某醫(yī)院信息系統(tǒng)等級保護安全建設整改方案 (一)

某醫(yī)院信息系統(tǒng)等級保護安全建設整改方案

等級保護安全建設整改方案

2023年3月

目錄

1方案概述........................................................8

1.2方案設計目標..................................................9

1R方案設計原則.................................................9

1.4方案設計根據(jù).................................................10

2現(xiàn)狀分析........................................................12

2.1網(wǎng)絡架構描述...................12

2.2信息系統(tǒng)定級情況................12

2.3安全現(xiàn)狀分析....錯誤!未定義書簽。

2.3.1安全管理現(xiàn)狀…..錯誤!未定義書簽。

2.3.2安全技術現(xiàn)狀..…錯誤!未定義書簽。

3安全需求分析....................................................14

3.1國家政策需求分析.............................................14

3.2安全指標與需求分析...........................................14

4信息安全體系框架設計............................................16

5管理體系整改方案.................................................17

5.1安全制度制定解決方案.........................................17

5.1.1策略結構描述...............................................17

5.1.2安全制度制定...............................................20

5.1.3滿足指標...................................................20

5.2安全制度管懂得決方案........................................21

5.2.1安全制度公布...............................................21

5.2.2安全制度修改與廢止.........................................21

5.2.3安全制度監(jiān)督與檢查.........................................22

5.2.4安全制度管理流程...........................................22

5.2.5滿足指標...................................................25

5.3安全教育與培訓解決方案......................................26

5.3.1信息安全培訓的對象.........................................26

5.3.2信息安全培訓的內容.........................................27

5.3.3信息安全培訓的管理.........................................28

5.3.4滿足指標...................................................28

5.4人員安全管懂得決方案.........................................29

5.4.1普通員工安全管理...........................................29

5.4.2安全崗位人員管理...........................................30

5.4.3滿足指標...................................................34

5.5第三方人員安全管懂得決方案..................................35

5.5.1第三方人員短期訪問安全管理................................35

557第二方人員長期訪問安全管理.................................36

5.5.3第三方人員訪問申請審批流程信息表..........................38

5.5.4第三方人員訪問申請審批流程圖..............................39

5.5.5滿足指標...................................................39

5.6系統(tǒng)建設安全管懂得決方案....................................40

5.6.1系統(tǒng)安全建設審批流程.......................................40

5.6.2項目立項安仝管理...........................................41

5.6.3信息安全項目建設管理.......................................42

5.6.4滿足指標...................................................46

5.7等級保護實施管懂得決方案....................................47

5.7.1信息系統(tǒng)描述...............................................49

5.7.2等級指標選擇...............................................54

5.7.3安全評估與白測評...........................................57

5.7.4方案與規(guī)劃.................................................61

5.7.5建設整改...................................................63

5.7.6運維.......................................................67

5.7.7測評準備...................................................70

5.7.8外部測評...................................................72

5.7.9滿足指標.......................................................................................................73

5.8軟件開發(fā)安全管懂得決方案....................................74

5.8.1軟件安全需求管理......................................................................................74

5.8.2軟件設計安全管理......................................................................................75

5.8.3軟件開發(fā)過程安全管理.............................................................................78

5.8.4軟件保護安全管理......................................................................................81

5.8.5軟件管理的安全管理.................................................................................82

5.8.6軟件系統(tǒng)安全審計管理.............................................................................82

5.8.7滿足指標......................................................................................................83

5.9安全事件處置與應急解決方案..................................83

5.9.1安全事件預警與分級.................................................................................83

5.9.2安全事件處理..............................................................................................87

5.9.3安全事件通報..............................................................................................91

5.9.4應急響應流程..............................................................................................92

5.9.5應急預案的制定.........................................................................................92

5.9.6滿足指標....................................................................................................101

5.10日常安全運維管懂得決方案...................................102

5.10.1運維管理................................................................................................102

5.10.2介質管理................................................................................................103

5.10.3惡意代碼管理........................................................................................105

5.10.4變更管理管理........................................................................................106

5.10.5備份與恢復管理....................................................................................106

5.10.6設備管理管理........................................................................................109

5.10.7網(wǎng)絡安全管理........................................................................................112

5.10.8系統(tǒng)安全管理........................................................................................114

5.10.9滿足指標................................................................................................117

5.11安全組織機構設置解決方案...................................121

5.11.1安全組織總、體架構...............................................................................121

5.11.2滿足指標................................................................................................124

