醫(yī)療機構(gòu)信息系統(tǒng)安全等級保護基本要求

醫(yī)療機構(gòu)信息系統(tǒng)安全等級保護基本要求上海市衛(wèi)生局信息中心上海市信息安全測評認證中心二〇〇八年十月2目 錄1前言.........................................................................................................................................122范圍.........................................................................................................................................123一般模型.................................................................................................................................123.1技術(shù)模型.......................................................................................................................133.2管理模型.......................................................................................................................143.3應(yīng)用模型.......................................................................................................................164定級指導(dǎo).................................................................................................................................215威脅分析.................................................................................................................................226安全目標.................................................................................................................................266.1技術(shù)目標.......................................................................................................................276.2管理目標.......................................................................................................................327安全要求（要素表）.............................................................................................................358安全基本要求.........................................................................................................................448.1二級（一般）安全要求...............................................................................................448.1.1技術(shù)要求..........................................................................................................................448.1.1.1物理安全.........................................................................................................................448.1.1.1.1物理位置的選擇......................................................................................................448.1.1.1.2物理訪問控制..........................................................................................................448.1.1.1.3防盜竊和防破壞......................................................................................................448.1.1.1.4防雷擊......................................................................................................................458.1.1.1.5防火..........................................................................................................................4538.1.1.1.6 防水和防潮 458.1.1.1.7 防靜電 458.1.1.1.8 溫濕度控制 468.1.1.1.9 電力供應(yīng) 468.1.1.1.10 電磁防護 468.1.1.2 網(wǎng)絡(luò)安全 468.1.1.2.1 結(jié)構(gòu)安全 468.1.1.2.2 訪問控制 478.1.1.2.3 邊界完整性檢查 478.1.1.2.4 網(wǎng)絡(luò)設(shè)備防護 478.1.1.2.5 網(wǎng)絡(luò)可用性 478.1.1.3 主機系統(tǒng)安全 488.1.1.3.1 身份鑒別 488.1.1.3.2 訪問控制 488.1.1.3.3 安全審計 488.1.1.3.4 惡意代碼防范 498.1.1.3.5 資源控制 498.1.1.3.6 主機可用性 498.1.1.4 應(yīng)用安全 498.1.1.4.1 身份鑒別 498.1.1.4.2 訪問控制 498.1.1.4.3 安全審計 5048.1.1.4.4 通信完整性 508.1.1.4.5 通信保密性 508.1.1.4.6 軟件容錯 508.1.1.4.7 資源控制 518.1.1.5 數(shù)據(jù)安全 518.1.1.5.1 完整性 518.1.1.5.2 數(shù)據(jù)保密性 518.1.1.5.3 備份和恢復(fù) 518.1.2 管理要求 528.1.2.1 安全管理制度 528.1.2.1.1 管理制度 528.1.2.1.2 制定和發(fā)布 528.1.2.1.3 評審和修訂 528.1.2.2 安全管理機構(gòu) 528.1.2.2.1 崗位設(shè)置 528.1.2.2.2 人員配備 538.1.2.2.3 授權(quán)和審批 538.1.2.2.4 溝通和合作 538.1.2.2.5 審核和檢查 538.1.2.3 人員安全管理 538.1.2.3.1 人員錄用 538.1.2.3.2 人員離崗 5458.1.2.3.3 人員考核 548.1.2.3.4 安全意識教育和培訓(xùn) 548.1.2.3.5 外部人員訪問管理 548.1.2.4 系統(tǒng)建設(shè)管理 558.1.2.4.1 系統(tǒng)定級 558.1.2.4.2 安全方案設(shè)計 558.1.2.4.3 產(chǎn)品采購 558.1.2.4.4 自行軟件開發(fā) 558.1.2.4.5 外包軟件開發(fā) 568.1.2.4.6 工程實施 568.1.2.4.7 測試驗收 568.1.2.4.8 系統(tǒng)交付 568.1.2.4.9 安全服務(wù)商選擇 578.1.2.5 系統(tǒng)運維管理 578.1.2.5.1 環(huán)境管理 578.1.2.5.2 資產(chǎn)管理 578.1.2.5.3 介質(zhì)管理 578.1.2.5.4 設(shè)備管理 588.1.2.5.5 監(jiān)控管理 588.1.2.5.6 網(wǎng)絡(luò)安全管理 588.1.2.5.7 系統(tǒng)安全管理 598.1.2.5.8 惡意代碼防范管理 5968.1.2.5.9 密碼管理 598.1.2.5.10 變更管理 608.1.2.5.11 備份與恢復(fù)管理 608.1.2.5.12 安全事件處置 608.1.2.5.13 應(yīng)急預(yù)案管理 618.2 二級（增強）安全要求 618.2.1 技術(shù)要求 618.2.1.1 物理安全 618.2.1.1.1 物理位置的選擇 618.2.1.1.2 物理訪問控制 628.2.1.1.3 防盜竊和防破壞 628.2.1.1.4 防雷擊 628.2.1.1.5 防火 628.2.1.1.6 防水和防潮 638.2.1.1.7 防靜電 638.2.1.1.8 溫濕度控制 638.2.1.1.9 電力供應(yīng) 638.2.1.1.10 電磁防護 648.2.1.2 網(wǎng)絡(luò)安全 648.2.1.2.1 結(jié)構(gòu)安全 648.2.1.2.2 訪問控制 648.2.1.2.3 安全審計 6478.2.1.2.4 邊界完整性檢查 658.2.1.2.5 入侵防范 658.2.1.2.6 網(wǎng)絡(luò)設(shè)備防護 658.2.1.2.7 網(wǎng)絡(luò)可用性 658.2.1.3 主機系統(tǒng)安全 668.2.1.3.1 身份鑒別 668.2.1.3.2 訪問控制 668.2.1.3.3 安全審計 