn)維階段面臨技術(shù)水平、人員規(guī)模、運(yùn)維經(jīng)驗(yàn)的限制，可以采用安全運(yùn)維服務(wù)外包的形式，針對(duì)于整個(gè)系統(tǒng)相關(guān)范圍的不同安全等級(jí)及實(shí)際應(yīng)用，所需要的安全運(yùn)維服務(wù)模塊如下：安全掃描 人工檢查安全加固 日志分析補(bǔ)丁管理 安全監(jiān)控安全動(dòng)態(tài) 應(yīng)急響應(yīng)安全運(yùn)行與維護(hù)醫(yī)療衛(wèi)生行業(yè)提出的等級(jí)保護(hù)體系化建設(shè)流程中4、等級(jí)保護(hù)持續(xù)改進(jìn)3、等保自查與測(cè)評(píng)1、實(shí)施指南建設(shè)思路2、等保二、三級(jí)系統(tǒng)建設(shè)4、等級(jí)保護(hù)持續(xù)改進(jìn)1、實(shí)施指南建設(shè)思路 等級(jí)保護(hù)測(cè)評(píng)檢查表 十堰衛(wèi)生行業(yè)信息安全檢查用表 等級(jí)保護(hù)測(cè)評(píng)檢查表 十堰衛(wèi)生行業(yè)信息安全檢查用表7171 等級(jí)保護(hù)測(cè)評(píng)檢查表 十堰市衛(wèi)生行業(yè)信息安全檢查用表 等級(jí)保護(hù)

30、測(cè)評(píng)檢查表 十堰市衛(wèi)生行業(yè)信息安全檢查用表1、訪問控制1.具有以下哪些控制人員進(jìn)出機(jī)房的措施：系統(tǒng)部署電子門禁機(jī)房 出入口專人職守、控制鑒別并記錄出入機(jī)房人員1.具有以下哪些控制外部人員訪問機(jī)房的措施：外 來人員訪問機(jī)房經(jīng)過申請(qǐng)和審批由內(nèi) 部人員監(jiān)控外來人員在機(jī)房?jī)?nèi)的活動(dòng)由內(nèi) 部人員限制外來人員在機(jī)房?jī)?nèi)的活動(dòng)范圍2、防盜和防破壞1.主要設(shè)備是否放置在機(jī)房 內(nèi)：是否設(shè)備或主要部件是否進(jìn)行了固定和標(biāo)記 ：是否1.機(jī)房是否安裝了防盜報(bào)警系統(tǒng)和監(jiān)控報(bào)警系統(tǒng)：是否否報(bào)警設(shè)備是否與視頻監(jiān)控系統(tǒng)及出入口控制設(shè)備聯(lián)動(dòng) ：是3、防火1.是否制定消防管理制 度：是否2.是否制定消防預(yù)案：是否3.是否對(duì)機(jī)房管理、維

31、護(hù)人員進(jìn)行消防專項(xiàng)培訓(xùn) ：是，培訓(xùn)機(jī)構(gòu)：_ 否4.機(jī)房是否部署火情自動(dòng)檢測(cè)、報(bào)警、滅火系統(tǒng)：是否具體設(shè)備：性惰氣體自動(dòng)滅火設(shè)備式便攜滅火設(shè)備其 他_檢查表物理安全1.具有以下哪些控制人員進(jìn)出機(jī)房的措施：系統(tǒng)部署電子門禁機(jī)1.機(jī)房是否有以下防水防潮措施：密窗戶封、屋頂墻壁防水涂層 檢測(cè)漏水 及報(bào)警系統(tǒng)，系統(tǒng)名稱：機(jī)房 專用空調(diào)，空調(diào)品牌及名稱：其 他：主機(jī)房除濕裝置，濕裝置名稱：機(jī)房 溫濕度控制系統(tǒng)，品牌及名稱：5、防靜電、防雷1.機(jī)房主要設(shè)備是否采用以下防靜電措施：地防靜電接防靜電地板 其 他1.機(jī)房是否有交流電源接地:否是， 接地方式：_6、電力供應(yīng)1.是否對(duì)計(jì)算機(jī)系統(tǒng)供電系統(tǒng)進(jìn)行定期檢查和