5.12安全溝通與合作解決方案.....................................125

5.12.1溝通與合作的分類........................................125

5.12.2風險管理不一致階段中的溝通與合作.......................127

5.12.3滿足指標................................................127

5.13定期風險評估解決方案.......................................128

5.13.1評估方式................................................128

5.13.2評估內容................................................129

5.13.3評估流程................................................130

5.13.4滿足指標................................................131

6技術體系整改方案................................................132

6.1總體部署說明................................................132

6.2邊界訪問操縱解決方案.......................................135

6.2.1需求分析..................................................135

6.2.2方案設計..................................................135

6.2.3方案效果..................................................137

6.2.4滿足指標..................................................138

6.3邊界入侵防御解決方案.......................................139

63.1需求分析..................................................139

6.3.2方案設計..................................................140

6.3.3方案效果..................................................143

6.3.4滿足指標..................................................144

6.4網(wǎng)關防病毒解決方案.........................................144

6.4.1需求分析..................................................144

6.4.2方案設計..................................................145

6.4.3方窠效果..................................................146

6.4.4滿足指標..................................................146

6.5網(wǎng)絡安全檢測解決方案.......................................147

6.5.1需求分析..................................................147

6.5.2方案設計..................................................148

6.5.3方案效果.149

6.5.4滿足指標.151

6.6網(wǎng)絡安全審計解決方案.......................................152

6.6.1需求分析..................................................152

6.6.2方案設計..................................................153

6.6.3方案效果.................................................158

6.6.4滿足指標..................................................161

6.7WAF解決方案...............................................163

6.7.1需求分析..................................................163

6.7.2方案設計..................................................164

6.7.3方案效果..................................................164

6.7.4滿足指標..................................................165

6.8惡意代碼防護解決方案.......................................165

6.8.1需求分析..................................................165

6.8.2方案設計..................................................167

6.8.3方窠效果..................................................168

6.8.4滿足指標..................................................170

6.9終端安仝管懂得決方案.......................................172

6.9.1需求分析..................................................172

6.9.2方案設計..................................................173

6.9.3方案效果..................................................181

6.9.4滿足指標..................................................184

6.10漏洞掃描解決方案...........................................185

6.10.1需求分析................................................185

6.10.2方案設計................................................186

6.10.3方案效果................................................190

6.10.4滿足指標................................................195

6.11應用監(jiān)控解決方案...........................................196

6.11.1需求分析................................................196

6.11.2方案設計................................................196

6.11.3方案效果................................................198

6.11.4滿足指標................................................199

6.12數(shù)據(jù)備份與恢復解決方案.........................................................................201

6.12.1需求分析...............................................201

6.12.2方案設計................................................201

6.12.3滿足指標................................................209

6.13PKI/CA身份認證解決方案........................................................................210

6.13.1需求分析................................................210

6.13.2方案設計................................................210

6.13.3方案效果................................................216

673.4滿足指標.............................................216

6.14安全加固解決方案.....................................................................................219

6.14.1安全加固范圍及方法確定..................................219

6.14.2安全加固流程............................................219

6.14.3安全加固步驟............................................222

6.14.4安全加固內容............................................223

6.14.5使用安仝操作系統(tǒng)........................................228

6.14.6使用安全數(shù)據(jù)庫管理系統(tǒng)..................................231

6.14.7使用操作系統(tǒng)核心加固系統(tǒng)................................234

6.14.8應用系統(tǒng)開發(fā)優(yōu)化........................................235

6.14.9滿足指標................................................237

6.15安全管理中心解決方案.............................................................................246

6.15.1需求分析................................................246

6.15.2方案設計................................................247

6.15.3方案效果................................................262

6.15.4滿足指標................................................264

7技術體系符合性分析.......................................................................................266

7.1物理安全....................................................................................................266

7.2網(wǎng)絡安全....................................................269

7.3主機安全....................................................273

7.4應用安全....................................................277

7.5數(shù)據(jù)安全與各份恢復.....................................281

1方案概述

1.1背景

醫(yī)院是?個信息與技術密集型的行業(yè)，其計算機網(wǎng)絡是i個完善的辦公網(wǎng)絡

系統(tǒng)，作為一個現(xiàn)代化的醫(yī)療機構網(wǎng)絡，除了要滿足高效的內部自動化辦公需求

以外,還應對外界的通訊保證暢通。結合醫(yī)院復雜的HIS.RIS.PACS等應用系統(tǒng)，

要求網(wǎng)絡務必能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務的傳輸要求，因此在這樣的

網(wǎng)絡上應運用多種高性能設備與先進技術來保證系統(tǒng)的正常運作與穩(wěn)固的效率。

同時醫(yī)院的網(wǎng)絡系統(tǒng)連接著Internet、醫(yī)保網(wǎng)與高校等，訪問人員比較復雜，

因此如何保證醫(yī)院網(wǎng)絡系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。在日新月異的現(xiàn)代化社

會進程中，計算機網(wǎng)絡幾乎延伸到了世界每一個角落，它不停的改變著我們的工

作生活方式與思維方式，但是，計算機信息網(wǎng)絡安全的脆弱性與易受攻擊性是不

容忽視的。由于網(wǎng)絡設備、計算機操作系統(tǒng)、網(wǎng)絡協(xié)議等安全技術上的漏洞與管

理體制上的不嚴密，都會使計算機網(wǎng)絡受到威脅。我們能夠想象一下，關于一個

需要高速信息傳達的現(xiàn)代化醫(yī)院，假如遭到致命攻擊，會給社會造成多大的影響。

為了保障我國關鍵基礎設施與信息的安全，結合我國的基本國情，制定了等

級保護制度。并將等級保護制度作為國家信息安全保障工作的基本制度、基本國

策，促進信息化、保護國家信息安全的根本保障。而針對醫(yī)療衛(wèi)生行業(yè)，衛(wèi)生部

于2011年11月分別公布《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保

護工作的通知》（衛(wèi)辦綜函（2011）1126號），衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息