668.2.1.3.4 入侵防范 678.2.1.3.5 惡意代碼防范 678.2.1.3.6 資源控制 678.2.1.3.7 主機可用性 678.2.1.4 應(yīng)用安全 678.2.1.4.1 身份鑒別 678.2.1.4.2 訪問控制 688.2.1.4.3 安全審計 688.2.1.4.4 剩余信息保護 698.2.1.4.5 通信完整性 698.2.1.4.6 通信保密性 698.2.1.4.7 軟件容錯 698.2.1.4.8 資源控制 698.2.1.5 數(shù)據(jù)安全 7088.2.1.5.1 完整性 708.2.1.5.2 數(shù)據(jù)保密性 708.2.1.5.3 備份和恢復(fù) 708.2.2 管理要求 718.2.2.1 安全管理制度 718.2.2.1.1 管理制度 718.2.2.1.2 制定和發(fā)布 718.2.2.1.3 評審和修訂 718.2.2.2 安全管理機構(gòu) 718.2.2.2.1 崗位設(shè)置 718.2.2.2.2 人員配備 728.2.2.2.3 授權(quán)和審批 728.2.2.2.4 溝通和合作 728.2.2.2.5 審核和檢查 728.2.2.3 人員安全管理 728.2.2.3.1 人員錄用 728.2.2.3.2 人員離崗 738.2.2.3.3 人員考核 738.2.2.3.4 安全意識教育和培訓(xùn) 738.2.2.3.5 外部人員訪問管理 738.2.2.4 系統(tǒng)建設(shè)管理 748.2.2.4.1 系統(tǒng)定級 7498.2.2.4.2 安全方案設(shè)計 748.2.2.4.3 產(chǎn)品采購 748.2.2.4.4 自行軟件開發(fā) 748.2.2.4.5 外包軟件開發(fā) 758.2.2.4.6 工程實施 758.2.2.4.7 測試驗收 758.2.2.4.8 系統(tǒng)交付 758.2.2.4.9 安全服務(wù)商選擇 768.2.2.5 系統(tǒng)運維管理 768.2.2.5.1 環(huán)境管理 768.2.2.5.2 資產(chǎn)管理 768.2.2.5.3 介質(zhì)管理 768.2.2.5.4 設(shè)備管理 778.2.2.5.5 監(jiān)控管理 778.2.2.5.6 網(wǎng)絡(luò)安全管理 778.2.2.5.7 系統(tǒng)安全管理 788.2.2.5.8 惡意代碼防范管理 788.2.2.5.9 密碼管理 788.2.2.5.10 變更管理 798.2.2.5.11 備份與恢復(fù)管理 798.2.2.5.12 安全事件處置 798.2.2.5.13 應(yīng)急預(yù)案管理 8010附錄A基本要求的選擇和使用 811、判斷醫(yī)療機構(gòu)的信息系統(tǒng)是否具備定級的基本條件 812、根據(jù)醫(yī)療機構(gòu)的分級選擇不同級別的基本要求 823、部分區(qū)縣中心（含）以上醫(yī)療機構(gòu)可對二級（增強）要求進行選擇使用 82附錄B基本要求的應(yīng)用注釋 83B1. 物理環(huán)境的應(yīng)用注釋 83B2.網(wǎng)絡(luò)隔離的應(yīng)用注釋 83B3. 版本變更的應(yīng)用注釋 85B4. 數(shù)據(jù)加密的應(yīng)用說明 85B5. 其他 8511前言《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》 （中辦發(fā)[2003]27號，以下簡稱“27號文件”）明確要求我國信息安全保障工作實行等級保護制度， 提出“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南” 。2004年9月發(fā)布的《關(guān)于信息安全等級保護工作的實施意見》 （公通字[2004]66號，以下簡稱“66號文件”）進一步強調(diào)了開展信息安全等級保護工作的重要意義， 規(guī)定了實施信息安全等級保護制度的原則、 內(nèi)容、職責(zé)分工、基本要求和實施計劃，部署了實施信息安全等級保護工作的操作辦法。27號文件和 66號文件不但為各行業(yè)開展信息安全等級保護工作指明了方向， 同時也為各行業(yè)如何根據(jù)自身特點做好信息安全等級保護工作提出了更高的要求。 醫(yī)療機構(gòu)作為涉及國計民生的重要組成部分，其安全保障事關(guān)社會穩(wěn)定，必須按照 27號文件要求，全面實施信息安全等級保護。因此，組織編制《醫(yī)療機構(gòu)信息系統(tǒng)安全等級保護基本要求》 ，提出針對醫(yī)療機構(gòu)信息安全等級保護工作的基本思路和具體要求， 指導(dǎo)上海市醫(yī)療機構(gòu)的信息安全保障工作。范圍本標準規(guī)定了醫(yī)療機構(gòu)信息系統(tǒng)的基本保護要求， 包括基本技術(shù)要求和基本管理要求，適用于指導(dǎo)本市醫(yī)療機構(gòu)分等級的信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。一般模型醫(yī)療機構(gòu)信息系統(tǒng)（以下簡稱 HIS系統(tǒng)）模型的構(gòu)造是對 HIS系統(tǒng)進行威脅分析，從12而確定安全保障目標的基礎(chǔ)。 《HIS系統(tǒng)基本要求》將分別從 技術(shù)、管理和業(yè)務(wù)應(yīng)用三個層面提出各自的參考模型，具體如下。技術(shù)模型、管理模型和應(yīng)用模型既是三個相對獨立的體系，又是兩兩相互作用，存在密切關(guān)系的有機耦合體。 技術(shù)模型支持應(yīng)用模型的實現(xiàn)， 管理模型是技術(shù)模型正常工作的保障，應(yīng)用模型又是技術(shù)模型和管理模型支持和管理的核心。3.1技術(shù)模型參考國際標準化組織（ ISO）制定的開放系統(tǒng)互聯(lián)標準（ OSI）標準和TCP/IP標準對信息系統(tǒng)技術(shù)組成的構(gòu)造方法，結(jié)合 HIS系統(tǒng)業(yè)務(wù)應(yīng)用分類，給出 HIS系統(tǒng)的技術(shù)模型，如下圖所示。應(yīng)用系統(tǒng) 綜合業(yè)務(wù) 臨床業(yè)務(wù) 行政管理Web服務(wù) Mail服務(wù) 數(shù)據(jù)庫 多媒體平臺 中間件主機系統(tǒng)WindowsSolarisAIXHP-UXLinux網(wǎng)絡(luò)系統(tǒng)TCP/IPIPX/SPXSNMP物理環(huán)境場地機房網(wǎng)絡(luò)布線設(shè)備存儲設(shè)備HIS系統(tǒng)的技術(shù)參考模型描述主要從物理環(huán)境、網(wǎng)絡(luò)系統(tǒng)、主機系統(tǒng)、應(yīng)用系統(tǒng)4個層面進行描述。a.物理環(huán)境包括機房、場地、布線、設(shè)備、存儲媒體等內(nèi)容。13b.網(wǎng)絡(luò)系統(tǒng)指HIS系統(tǒng)所基于的網(wǎng)絡(luò)標準和網(wǎng)絡(luò)結(jié)構(gòu)；網(wǎng)絡(luò)標準主要基于 TCP/IP協(xié)議、IPX/SPX的網(wǎng)絡(luò)標準，網(wǎng)絡(luò)結(jié)構(gòu)主要采用 LAN、WAN的結(jié)構(gòu)。c.主機系統(tǒng)主機系統(tǒng)指服務(wù)器操作系統(tǒng)平臺及公共應(yīng)用平臺。服務(wù)器操作系統(tǒng)主要采用服務(wù)器版的操作系統(tǒng)，通常有 Windows、Unix 等類型；公共應(yīng)用平臺主要有數(shù)據(jù)庫平臺和 WEB、Mail、中間件等。數(shù)據(jù)庫平臺一般采用可提供多個事務(wù)共享數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)，常用的數(shù)據(jù)系統(tǒng) SQLSERVER,ORACLE,DB2,SYBASE 等，數(shù)據(jù)訪問通常采用兩層或三層中間件結(jié)構(gòu)。d.應(yīng)用系統(tǒng)醫(yī)院信息系統(tǒng)目前主要可分為綜合業(yè)務(wù)、臨床業(yè)務(wù)、行政管理三種類型。3.2管理模型參考國家標準 GB/T 19716《信息技術(shù) 信息安全管理實用規(guī)則》和 ISO/IEC 17799《Informationtechnology：CodeofpracticeforInformationSecurityManagement 》管理模型的構(gòu)造方式，結(jié)合 HIS系統(tǒng)業(yè)務(wù)管理特點，將管理模型分為信息安全管理基礎(chǔ)（管理機構(gòu)、管理制度、人員安全）和信息安全管理生命周期管理方法（建設(shè)管理、運維管理） ，具體如下圖所示。14信息安全管理生命周期建設(shè)管理 運維管理設(shè)介資環(huán)密備質(zhì)產(chǎn)境碼惡管管管管管備系統(tǒng)定級方案設(shè)計產(chǎn)品使用自行開發(fā)意理理理理理份代與碼應(yīng)安網(wǎng)系恢防急全絡(luò)統(tǒng)變復(fù)范預(yù)事安安更管系統(tǒng)交付測試驗收工程實施軟件外包管案件全全管理理管處管管理理置理理管理機構(gòu) 管理制度 人員安全信息安全管理基礎(chǔ)a.管理制度主要包括管理制度、制定和發(fā)布、評審和修訂 3個控制點。b.管理機構(gòu)主要包括崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查 5個控制點。c.人員安全主要包括人員錄用、人員離崗、人員考核、安全意識教育培訓(xùn)、外部人員訪問管理等 5個控制點。d.建設(shè)管理主要包括系統(tǒng)定級、方案設(shè)計、產(chǎn)品采購、自行開發(fā)、外包開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務(wù) 11個控制點。e.運維管理主要包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、安全中心、網(wǎng)絡(luò)安15全管理、惡意代碼防范管理、密碼管理、變更管理、備份恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理等 13個控制點。3.3應(yīng)用模型根據(jù)國家衛(wèi)生部發(fā)布的《醫(yī)院信息系統(tǒng)基本功能規(guī)范》和市衛(wèi)生局發(fā)布的《上海市醫(yī)院信息系統(tǒng)功能規(guī)范》 有關(guān)要求，結(jié)合上海市醫(yī)療機構(gòu)應(yīng)用業(yè)務(wù)系統(tǒng)建設(shè)實際， 按如下框架構(gòu)建應(yīng)用模型：16管理 臨床HMIS CIS綜合查詢與決策分析 知識庫管理及輔助診療行政管理部分 臨床業(yè)務(wù)部分綜合業(yè)務(wù)部分系統(tǒng) 網(wǎng)站 系統(tǒng)操作 建設(shè) 管理平臺 規(guī)范基礎(chǔ) 政務(wù) 安全 外部網(wǎng)絡(luò) 外網(wǎng) 解決 接口建設(shè) 接入 方案