32、維護(hù)：是否檢查維護(hù)的設(shè)備是否涵蓋以下設(shè)備：穩(wěn)壓器 過電壓防護(hù)設(shè)備 短期 備用電源設(shè)備 力電電纜線路 備 用供電系統(tǒng) 其 他_1.短期備用電源設(shè)備最長(zhǎng)供電時(shí)間為：_備用供電系統(tǒng)（如備用發(fā)電機(jī)）是否能夠在規(guī)定時(shí)間內(nèi)正常啟動(dòng)和正常供電：是否規(guī)定時(shí)間為：4、防水和防潮1.機(jī)房是否有以下防水防潮措施：密窗戶封、屋頂墻壁防水涂層 一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全分析表1-1 拓?fù)淞私夥治?詢問其是否繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。 詢問其是否與互聯(lián)網(wǎng)聯(lián)通。 檢查其是否根據(jù)業(yè)務(wù)應(yīng)用合理設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)。表1-2 設(shè)備性能分析接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)設(shè)備性能及帶寬是否滿足業(yè)務(wù)需要；且是否有冗余設(shè)備。表1-3 網(wǎng)段劃分及安全

33、隔離各部門終端設(shè)備是否按照部門和業(yè)務(wù)重要性劃分網(wǎng)段并用Vlan隔離；重要服務(wù)器區(qū)域是否與接入?yún)^(qū)域采用可靠隔離表1-4 日志及審計(jì)是否定期對(duì)日志進(jìn)行統(tǒng)一審計(jì)分析，并對(duì)日志進(jìn)行適當(dāng)保護(hù)避免受到未預(yù)期的修改。檢查表網(wǎng)絡(luò)安全一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全分析 詢問其是否繪制與當(dāng)前運(yùn)行情況相符一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全分析表1-5 入侵防范 對(duì)重要核心服務(wù)器是否有入侵防范措施。 若部署入侵防范措施，問詢其部署位置、品牌型號(hào)、升級(jí)方式、事件定義及日志審計(jì)方式。 若沒有，是否對(duì)其進(jìn)行加固和定期打補(bǔ)??；是否有惡意代碼防范措施。表1-6 防病毒系統(tǒng) 系統(tǒng)內(nèi)部是否部署網(wǎng)絡(luò)版防病毒軟件，或者部署防毒墻。 若部署殺毒軟件，記錄其軟件

34、品牌，部署范圍，及升級(jí)方式。 詢問病毒庫是否及時(shí)升級(jí)。 檢查殺毒日志。表1-7 網(wǎng)站服務(wù)器系統(tǒng)內(nèi)是否部署Web服務(wù)器；若有，是否有動(dòng)態(tài)頁面；是否部署網(wǎng)頁防篡改系統(tǒng)；網(wǎng)站是否托管；一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全分析表1-5 入侵防范 對(duì)重要核心服務(wù) 路由器CDP服務(wù)關(guān)閉檢查禁止Finger服務(wù)明文密碼是否加密設(shè)置特權(quán)密碼路由協(xié)議采用加密認(rèn)證關(guān)閉代理ARP功能。（開啟容易造成泄密及網(wǎng)絡(luò)不穩(wěn)定）設(shè)置Vty超時(shí)參數(shù)（默認(rèn)10分鐘，應(yīng)小于5分鐘）關(guān)閉HTTP服務(wù)若多用戶應(yīng)采用分權(quán)管理表2-5 交換機(jī)安全配置 路由器CDP服務(wù)關(guān)閉檢查禁止Finger服務(wù) Router(config)# no service finger明文密碼是否加密設(shè)置特權(quán)密碼設(shè)置Vty超時(shí)參數(shù)（默認(rèn)10分鐘，應(yīng)小于5分鐘）關(guān)閉HTTP服務(wù) 若多用戶采用分權(quán)管理手動(dòng)關(guān)閉不使用的端口二、網(wǎng)絡(luò)設(shè)備配置信息查看表2-1 限制管理員登陸地址是否對(duì)管理員登陸地址進(jìn)行限制表2-2 口令策略設(shè)置口令是否有相應(yīng)制度約束，并定期更換。一般8位以上，包括數(shù)字、字符、大小寫字母等。表2-3 遠(yuǎn)程登錄管理內(nèi)網(wǎng)遠(yuǎn)程管理是否采用SSH或HTTPS。不使用Telnet、Http。表2-4路由器安全配置 路由器CDP服務(wù)關(guān)閉檢