決策支持業(yè)務(wù)應(yīng)用基礎(chǔ)建設(shè)其中綜合業(yè)務(wù)部分分為：17綜合業(yè)務(wù)部分門門住住物設(shè)其急急院院資備它診診病收管管分掛劃人費理理系號價入分分分統(tǒng)分收出系系系系費轉(zhuǎn)統(tǒng)統(tǒng)統(tǒng)統(tǒng)分管系理統(tǒng)分系統(tǒng)臨床業(yè)務(wù)部分分為：臨床業(yè)務(wù)部分門住護臨醫(yī)輸手藥其診院士床學(xué)血術(shù)品它醫(yī)醫(yī)工檢影管、管分生生作驗像理麻理系工工站分分分醉分統(tǒng)作作分系系系管系站站系統(tǒng)統(tǒng)統(tǒng)理統(tǒng)分分統(tǒng)系系系統(tǒng)統(tǒng)統(tǒng)18行政管理部分分為：行政管理部分財人科教O其務(wù)事研育A它管管管管分分理理理理系系分分分分統(tǒng)統(tǒng)系系系系統(tǒng)統(tǒng)統(tǒng)統(tǒng)綜合查詢與決策分析部分分為：19綜合查詢與決策分析部分院經(jīng)醫(yī)病其長濟療人它綜核統(tǒng)咨分合算計詢系查管分服統(tǒng)詢理系務(wù)與分統(tǒng)分分系系析統(tǒng)統(tǒng)分系統(tǒng)知識庫管理及輔助診療部分分為：知識庫管理及輔助診療部分合病循臨數(shù)其理案證床字它用管臨輔醫(yī)分藥理床助學(xué)系咨分路診圖統(tǒng)詢系徑療書及統(tǒng)指分館審引系分核分統(tǒng)系分系統(tǒng)系統(tǒng)統(tǒng)20另外，外部接口部分包括：外部接口部分醫(yī)社公遠電其療區(qū)共程子它保衛(wèi)衛(wèi)醫(yī)病接險生生療歷口接服信咨共口務(wù)息詢享接交系交口換統(tǒng)換接接接口口口（以上粗體標注的為衛(wèi)生部《醫(yī)院信息系統(tǒng)基本功能規(guī)范》明確的子系統(tǒng)）相應(yīng)的數(shù)據(jù)類型大體可分為四類：患者基本信息：患者姓名、住址、聯(lián)系方式等。診療相關(guān)的信息：包括電子病歷、醫(yī)囑、檢驗結(jié)果等。這類數(shù)據(jù)不僅要保證完整性，還要防篡改，修改后必須留有痕跡，而且還應(yīng)做到隱私性保護。經(jīng)濟相關(guān)的費用信息：包括藥品材料管理、檢驗價目等，要求受限訪問，設(shè)限修改。管理相關(guān)的業(yè)務(wù)信息：包括人事數(shù)據(jù)、資產(chǎn)管理等。定級指導(dǎo)作為定級對象，《信息系統(tǒng)安全等級保護管理辦法》中將信息系統(tǒng)劃分為五級，前 3級21分別為：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。從本市醫(yī)療機構(gòu)信息系統(tǒng)遭到破壞后的影響程度來看，基本只損害到本市部分公民的就醫(yī)權(quán)利，造成對社會秩序和公共利益的損害不至 “嚴重程度”，屬于“第二級”范疇，且HIS系統(tǒng)對信息安全防護和服務(wù)能力保護的要求均較高，因此基本定位在 LSA(2，2，2)。但從醫(yī)療機構(gòu)服務(wù)受眾的多少（門診量） ，HIS系統(tǒng)應(yīng)用依賴的大?。ㄈ畔⒒?、部分信息化、單機版）的不同，建議將第二級細分為：二級（一般）和二級（增強） ，具體如下：區(qū)縣中心以下醫(yī)療信息系統(tǒng)定為：二級（一般）區(qū)縣中心（含）以上醫(yī)療信息系統(tǒng)定為：二級（增強）威脅分析不同等級系統(tǒng)所應(yīng)對抗的威脅主要從 威脅源（自然、環(huán)境、系統(tǒng)、人為） 動機（不可抗外力、無意、有意） 范圍（局部、全局） 能力（工具、技術(shù)、資源等）四個要素來考慮。威脅源——是指任何能夠?qū)е路穷A(yù)期的不利事件發(fā)生的因素，通常分為自然（如自然災(zāi)害）環(huán)境（如電力故障） IT系統(tǒng)（如系統(tǒng)故障）和人員（如心懷不滿的員工）四類。動機——與威脅源和目標有著密切的聯(lián)系，不同的威脅源對應(yīng)不同的目標有著不同的動機，通?？煞譃椴豢煽雇饬Γㄈ缱匀粸?zāi)害）無意的（如員工的疏忽大意）和故意的（如情22報機構(gòu)的信息收集活動） 。范圍——是指威脅潛在的危害范疇，分為局部和整體兩種情況；如病毒威脅，有些計算機病毒的傳染性較弱， 危害范圍是有限的； 但是蠕蟲類病毒則相反， 它們可以在網(wǎng)絡(luò)中以驚人的速度迅速擴散并導(dǎo)致整個網(wǎng)絡(luò)癱瘓。能力——主要是針對威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。能力主要體現(xiàn)在威脅源占有的計算資源的多少、 工具的先進程度、 人力資源（包括經(jīng)驗）等方面。通過對威脅主要因素的分析，我們組合以上因素得到第二級的威脅：1）危害范圍為局部的環(huán)境或者設(shè)備故障；2）無意的員工失誤；3）危害局部的較嚴重的自然事件；4）具備中等能力、有預(yù)設(shè)目標的威脅情景。在分析一般二級系統(tǒng)面臨威脅的基礎(chǔ)上， 結(jié)合本市醫(yī)療機構(gòu)信息系統(tǒng)行業(yè)應(yīng)用的特點，給出HIS系統(tǒng)具體威脅分析的描述如下：標號 威脅描述 備注T2-1. 雷擊、地震和臺風(fēng)等自然災(zāi)難T2-2. 水患和火災(zāi)等災(zāi)害T2-3. 高溫、低溫、多雨等原因?qū)е聹囟?、濕度異常T2-4. 電壓波動T2-5. 供電系統(tǒng)故障T2-6. 靜電和外界電磁干擾T2-7. 通信線路因線纜老化等原因?qū)е聯(lián)p壞或傳輸質(zhì)量下23降T2-8.存儲綜合業(yè)務(wù)、臨床業(yè)務(wù)等重要業(yè)務(wù)信息的介質(zhì)老化行業(yè)或質(zhì)量問題等導(dǎo)致不可用特點T2-9.網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時間過長或質(zhì)量問題等導(dǎo)致硬件故障T2-10.系統(tǒng)軟件、應(yīng)用軟件運行故障T2-11.系統(tǒng)軟件、應(yīng)用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源T2-12. 應(yīng)用軟件、系統(tǒng)軟件缺陷導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)運行中斷T2-13. 設(shè)施、通信線路、設(shè)備或存儲介質(zhì)因使用、維護或保養(yǎng)不當?shù)仍驅(qū)е鹿收蟃2-14. 授權(quán)用戶操作失誤導(dǎo)致系統(tǒng)文件被覆蓋、數(shù)據(jù)丟失或不能使用T2-15. 授權(quán)用戶對系統(tǒng)錯誤配置或更改T2-16. 攻擊者利用非法手段進入機房內(nèi)部盜竊、破壞等T2-17. 攻擊者非法物理訪問系統(tǒng)設(shè)備、網(wǎng)絡(luò)設(shè)備或存儲介質(zhì)等T2-18. 攻擊者采用在通信線纜上搭接或切斷等導(dǎo)致線路不可用T2-19. 攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)24T2-20.攻擊者利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、應(yīng)用系統(tǒng)漏洞，越權(quán)訪問文件、數(shù)據(jù)或其他資源T2-21.攻擊者利用通過惡意代碼或木馬程序，對網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)進行攻擊T2-22.攻擊者利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計缺陷旁路安全策略，未授權(quán)訪問網(wǎng)絡(luò)T2-23.攻擊者利用非法手段獲得授權(quán)用戶的鑒別信息或密碼介質(zhì)，訪問網(wǎng)絡(luò)、系統(tǒng)T2-24.攻擊者利用偽造客戶端進入綜合業(yè)務(wù)、臨床業(yè)務(wù)等系行業(yè)統(tǒng)，進行非法訪問特點T2-25.攻擊者截獲、讀取、破解介質(zhì)的信息或剩余信息，進行業(yè)行電子病歷、藥劑藥品用量等敏感信息的竊取特點T2-26.攻擊者截獲、讀取、破解通信線路中的信息T2-27.由于網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)和應(yīng)用軟件的故障或雙機熱行業(yè)備失效，造成綜合業(yè)務(wù)、臨床業(yè)務(wù)等業(yè)務(wù)應(yīng)用的中斷特點T2-28.PACS中dicom數(shù)據(jù)在傳輸和存儲過程中被錯誤修改行業(yè)或丟失特點T2-29.攻擊者利用通用安全協(xié)議/算法/軟件等缺陷，獲取信息、解密密鑰或破壞通信完整性T2-30. 攻擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)、運輸?shù)龋┲袗阂飧能浻布2-31. 攻擊者和內(nèi)部人員否認自己的操作行為25T2-32. 攻擊者和內(nèi)部人員利用網(wǎng)絡(luò)擴散病毒T2-33. 內(nèi)部人員下載、拷貝軟件或文件，打開可疑郵件時引入病毒T2-34.內(nèi)部人員未授權(quán)接入外部網(wǎng)絡(luò)（如Internet）T2-35.內(nèi)部人員利用技術(shù)或管理漏洞，未授權(quán)修改綜合業(yè)行業(yè)務(wù)、臨床業(yè)務(wù)系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序特點T2-36.內(nèi)部人員未授權(quán)訪問電子病歷、藥材用量等敏感信行業(yè)息，將信息帶出或通過網(wǎng)絡(luò)傳出，導(dǎo)致信息泄露 特點安全目標信息系統(tǒng)的安全保護能力包括對抗能力和恢復(fù)能力。不同級別的信息系統(tǒng)應(yīng)具備相應(yīng)等級的安全保護能力，即應(yīng)該具備不同的對抗能力和恢復(fù)能力。將 “能力”分級，是基于系統(tǒng)的保護對象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。一般來說，信息系統(tǒng)越重要，應(yīng)具有的保護能力就越高。因為系統(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴重，因此需要提高相應(yīng)的安全保護能力。HIS系統(tǒng)（二級）的安全保護能力主要體現(xiàn)為：應(yīng)能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、 一般的自然災(zāi)難、 以及其他相當危害程度的威脅所造成的重要資源損害， 能夠發(fā)現(xiàn)重要的安全漏洞和安全事件， 在系統(tǒng)遭到損害后， 能夠在一段時間內(nèi)恢復(fù)部分功能（例如： 15分鐘內(nèi)故障無法排除應(yīng)啟動應(yīng)急預(yù)案，及時恢復(fù)對外服務(wù)，如門急診掛號收費服務(wù)） 。266.1 技術(shù)目標標號二級（一般）二級（增強）O2-1.應(yīng)具有抵抗一般強度地震、臺風(fēng)應(yīng)具有抵抗較強強度地震、臺風(fēng)等自然災(zāi)難造成破壞的能力等自然災(zāi)難造成破壞的能力O2-2.應(yīng)具有防止雷擊事件導(dǎo)致重要設(shè)應(yīng)具有防止雷擊事件導(dǎo)致大面積備被破壞的能力設(shè)備被破壞的能力O2-3.應(yīng)具有防水和防潮的能力除二級（一般）要求外，還應(yīng)具有對水患檢測和報警的能力O2-4.應(yīng)具有滅火的能力應(yīng)具有專用自動滅火的能力O2-5.應(yīng)具有檢測火災(zāi)和報警的能力除二級（一般）要求外，還應(yīng)具有防止火災(zāi)蔓延的能力O2-6.應(yīng)具有溫濕度自動檢測和控制的同二級（一般）要求能力O2-7.應(yīng)具有防止電壓波動的能力同二級（一般）要求O2-8.應(yīng)具有對抗短時間斷電的能力應(yīng)具有對抗較長時間斷電的能力O2-9.應(yīng)具有防止靜電導(dǎo)致重要設(shè)備被應(yīng)具有防止靜電導(dǎo)致大面積設(shè)備破壞的能力被破壞的能力O2-10.具有基本的抗電磁干擾能力除二級（一般）要求外，還應(yīng)具有對重要設(shè)備和介質(zhì)進行電磁屏蔽的能力O2-11.無應(yīng)具有防止強電磁場、強震動源27和強噪聲源等污染影響系統(tǒng)正常運行的能力O2-12.應(yīng)具有監(jiān)測通信線路傳輸狀況的無能力O2-13.應(yīng)具有及時恢復(fù)正常通信的能力無O2-14.除二級（一般）要求外，還應(yīng)實應(yīng)具有對傳輸和存儲數(shù)據(jù)進行完整性檢測的能力現(xiàn)糾錯能力O2-15.同二級（一般）要求應(yīng)具有對硬件故障產(chǎn)品進行替換的能力O2-16.同二級（一般）要求應(yīng)具有系統(tǒng)軟件、應(yīng)用軟件容錯的能力O2-17.除二級（一般）要求外，還應(yīng)具應(yīng)具有軟件故障分析的能力有軟件狀態(tài)監(jiān)測和報警的能力O2-18.應(yīng)具有合理使用和控制系統(tǒng)資源無的能力O2-19.除二級（一般）要求外，還應(yīng)具應(yīng)具有記錄用戶操作行為的能力有分析記錄結(jié)果的能力O2-20.除二級（一般）要求外，還應(yīng)具應(yīng)具有對用戶的誤操作行為進行檢測和報警的能力有恢復(fù)能力O2-21.應(yīng)具有嚴格控制機房進出的能力應(yīng)具有控制機房進出的能力O2-22.同二級（一般）要求應(yīng)具有防止設(shè)備、介質(zhì)等丟失的能力28O2-23.應(yīng)具有嚴格控制機房內(nèi)人員活動應(yīng)具有控制機房內(nèi)人員活動的能力的能力O2-24.應(yīng)具有實時監(jiān)控機房內(nèi)部活動的無能力O2-25.應(yīng)具有對物理入侵事件進行報警無的能力O2-26.同二級（一般）要求應(yīng)具有控制接觸重要設(shè)備、介質(zhì)的能力O2-27.應(yīng)具有對傳輸和存儲中的信息進無行保密性保護的能力O2-28.除二級（一般）要求外，還應(yīng)具應(yīng)具有對通信線路進行物理保護的能力有使重要通信線路及時恢復(fù)的能力O2-29.應(yīng)具有合理分配、控制網(wǎng)絡(luò)、操無作系統(tǒng)和應(yīng)用系統(tǒng)資源的能力O2-30.應(yīng)具有能夠檢測、分析、響應(yīng)對無網(wǎng)絡(luò)和重要主機的各種攻擊的能力O2-31.同二級（一般）要求應(yīng)具有發(fā)現(xiàn)所有已知漏洞并及時修補的能力O2-32.應(yīng)具有對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪應(yīng)具有對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進行控制的能力問進行嚴格控制的能力29O2-33.應(yīng)具有對數(shù)據(jù)、文件或其他資源應(yīng)具有對數(shù)據(jù)、文件或其他資源的訪問進行控制的能力的訪問進行嚴格控制的能力O2-34.除二級（一般）要求外，還應(yīng)具應(yīng)具有對資源訪問的行為進行記錄的能力有分析響應(yīng)能力O2-35.同二級（一般）要求應(yīng)具有對惡意代碼的檢測、阻止和清除能力O2-36.同二級（一般）要求應(yīng)具有防止惡意代碼等在網(wǎng)絡(luò)中擴散的能力O2-37.同二級（一般）要求應(yīng)具有對惡意代碼庫和搜索引擎及時更新的能力O2-38.同二級（一般）要求應(yīng)具有保證鑒別數(shù)據(jù)傳輸和存儲保密性的能力O2-39.同二級（一般）要求應(yīng)具有對用戶進行唯一標識的能力O2-40.除二級（一般）要求外，還應(yīng)具應(yīng)具有對用戶產(chǎn)生復(fù)雜鑒別信息并進行鑒別的能力有對同一個用戶產(chǎn)生多重鑒別信息并進行多重鑒別的能力O2-41.應(yīng)具有檢測非法接入設(shè)備的能力無O2-42.同二級（一般）要求應(yīng)具有對存儲介質(zhì)中的殘余信息進行刪除的能力O2-43.應(yīng)具有對傳輸和存儲中的信息進無行保密性保護的能力30O2-44.應(yīng)具有防止加密數(shù)據(jù)被破解的能無力O2-45.應(yīng)具有路由選擇和控制的能力無O2-46.應(yīng)具有信息源發(fā)的鑒別能力無O2-47.應(yīng)具有通信數(shù)據(jù)完整性檢測和糾無錯能力O2-48.應(yīng)具有對關(guān)鍵區(qū)域進行電磁屏蔽無的能力O2-49.同二級（一般）要求應(yīng)具有非活動狀態(tài)一段時間后自動切斷連接的能力O2-50.應(yīng)具有基于密碼技術(shù)的抗抵賴能無力O2-51.同二級（一般）要求應(yīng)具有防止未授權(quán)下載、拷貝軟件或者文件的能力O2-52.除二級（一般）要求外，還應(yīng)具應(yīng)具有網(wǎng)絡(luò)邊界完整性檢測能力有切斷非法連接的能力O2-53.同二級（一般）要求應(yīng)具有重要數(shù)據(jù)和程序進行完整性檢測和糾錯能力O2-54.應(yīng)具有對敏感信息的流向進行控?zé)o制的能力O2-55.應(yīng)具有及時恢復(fù)重要數(shù)據(jù)的能力應(yīng)具有重要數(shù)據(jù)恢復(fù)的能力O2-56.應(yīng)具有保證重要業(yè)務(wù)系統(tǒng)及時恢應(yīng)具有保證重要業(yè)務(wù)系統(tǒng)恢復(fù)運31行的能力復(fù)運行的能力6.2管理目標標號二級（一般）二級（增強）O2-57.應(yīng)確保建立了安全職能部門，配同二級（一般）要求備了安全管理人員，支持信息安全管理工作O2-58.應(yīng)確保配備了足夠數(shù)量的管理人同二級（一般）要求員，對系統(tǒng)進行運行維護O2-59.應(yīng)確保對主要的管理活動進行了同二級（一般）要求制度化管理O2-60.應(yīng)確保建立并不斷完善、健全安同二級（一般）要求全管理制度O2-61.應(yīng)確保能協(xié)調(diào)信息安全工作在各同二級（一般）要求功能部門的實施O2-62.應(yīng)確保能控制信息安全相關(guān)事件同二級（一般）要求的授權(quán)與審批O2-63.應(yīng)確保建立恰當可靠的聯(lián)絡(luò)渠同二級（一般）要求道，以便安全事件發(fā)生時能得到支持O2-64.應(yīng)確保對人員的行為進行控制同二級（一般）要求32O2-65.同二級（一般）要求應(yīng)確保對人員的管理活動進行了指導(dǎo)O2-66.同二級（一般）要求應(yīng)確保安全策略的正確性和安全措施的合理性O(shè)2-67.除二級（一般）要求外，還應(yīng)進應(yīng)確保對信息系統(tǒng)進行合理定級行備案管理O2-68.同二級（一般）要求應(yīng)確保安全產(chǎn)品的可信度和產(chǎn)品質(zhì)量O2-69.同二級（一般）要求應(yīng)確保自行開發(fā)過程和工程實施過程中的安全O2-70.同二級（一般）要求應(yīng)確保能順利地接管和維護信息系統(tǒng)O2-71.同二級（一般）要求應(yīng)確保安全工程的實施質(zhì)量和安全功能的準確實現(xiàn)O2-72.同二級（一般）要求應(yīng)確保機房具有良好的運行環(huán)境O2-73.同二級（一般）要求應(yīng)確保對信息資產(chǎn)進行標識管理O2-74.同二級（一般）要求應(yīng)確保對各種軟硬件設(shè)備的選型、采購、發(fā)放、使用和保管等過程進行控制O2-75.同二級（一般）要求應(yīng)確保各種網(wǎng)絡(luò)設(shè)備、服務(wù)器正確使用和維護O2-76.同二級（一般）要求應(yīng)確保對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)33庫管理系統(tǒng)和應(yīng)用系統(tǒng)進行安全管理O2-77.同二級（一般）要求應(yīng)確保用戶具有鑒別信息使用的安全意識O2-78.同二級（一般）要求應(yīng)確保定期地對通信線路進行檢查和維護O2-79.同二級（一般）要求應(yīng)確保硬件設(shè)備、存儲介質(zhì)存放環(huán)境安全，并對其的使用進行控制和保護O2-80.同二級（一般）要求應(yīng)確保對支撐設(shè)施、硬件設(shè)備、存儲介質(zhì)進行日常維護和管理O2-81.同二級（一般）要求應(yīng)確保系統(tǒng)中使用的硬件、軟件產(chǎn)品的質(zhì)量O2-82.同二級（一般）要求應(yīng)確保各類人員具有與其崗位相適應(yīng)的技術(shù)能力O2-83.同二級（一般）要求應(yīng)確保對各類人員進行相關(guān)的技術(shù)培訓(xùn)O2-84.同二級（一般）要求應(yīng)確保提供的足夠的使用手冊、維護指南等資料O2-85.同二級（一般）要求應(yīng)確保內(nèi)部人員具有安全方面的常識和意識O2-86.同二級（一般）要求應(yīng)確保具有設(shè)計合理、安全網(wǎng)絡(luò)34結(jié)構(gòu)的能力O2-87.應(yīng)確保對軟硬件的分發(fā)過程進行無控制O2-88.應(yīng)確保軟硬件中沒有后門程序無O2-89.同二級（一般）要求應(yīng)確保密碼算法和密鑰的使用符合國家有關(guān)法律、法規(guī)的規(guī)定O2-90.同二級（一般）要求應(yīng)確保任何變更控制和設(shè)備重用要申報和審批，并對其實行制度化的管理O2-91.同二級（一般）要求應(yīng)確保在事件發(fā)生后能采取積極、有效的應(yīng)急策略和措施O2-92.同二級（一般）要求應(yīng)確保信息安全事件實行分等級響應(yīng)、處置安全要求（要素表）HIS基本要求》的安全要求在整體框架結(jié)構(gòu)上以三種分類為支撐點，自上而下分別為：類、控制點和項。其中，類表示《HIS基本要求》在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等 5大類，管理部分分為：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等 5大類，一共分為10大類?？刂泣c表示每個大類下的關(guān)鍵控制點， 如物理安全大類中的 “物理訪問控制”作為一個控制點。而項則是控制點下的具體要求項， 如“機房出入應(yīng)安排專人負責(zé)，35控制、鑒別和記錄進入的人員。 ”具體框架結(jié)構(gòu)如圖所示：HIS安全要求技術(shù)要求 管理要求物網(wǎng)主應(yīng)數(shù)據(jù)安安人系系理絡(luò)機用安全全全員統(tǒng)統(tǒng)安安安安及管管安建運全全全全備份理理全設(shè)維恢復(fù)制機管管管度構(gòu)理理理根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來看，信息系統(tǒng)安全可從五個層面：物理、網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進行保護， 因此，技術(shù)類安全要求也相應(yīng)的分為五個層面上的安全要求：——物理層面安全要求：主要是從外界環(huán)境、基礎(chǔ)設(shè)施、運行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運行提供基本的后臺支持和保證；——網(wǎng)絡(luò)層面安全要求：為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運行提供支持，確保網(wǎng)絡(luò)系統(tǒng)安全運行，提供有效的網(wǎng)絡(luò)服務(wù)；——主機層面安全要求：在物理、網(wǎng)絡(luò)層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行；——應(yīng)用層面安全要求：在物理、網(wǎng)絡(luò)、系統(tǒng)等層面安全的支持下，實現(xiàn)用戶安全需36求所確定的安全目標；——數(shù)據(jù)及備份恢復(fù)層面安全要求：全面關(guān)注信息系統(tǒng)中存儲、傳輸、處理等過程的數(shù)據(jù)的安全性。信息系統(tǒng)的生命周期主要分為五個階段：初始階段、采購 /開發(fā)階段、實施階段、運行維護階段和廢棄階段。 管理類安全要求正是針對這五個階段中的不同安全活動提出的， 分為：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五個方面。一、技術(shù)類安全要求（1）物理安全二級（一般） 二級（增強）序號 安全要求對象 對象 程度（*）1 物理位置的選擇 主機房 主機房主機房 主機房、信息管理部門2 物理訪問控制 *辦公室、弱電間主機房 主機房、信息管理部門3 防盜竊和防破壞 *辦公室、弱電間主機房 主機房、樓4 防雷擊層弱電間5 防火 主機房 主機房 *37主機房主機房、樓6防水和防潮*層弱電間7防靜電主機房主機房8溫濕度控制主機房主機房主機房、掛號主機房、樓收費終端層弱電間、9電力供應(yīng)*掛號收費終端不適用不適用醫(yī)院選址10電磁防護時已考慮（2）網(wǎng)絡(luò)安全二級（一般）二級（增強）序號安全要求對象對象程度（*）內(nèi)網(wǎng)網(wǎng)絡(luò)全網(wǎng)絡(luò)，重1結(jié)構(gòu)安全點要求內(nèi)外網(wǎng)隔離2訪問控制內(nèi)網(wǎng)網(wǎng)絡(luò)全網(wǎng)絡(luò)*核心網(wǎng)絡(luò)設(shè)核心網(wǎng)絡(luò)設(shè)3安全審計*備備內(nèi)網(wǎng)網(wǎng)絡(luò)內(nèi)網(wǎng)網(wǎng)絡(luò)、4邊界完整性檢查*內(nèi)網(wǎng)與外網(wǎng)385 入侵防范6 網(wǎng)絡(luò)設(shè)備防護7 網(wǎng)絡(luò)可用性（3）主機安全序號 安全要求1 身份鑒別2 訪問控制3 安全審計

接口不適用 內(nèi)網(wǎng)網(wǎng)絡(luò)以及與外網(wǎng)網(wǎng)絡(luò)接口核心網(wǎng)絡(luò)設(shè) 核心網(wǎng)絡(luò)設(shè)備 備、樓層接 *入網(wǎng)絡(luò)設(shè)備冷備 雙機熱備（重要服務(wù)器）二級（一般）二級（增強）對象對象程度（*）所有服務(wù)器、所有服務(wù)各類工作站器、各類工*作站所有服務(wù)器、所有服務(wù)各類工作站器、各類工*作站所有服務(wù)器所有服務(wù)器、各類工*作站394 入侵防范 不適用 所有服務(wù)器所有服務(wù)器、 所 有 服 務(wù)5 惡意代碼防范 各類工作站 器、各類工作站6 資源控制 不適用 核心服務(wù)器7 主機可用性 冷備 雙機熱備4）應(yīng)用安全目前，安全要求的應(yīng)用安全部分主要針對實現(xiàn)綜合業(yè)務(wù)和臨床業(yè)務(wù)功能的應(yīng)用系統(tǒng)提出相應(yīng)的技術(shù)安全要求。 其他行政管理類應(yīng)用系統(tǒng)從系統(tǒng)遭到破壞后的影響程度來看， 基本定位于第一級。因此建議采用第一級的有關(guān)要求，提出較通用的應(yīng)用安全要求， 《HIS系統(tǒng)基本要求》中的威脅分析、安全目標等環(huán)節(jié)不再進行詳細分析描述。a.綜合業(yè)務(wù)、臨床業(yè)務(wù)二級（一般） 二級（增強）序號 安全要求對象 對象 程度（*）門急診、掛號 綜合業(yè)務(wù)、臨1 身份鑒別 收費應(yīng)用 床業(yè)務(wù)等關(guān) *鍵業(yè)務(wù)應(yīng)用門急診、掛號 綜合業(yè)務(wù)、臨2 訪問控制 收費應(yīng)用 床業(yè)務(wù)等關(guān) *鍵業(yè)務(wù)應(yīng)用門急診、掛號 綜合業(yè)務(wù)、臨3 安全審計 *收費應(yīng)用 床業(yè)務(wù)等關(guān)404 通信完整性5 通信保密性6 軟件容錯7 資源控制行政管理系統(tǒng)

鍵業(yè)務(wù)應(yīng)用不適用 PACS關(guān)鍵業(yè)務(wù)應(yīng)用數(shù)據(jù)身份鑒別信 身份鑒別信息 息、電子病歷應(yīng)用數(shù)據(jù)門急診、掛號 綜合業(yè)務(wù)、臨收費應(yīng)用 床業(yè)務(wù)等關(guān)鍵業(yè)務(wù)應(yīng)用不適用 綜合業(yè)務(wù)、臨床業(yè)務(wù)等關(guān)鍵業(yè)務(wù)應(yīng)用序號安全要求一般增強1身份鑒別教育系統(tǒng)、科人事系統(tǒng)、2訪問控制研系統(tǒng)、OA財務(wù)系統(tǒng)3安全審計系統(tǒng)（5）數(shù)據(jù)安全（需根據(jù)業(yè)務(wù)數(shù)據(jù)的重新分類確定）二級（一般） 二級（增強）序號 安全要求對象 對象 程度（*）411數(shù)據(jù)完整性不適用Dicom數(shù)據(jù)身份鑒別信身份鑒別信息息、患者信息（包括電子病歷、醫(yī)囑、2 數(shù)據(jù)保密性3 備份和恢復(fù)

檢驗結(jié)果等）、藥品信息（包括藥劑材料用量等）門急診、掛號 綜合業(yè)務(wù)、臨收費數(shù)據(jù) 床業(yè)務(wù)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)二、管理類安全要求序號安全管理要求備注1.管理制度1、管理類安全要求是一2.制定和發(fā)布個整體實施管理的過程，安全管理制度3.評審和修訂不再區(qū)分二級（一般）和4.崗位設(shè)置二級（增強），標準編寫5.人員配備時將結(jié)合HIS系統(tǒng)的應(yīng)用6.授權(quán)和審批特點，重點參考借鑒《HIS安全管理機構(gòu)7.溝通和合作安全策略》中的有關(guān)要8.審核和檢查求。429.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.

人員錄用人員離崗人員安全管理 人員考核安全意識教育和培訓(xùn)外部人員訪問管理系統(tǒng)定級安全方案設(shè)計產(chǎn)品采購和使用自行軟件開發(fā)系統(tǒng)建設(shè)管理 外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付安全服務(wù)商選擇環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理系統(tǒng)運維管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理密碼管理

2、已建HIS系統(tǒng)將主要涉及管理制度、管理機構(gòu)、人員安全、系統(tǒng)運維管理的有關(guān)管理要求，在新建系統(tǒng)或系統(tǒng)改擴建時需按照系統(tǒng)建設(shè)管理要求建設(shè)實施。3、應(yīng)急響應(yīng)中重點突出對外服務(wù)（如門急診掛號配藥等）涉及設(shè)備的備份措施，雙機熱備的切換演練等。4331.32.33.34.

變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理安全基本要求8.1 二級（一般）安全要求8.1.1技術(shù)要求8.1.1.1物理安全8.1.1.1.1物理位置的選擇機房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。8.1.1.1.2物理訪問控制機房出入口應(yīng)有身份鑒別機制（人工或電子方式），鑒別進入的人員身份并登記在案；進入機房的來訪人員應(yīng)有醫(yī)院方面的授權(quán)并由醫(yī)院專人陪同，限制和監(jiān)控其活動范圍。8.1.1.1.3防盜竊和防破壞應(yīng)將主要設(shè)備放置在機房等物理受限的范圍內(nèi)；應(yīng)注意對機房、線纜等重要區(qū)域做防鼠措施；應(yīng)對服務(wù)器、網(wǎng)絡(luò)設(shè)備等關(guān)鍵設(shè)施進行固定，并設(shè)置明顯的標記；44應(yīng)將通信線纜鋪設(shè)在隱蔽處，如鋪設(shè)在地下或管道中等；應(yīng)對信息科室使用的介質(zhì)（諸如：存有信息的光盤、軟盤、移動硬盤、紙質(zhì)文檔等）分類標識，存儲在介質(zhì)庫或檔案室中；應(yīng)安裝必要的防盜報警設(shè)施，以防進入機房的盜竊和破壞行為；存有重要信息的設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境時，應(yīng)登記說明。8.1.1.1.4防雷擊機房建筑應(yīng)設(shè)置避雷裝置；應(yīng)設(shè)置交流電源地線。8.1.1.1.5防火a) 應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)， 并保持滅火設(shè)備和火災(zāi)自動報警系統(tǒng)的良好狀態(tài)；機房內(nèi)不應(yīng)使用或堆放易燃物品或材料。8.1.1.1.6防水和防潮水管安裝，不得穿過屋頂和活動地板下；應(yīng)對穿過墻壁和樓板的水管增加必要的保護措施，如設(shè)置套管；應(yīng)采取措施防止雨水通過屋頂和墻壁滲透；應(yīng)采取措施防止室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。8.1.1.1.7防靜電應(yīng)采用必要的接地防靜電措施；機房地板鋪設(shè)應(yīng)采用機房專用防靜電活動地板。458.1.1.1.8溫濕度控制應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)；溫、濕度自動調(diào)節(jié)設(shè)施宜具備斷續(xù)電自動重啟機制；應(yīng)于關(guān)鍵場所配備溫濕度監(jiān)控設(shè)施。8.1.1.1.9電力供應(yīng)計算機系統(tǒng)供電應(yīng)與其他供電分開；應(yīng)設(shè)置穩(wěn)壓器和過電壓防護設(shè)備；應(yīng)提供備用電力供應(yīng)（如：UPS設(shè)備、發(fā)電機等）；應(yīng)對UPS等設(shè)備做定期維護并保證此類設(shè)備的負載在合理范圍內(nèi)；UPS設(shè)備應(yīng)能夠于特定狀態(tài)下（如啟動、中斷、故障等）向管理人員發(fā)出告警（如短信、聲音方式）；關(guān)鍵設(shè)備（如：核心服務(wù)器、核心交換機等）應(yīng)保證電力供應(yīng)來源的冗余，如：由不同供電途徑作為電源輸入。8.1.1.1.10電磁防護電源線和通信線纜應(yīng)隔離，避免互相干擾；機房區(qū)域應(yīng)遠離強電磁和輻射源。8.1.1.2網(wǎng)絡(luò)安全8.1.1.2.1結(jié)構(gòu)安全網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間，要求滿足業(yè)務(wù)高峰期需要；應(yīng)設(shè)計和繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；應(yīng)根據(jù)醫(yī)院業(yè)務(wù)的特點，在滿足業(yè)務(wù)高峰期需要的基礎(chǔ)上，合理設(shè)計網(wǎng)絡(luò)帶寬；應(yīng)在各工作站與服務(wù)器之間進行路由控制，建立安全的訪問路徑；46應(yīng)根據(jù)各科室的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。8.1.1.2.2訪問控制醫(yī)院內(nèi)網(wǎng)與醫(yī)院外網(wǎng)之間應(yīng)采用物理或邏輯的方式予以隔離；醫(yī)院信息系統(tǒng)重要網(wǎng)段（如服務(wù)器網(wǎng)段），應(yīng)能根據(jù)會話狀態(tài)信息（包括數(shù)據(jù)包的源地址、目的地址、源端口號、目的端口號、協(xié)議、出入的接口、會話序列號、發(fā)出信息的主機名等信息），為數(shù)據(jù)流提供明確的允許 /拒絕訪問的能力；a) 應(yīng)具備記錄、允許或拒絕終端 PC接入醫(yī)院網(wǎng)絡(luò)的能力。8.1.1.2.3邊界完整性檢查應(yīng)能夠檢測內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡(luò)的行為（即“非法外聯(lián)”行為）。8.1.1.2.4網(wǎng)絡(luò)設(shè)備防護應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；網(wǎng)絡(luò)設(shè)備用戶應(yīng)清晰明確且處于受控狀態(tài)；身份鑒別信息應(yīng)具有不易被冒用的特點，例如口令長度、復(fù)雜性和定期的更新等；應(yīng)具有登錄失敗處理功能，如：結(jié)束會話、限制非法登錄次數(shù)，當網(wǎng)絡(luò)登錄連接超時，自動退出。8.1.1.2.5網(wǎng)絡(luò)可用性應(yīng)對關(guān)鍵網(wǎng)絡(luò)設(shè)備根據(jù)安全策略進行冗余備份；應(yīng)對冗余備份的有效性做定期校驗。478.1.1.3主機系統(tǒng)安全8.1.1.3.1身份鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶應(yīng)清晰明確且處于受控狀態(tài)；應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；c) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)身份鑒別信息應(yīng)具有不易被冒用的特點， 例如口令長度、復(fù)雜性和定期的更新等；應(yīng)具有登錄失敗處理功能，如：結(jié)束會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出。8.1.1.3.2訪問控制應(yīng)依據(jù)安全策略控制主體（如用戶等）對客體（如目錄、文件、視圖、表等資源）的訪問；訪問控制的覆蓋范圍應(yīng)包括與信息安全直接相關(guān)的主體、客體及它們之間的操作；應(yīng)由授權(quán)主體設(shè)置對客體訪問和操作的權(quán)限；應(yīng)嚴格限制默認用戶的訪問權(quán)限；e) 應(yīng)對醫(yī)院內(nèi)接入信息系統(tǒng)的終端的設(shè)備接口（如光驅(qū)、軟驅(qū)、 USB口等）進行管理和控制。8.1.1.3.3安全審計安全審計應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；安全審計應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為和重要系統(tǒng)命令的使用等；安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標識、客體標識、事件的結(jié)果等；審計進程應(yīng)受到保護避免受到未預(yù)期的中斷；審計記錄應(yīng)受到保護避免受到未預(yù)期的刪除、修改或覆蓋等。488.1.1.3.4惡意代碼防范服務(wù)器和重要終端設(shè)備（包括移動設(shè)備）應(yīng)安裝實時檢測和查殺惡意代碼的軟件產(chǎn)品。8.1.1.3.5資源控制應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時響應(yīng)和鑒別失敗響應(yīng)機制；當系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時，應(yīng)能及時檢測、報警并予以處理。8.1.1.3.6主機可用性應(yīng)對關(guān)鍵主機設(shè)備根據(jù)安全策略進行冗余備份；應(yīng)對冗余備份的有效性做定期校驗。8.1.1.4應(yīng)用安全8.1.1.4.1身份鑒別應(yīng)用系統(tǒng)用戶的身份標識應(yīng)具有唯一性；應(yīng)對登錄的用戶進行身份標識和鑒別；系統(tǒng)用戶身份鑒別信息應(yīng)具有不易被冒用的特點，例如口令長度、復(fù)雜性和定期的更新等；應(yīng)具有登錄失敗處理功能，如：結(jié)束會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出；應(yīng)用系統(tǒng)應(yīng)及時清除存儲空間中動態(tài)使用的鑒別信息。8.1.1.4.2訪問控制應(yīng)依據(jù)安全策略控制用戶對客體的訪問；訪問控制的覆蓋范圍應(yīng)包括與信息安全直接相關(guān)的主體、客體及它們之間的操作；49訪問控制的粒度應(yīng)達到主體為用戶級，客體為文件、數(shù)據(jù)庫表級；應(yīng)由授權(quán)主體設(shè)置用戶對系統(tǒng)功能操作和對數(shù)據(jù)訪問的權(quán)限，特別是諸如藥品及材料的用量等信息的訪問；應(yīng)實現(xiàn)應(yīng)用系統(tǒng)特權(quán)用戶的權(quán)限分離，例如將管理與審計的權(quán)限分配給不同的應(yīng)用系統(tǒng)用戶；權(quán)限分離應(yīng)采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；應(yīng)嚴格限制默認用戶的訪問權(quán)限（如使用2次開發(fā)產(chǎn)品作應(yīng)用平臺的情況）。8.1.1.4.3安全審計安全審計應(yīng)覆蓋到應(yīng)用系統(tǒng)的每個用戶；安全審計應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為和重要系統(tǒng)功能的執(zhí)行等；安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標識、客體標識、事件的結(jié)果等；安全審計應(yīng)可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；審計記錄應(yīng)受到保護避免受到未預(yù)期的刪除、修改或覆蓋等。8.1.1.4.4通信完整性在PACS系統(tǒng)中傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)應(yīng)具備完整性校驗機制（如使用醫(yī)學(xué)數(shù)字成像及通信標準，DICOM3.0）。8.1.1.4.5通信保密性在通信過程中，應(yīng)對敏感信息字段（如：電子病歷、藥材用量等）進行加密。8.1.1.4.6軟件容錯應(yīng)對通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)進行有效性檢驗；50應(yīng)有狀態(tài)監(jiān)測能力，當故障發(fā)生時，能實時檢測到故障狀態(tài)并報警。8.1.1.4.7資源控制應(yīng)根據(jù)安全策略設(shè)置用戶登錄的操作超時響應(yīng)和鑒別失敗響應(yīng)機制；應(yīng)根據(jù)安全策略限制同一用戶賬號在同一時間內(nèi)并發(fā)登錄數(shù)。8.1.1.5數(shù)據(jù)安全8.1.1.5.1完整性應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)（如患者基本信息、診療相關(guān)的信息、經(jīng)濟相關(guān)的費用信息等）在存儲過程中完整性受到破壞。8.1.1.5.2數(shù)據(jù)保密性a) 網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)（如患者的基本信息、診療相關(guān)的信息等）應(yīng)采用加密或其他保護措施實現(xiàn)存儲保密性；當使用便攜式和移動式設(shè)備時，應(yīng)加密存儲敏感信息；用于特定業(yè)務(wù)通信（遠程診療、移動醫(yī)生工作站等）的通信信道應(yīng)符合相關(guān)的國家規(guī)定。8.1.1.5.3備份和恢復(fù)應(yīng)提供自動機制對重要信息（如臨床信息、管理信息）進行有選擇的數(shù)據(jù)備份；應(yīng)提供恢復(fù)重要信息的功能。518.1.2管理要求8.1.2.1安全管理制度8.1.2.1.1管理制度應(yīng)制定信息安全工作的總體方針、政策性文件和安全策略等，說明醫(yī)院信息安全工作的總體目標、范圍、方針、原則、責(zé)任等；應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；c) 應(yīng)對要求管理人員或操作人員執(zhí)行的重要管理操作， 建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤。8.1.2.1.2制定和發(fā)布應(yīng)在信息安全職能部門的總體負責(zé)下，組織相關(guān)業(yè)務(wù)科室或人員制定；應(yīng)保證安全管理制度具有統(tǒng)一的格式風(fēng)格，并進行版本控制；應(yīng)組織相關(guān)人員對制定的管理制度進行論證和審定；安全管理制度應(yīng)經(jīng)過管理層簽發(fā)后按照一定的程序以文件形式發(fā)布。8.1.2.1.3評審和修訂a) 應(yīng)定期對安全管理制度進行評審和修訂， 對存在不足或需要改進的安全管理制度進行修訂。8.1.2.2安全管理機構(gòu)8.1.2.2.1崗位設(shè)置a) 醫(yī)院應(yīng)針對信息安全工作成立相關(guān)信息安全領(lǐng)導(dǎo)機構(gòu)， 設(shè)立安全主管人、 安全管理各個方面的負責(zé)人，定義各負責(zé)人的職責(zé)；52應(yīng)于醫(yī)院信息科室設(shè)立系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、應(yīng)用管理人員、安全管理人員等角色，定義各個角色的職責(zé)；應(yīng)制定文件明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。8.1.2.2.2人員配備應(yīng)配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、應(yīng)用管理人員、安全管理人員等。8.1.2.2.3授權(quán)和審批應(yīng)授權(quán)審批部門及批準人，對關(guān)鍵活動進行審批；應(yīng)列表說明須審批的事項、審批部門和可批準人。8.1.2.2.4溝通和合作應(yīng)加強各類合作與溝通（如醫(yī)院內(nèi)部、與上級主管部門、與集成商等），定期或不定期召開協(xié)調(diào)會議，共同協(xié)助處理信息安全問題和確保安全工作的實施。8.1.2.2.5審核和檢查應(yīng)由安全管理人員定期進行安全檢查，檢查內(nèi)容包括終端使用情況、用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計情況等。8.1.2.3人員安全管理8.1.2.3.1人員錄用應(yīng)保證被錄用人具備基本的專業(yè)技術(shù)水平和安全管理知識；應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查；應(yīng)對被錄用人所具備的技術(shù)技能進行考核；應(yīng)對被錄用人說明其角色和職責(zé)；應(yīng)簽署保密協(xié)議。538.1.2.3.2人員離崗應(yīng)立即終止由于各種原因即將離崗的員工的所有訪問權(quán)限；應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備和其他介質(zhì)；應(yīng)經(jīng)醫(yī)院人事部門辦理嚴格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務(wù)后方可離開。8.1.2.3.3人員考核應(yīng)定期對各個崗位的人員進行安全技能及安全認知的考核；應(yīng)對關(guān)鍵崗位的人員進行全面、嚴格的安全審查；應(yīng)對違背安全策略和規(guī)定的人員進行懲戒。8.1.2.3.4安全意識教育和培訓(xùn)應(yīng)對各類人員進行安全意識教育；應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施；應(yīng)制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)；應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存。8.1.2.3.5外部人員訪問管理第三方人員應(yīng)在訪問前與機構(gòu)簽署安全責(zé)任合同書或保密協(xié)議；對重要區(qū)域的訪問，必須經(jīng)過有關(guān)負責(zé)人的批準，并由專人陪同或監(jiān)督下進行，并記錄備案；未經(jīng)許可不允許第三方人員使用任何方法（如拷貝磁盤、刻錄光盤、打印數(shù)據(jù)、手工記錄等）帶走任何數(shù)據(jù)和程序；外部人員使用的系統(tǒng)或設(shè)備帳號在其離開后應(yīng)立即更改口令。548.1.2.4系統(tǒng)建設(shè)管理8.1.2.4.1系統(tǒng)定級應(yīng)明確信息系統(tǒng)劃分的方法；應(yīng)確定信息系統(tǒng)的安全保護等級；c) 應(yīng)以書面的形式定義確定了安全保護等級的信息系統(tǒng)的屬性， 包括使命、業(yè)務(wù)、網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)、邊界、人員等；應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準。8.1.2.4.2安全方案設(shè)計a) 應(yīng)根據(jù)系統(tǒng)的安全級別選擇基本安全措施， 依據(jù)風(fēng)險評估的結(jié)果補充和調(diào)整安全措施；b) 應(yīng)以書面的形式描述對系統(tǒng)的安全保護要求和策略、 安全措施等內(nèi)容，形成系統(tǒng)的安全方案；應(yīng)對安全方案進行細化，形成能指導(dǎo)安全系統(tǒng)建設(shè)和安全產(chǎn)品采購的詳細設(shè)計方案；應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定；應(yīng)確保安全設(shè)計方案必須經(jīng)過批準，才能正式實施。8.1.2.4.3產(chǎn)品采購應(yīng)確保安全產(chǎn)品的使用符合國家的有關(guān)規(guī)定；應(yīng)確保密碼產(chǎn)品的使用符合國家密碼主管部門的要求；應(yīng)指定或授權(quán)專門的部門負責(zé)產(chǎn)品的采購。8.1.2.4.4自行軟件開發(fā)應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；55應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南；應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；應(yīng)確保系統(tǒng)開發(fā)文檔由專人負責(zé)保管，系統(tǒng)開發(fā)文檔的使用受到控制。8.1.2.4.5外包軟件開發(fā)應(yīng)與軟件開發(fā)單位簽訂協(xié)議，明確知識產(chǎn)權(quán)的歸屬和安全方面的要求；應(yīng)根據(jù)協(xié)議的要求檢測軟件質(zhì)量；應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南。8.1.2.4.6工程實施應(yīng)與工程實施單位簽訂與安全相關(guān)的協(xié)議，約束工程實施單位的行為；應(yīng)指定或授權(quán)專門的人員或部門負責(zé)工程實施過程的管理；應(yīng)制定詳細的工程實施方案控制實施過程。8.1.2.4.7測試驗收應(yīng)對系統(tǒng)進行安全性測試驗收；b) 應(yīng)在測試驗收前根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案， 測試驗收過程中詳細記錄測試驗收結(jié)果，形成測試驗收報告；應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，沒有疑問后由雙方簽字。8.1.2.4.8系統(tǒng)交付應(yīng)明確系統(tǒng)的交接手續(xù)，并按照交接手續(xù)完成交接工作；應(yīng)由系統(tǒng)建設(shè)方完成對委托建設(shè)方的運維技術(shù)人員的培訓(xùn)；應(yīng)由系統(tǒng)建設(shè)方提交系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔；應(yīng)由系統(tǒng)建設(shè)方進行服務(wù)承諾，并提交服務(wù)承諾書，確保對系統(tǒng)運行維護的支持。568.1.2.4.9安全服務(wù)商選擇應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定。8.1.2.5系統(tǒng)運維管理8.1.2.5.1環(huán)境管理應(yīng)對機房供配電、空調(diào)、溫濕度控制等設(shè)施指定專人或?qū)ｉT的部門定期進行維護管理；應(yīng)建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定；應(yīng)對機房來訪人員實行登記管理，同時限制來訪人員的活動范圍；加強對辦公環(huán)境的保密性管理，包括如工作人員調(diào)離應(yīng)立即交還鑰匙、磁卡和不在辦公區(qū)接待來訪人員等。8.1.2.5.2資產(chǎn)管理應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門；應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)、資產(chǎn)所屬關(guān)系、安全級別和所處位置等信息的資產(chǎn)清單；應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行定性賦值和標識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施。8.1.2.5.3介質(zhì)管理應(yīng)確保介質(zhì)存放在安全的環(huán)境中，并對各類介質(zhì)進行控制和保護，以防止被盜、被毀、被未授權(quán)的修改以及信息的非法泄漏；應(yīng)有介質(zhì)的存儲、歸檔、登記和查詢記錄，并根據(jù)備份及存檔介質(zhì)的目錄清單定期盤點；57c) 對于需要送出維修或銷毀的介質(zhì)， 應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)， 防止信息的非法泄漏；d) 應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標識管理， 并實行存儲環(huán)境專人管理。8.1.2.5.4設(shè)備管理應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)施、設(shè)備、線路等指定專人或?qū)ｉT的部門定期進行維護管理；應(yīng)對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放或領(lǐng)用等過程建立基于申報、審批和專人負責(zé)的管理規(guī)定；應(yīng)對服務(wù)器、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理；應(yīng)對帶離機房或辦公地點的信息處理設(shè)備進行控制；應(yīng)按操作規(guī)程實現(xiàn)服務(wù)器的啟動/停止、加電/斷電等操作，加強對服務(wù)器操作的日志文件管理和監(jiān)控管理，應(yīng)按安全策略的要求對網(wǎng)絡(luò)設(shè)備進行配置，并對其配置進行備份和定期檢查。8.1.2.5.5監(jiān)控管理應(yīng)對醫(yī)院信息系統(tǒng)內(nèi)所有物理門禁、設(shè)備運行、通信鏈路、環(huán)境參數(shù)、應(yīng)用情況進行監(jiān)控，對異常行為應(yīng)能及時發(fā)現(xiàn)并報警。8.1.2.5.6網(wǎng)絡(luò)安全管理應(yīng)指定專人對網(wǎng)絡(luò)進行管理，負責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作；應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置和日志等方面作出規(guī)定；應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新，并在更新前對現(xiàn)有的重要文件進行備份；應(yīng)保證所有與外部系統(tǒng)的連接均應(yīng)得到授權(quán)和批準；58應(yīng)對網(wǎng)絡(luò)設(shè)備的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補丁、維護記錄、日志等方面做出具體要求。8.1.2.5.7系統(tǒng)安全管理應(yīng)指定專人對系統(tǒng)進行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶；應(yīng)制訂系統(tǒng)安全管理制度，對系統(tǒng)安全配置、系統(tǒng)賬戶以及審計日志等方面作出規(guī)定；應(yīng)定期安裝系統(tǒng)的最新補丁程序，并根據(jù)廠家提供的可能危害計算機的漏洞進行及時修補，并在安裝系統(tǒng)補丁前對現(xiàn)有的重要文件進行備份；應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略，系統(tǒng)訪問控制策略用于控制分配信息系統(tǒng)、文件及服務(wù)的訪問權(quán)限；應(yīng)對系統(tǒng)賬戶進行分類管理，權(quán)限設(shè)定應(yīng)當遵循最小授權(quán)要求；應(yīng)對系統(tǒng)的安全策略、授權(quán)訪問、最小服務(wù)、升級與打補丁、維護記錄、日志等方面做出具體要求；應(yīng)規(guī)定系統(tǒng)審計日志的保存時間以便為可能的安全事件調(diào)查提供支持；應(yīng)進行系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行及時的修補。8.1.2.5.8惡意代碼防范管理應(yīng)提高所用用戶的防病毒意識，告知及時升級防病毒軟件；應(yīng)在讀取移動存儲設(shè)備（如軟盤、移動硬盤、光盤）上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也要進行病毒檢查；應(yīng)指定專人對網(wǎng)絡(luò)和主機的進行惡意代碼檢測并保存檢測記錄；應(yīng)對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等作出明確管理規(guī)定。8.1.2.5.9密碼管理密碼算法和密鑰的使用應(yīng)符合國家密碼管理規(guī)定。598.1.2.5.10變更管理確認系統(tǒng)中要發(fā)生的變更，并制定變更方案；建立變更管理制度，重要系統(tǒng)變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，審批后方可實施變更，并以書面形式留檔；系統(tǒng)變更情況應(yīng)向所有相關(guān)人員通告。8.1.2.5.11備份與恢復(fù)管理應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；應(yīng)規(guī)定備份信息的備份方式（如增量備份或全備份等）、備份頻度（如每日或每周等）、存儲介質(zhì)、保存期等；應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略應(yīng)指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒?；?yīng)指定相應(yīng)的負責(zé)人定期維護和檢查備份及冗余設(shè)備的狀況，確保需要接入系統(tǒng)時能夠正常運行；根據(jù)備份方式，規(guī)定相應(yīng)設(shè)備的安裝、配置和啟動的流程。8.1.2.5.12安全事件處置a) 所有用戶均有責(zé)任報告自己發(fā)現(xiàn)的安全弱點和可疑事件， 但任何情況下用戶均不應(yīng)嘗試驗證弱點；b) 應(yīng)制定安全事件報告和處置管理制度， 規(guī)定安全事件的現(xiàn)場處理、 事件報告和后期恢復(fù)的管理職責(zé)；應(yīng)分析信息系統(tǒng)的類型、網(wǎng)絡(luò)連接特點和信息系統(tǒng)用戶特點，了解本系統(tǒng)和同類系統(tǒng)已發(fā)生的安全事件，識別本系統(tǒng)需要防止發(fā)生的安全事件，事件可能來自攻擊、錯誤、故障、事故或災(zāi)難；60d) 應(yīng)根據(jù)國家相關(guān)管理部門對計算機安全事件等級劃分方法， 根據(jù)安全事件在本系統(tǒng)產(chǎn)生的影響，將本系統(tǒng)計算機安全事件進行等級劃分； （注明：需另行參考相關(guān)標準）e) 應(yīng)記錄并保存所有報告的安全弱點和可疑事件， 分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生。8.1.2.5.13應(yīng)急預(yù)案管理a) 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案， 應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、 應(yīng)急處理流程、系統(tǒng)恢復(fù)流程和事后教育和培訓(xùn)等內(nèi)容， 制定的應(yīng)急預(yù)案須經(jīng)醫(yī)院各相關(guān)科室確認且具備可操作性；b) 對涉及實時性要求高的局部系統(tǒng)（如門急診、掛號、收費系統(tǒng)等），在 15分鐘內(nèi)無法恢復(fù)系統(tǒng)正常使用的情況下，應(yīng)立即啟動應(yīng)急預(yù)案并上報上級單位；應(yīng)對系統(tǒng)相關(guān)的人員進行培訓(xùn)使之了解如何及何時使用應(yīng)急預(yù)案中的控制手段及恢復(fù)策略，對應(yīng)急預(yù)案的培訓(xùn)和演練至少每年舉辦一次并應(yīng)留有記錄。8.2 二級（增強）安全要求8.2.1技術(shù)要求8.2.1.1物理安全8.2.1.1.1物理位置的選擇機房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。（未符合此要求項，則須符合要求項8.2.1.1.4和8.2.1.1.6）618.2.1.1.2物理訪問控制機房出入口應(yīng)有身份鑒別機制（人工或電子方式），鑒別進入的人員身份并登記在案；進入機房的來訪人員應(yīng)有醫(yī)院方面的授權(quán)并由醫(yī)院專人陪同，限制和監(jiān)控其活動范圍。8.2.1.1.3防盜竊和防破壞應(yīng)將主要設(shè)備放置在機房等物理受限的范圍內(nèi)；應(yīng)注意對機房、線纜等重要區(qū)域做防鼠措施；應(yīng)對服務(wù)器、網(wǎng)絡(luò)設(shè)備等關(guān)鍵設(shè)施進行固定，并設(shè)置明顯的標記；應(yīng)將通信線纜鋪設(shè)在隱蔽處，如鋪設(shè)在地下或管道中等；應(yīng)對信息科室使用的介質(zhì)（諸如：存有信息的光盤、軟盤、移動硬盤、紙質(zhì)文檔等）分類標識，存儲在介質(zhì)庫或檔案室中；應(yīng)安裝必要的防盜報警設(shè)施，以防進入機房的盜竊和破壞行為；存有重要信息的設(shè)備或存儲介質(zhì)攜帶出工作環(huán)境時，應(yīng)指定專人負責(zé)和內(nèi)容加密。8.2.1.1.4防雷擊機房建筑應(yīng)設(shè)置避雷裝置；應(yīng)設(shè)置交流電源地線。8.2.1.1.5防火a) 應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)， 并保持滅火設(shè)備和火災(zāi)自動報警系統(tǒng)的良好狀態(tài)；機房內(nèi)不應(yīng)使用或堆放易燃物品或材料；有條件的醫(yī)院應(yīng)使用機房專用自動滅火裝置。628.2.1.1.6防水和防潮水管安裝，不得穿過屋頂和活動地板下；應(yīng)對穿過墻壁和樓板的水管增加必要的保護措施，如設(shè)置套管；應(yīng)采取措施防止雨水通過屋頂和墻壁滲透；應(yīng)采取措施防止室內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。8.2.1.1.7防靜電應(yīng)采用必要的接地防靜電措施；機房地板鋪設(shè)應(yīng)采用機房專用防靜電活動地板。8.2.1.1.8溫濕度控制應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)；溫、濕度自動調(diào)節(jié)設(shè)施宜具備斷續(xù)電自動重啟機制；應(yīng)于關(guān)鍵場所配備溫濕度監(jiān)控設(shè)施；有條件的醫(yī)院應(yīng)對溫、濕度自動調(diào)節(jié)設(shè)施做冗余備份；有條件的醫(yī)院可采用關(guān)鍵場所的整體環(huán)境監(jiān)控系統(tǒng)。8.2.1.1.9電力供應(yīng)計算機系統(tǒng)供電應(yīng)與其他供電分開；應(yīng)設(shè)置穩(wěn)壓器和過電壓防護設(shè)備；應(yīng)提供備用電力供應(yīng)（如：UPS設(shè)備、發(fā)電機等）；應(yīng)對UPS等設(shè)備做定期維護并保證此類設(shè)備的負載在合理范圍內(nèi)；UPS設(shè)備應(yīng)能夠于特定狀態(tài)下（如啟動、中斷、故障等）向管理人員發(fā)出告警（如短信、聲音方式）；關(guān)鍵設(shè)備（如：核心服務(wù)器、核心交換機等）應(yīng)保證電力供應(yīng)來源的冗余，如：由