安全等級保護工作的指導意見》的通知（衛(wèi)辦發(fā)（2011）85號），85號文規(guī)定了

要緊工作內容：

1.定級備案（規(guī)定了定級范圍及級別）

2.建設與整改（規(guī)定了二級（含）以上系統(tǒng)需進行差距分析與整改）

3.等級測評（規(guī)定了三級（含）以上需進行等保測評）

4.宣傳培訓（規(guī)定了各類衛(wèi)生機構需進行信息安全培訓，提高安全意識）

5.監(jiān)督檢查（規(guī)定了信息化工作領導小組對各醫(yī)療機構等級保護工作進行

督導）

全面開展等級保護建設，對醫(yī)院特別是三級甲等醫(yī)院的信息化建設提出了更

高的要求，其核心業(yè)務信息系統(tǒng)的建設應按照不低于等級保護三級的標準進行。

XX醫(yī)院是北京市衛(wèi)生局直屬三級甲等醫(yī)院、北京大學教學醫(yī)院、中法友好

合作醫(yī)院、中國科學院心理研究所臨床心理學教學醫(yī)院、北京市心理危機研究與

干預中心、北京市心理援助熱線、世界衛(wèi)生組織心理危機預防研究與培訓合作中

心、北京市專科醫(yī)師培訓基地、國家藥物臨床試驗機構，作為北京三級甲等受療

機構，其核心HIS系統(tǒng)與EMR系統(tǒng)的正常運行至關重要，因此在信息安全建設

過程中參照國家等級保護有關標準，利于醫(yī)院自身進行安全體系化建設，并最終

利干業(yè)務的開展°

1.2方案設計目標

本次XX醫(yī)院核心業(yè)務系統(tǒng)等級保護安全建設的要緊目標是：

按照等級保護要求，結合實際業(yè)務系統(tǒng)，對XX醫(yī)院核心業(yè)務系統(tǒng)進行充分

調研及全面分析，將XX醫(yī)院核心業(yè)務系統(tǒng)系統(tǒng)建設成為一個及滿足業(yè)務需要,

又符合等級保護三級系統(tǒng)要求的業(yè)務平臺。

建設一套符合國家政策要求、覆蓋全面、重點突出、持續(xù)運行的信息安全保

障體系，達到國內一流的信息安全保障水平，支撐與保障信息系統(tǒng)與業(yè)務的安全

穩(wěn)固運行。該體系覆蓋信息系統(tǒng)安全所要求的各項內容，符合信息系統(tǒng)的業(yè)務特

性與進展戰(zhàn)略，滿足XX醫(yī)院信息安全要求。

1.3方案設計原則

“全面保障”原貝!：信息安全風險的操縱需要多角度、多層次，從各個環(huán)節(jié)

入手，全面的保障。

“整體規(guī)劃，分步實施”原則：對信息安全建設進行整體規(guī)劃，分步實施,

逐步建立完善的信息安全體系。

“同步規(guī)劃、同步建設、同步運行”原則：安全建設應與業(yè)務系統(tǒng)同步規(guī)劃、

同步建設、同步運行，在任何一個環(huán)節(jié)的疏忽都可能給業(yè)務系統(tǒng)帶來危害。

“適度安全”原見：沒有絕對的安全，安全與易用性是矛盾的，需要做到適

度安全，找到安全與易用性的平衡點。

“內外并重”原則：安全工作需要做到內外并重，在防范外部威脅的同時,

加強規(guī)范內部人員行為與訪問操縱、監(jiān)控與審計能力。

“標準化”原則：管理要規(guī)范化、標準化，以保證在能源行業(yè)龐大而多層次

的組織體系中有效的操縱風險。

“技術與管理并重”原則：網(wǎng)絡與信息安全不是單純的技術問題，需要在使

用安全技術與產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度與操

作規(guī)程，全面提高安全管理水平。

1.4方案設計根據(jù)

本方案的設計要緊根據(jù)下列等級保護政策：

■公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室

聯(lián)合轉發(fā)的《關于信息安全等級保護工作的實施意見》(公通字(2004)

66號)

■公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室

制定的《信息安全等級保護管理辦法》(公通字(2007)43號)

■公安部頒發(fā)的《關于開展信息安全等級保護安全建設整改工作的指

導意見》(公信安(2009)1429號)

■公安部《關于推動信息安全等級保護測評體系建設與開展等級測評

工作的通知》(公信安(2010)303號)

■本方案的設計要緊根據(jù)如下等級保護標準:

■《信息安全技術信息系統(tǒng)安全等級保護基本要求》(GB/T

22239-2008)

■《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》(GB/T

25070-2010)

本方案還參考了如下一些政策與標準：

■《信息安全技術信息系統(tǒng)安全等級保護定級指南》(GB/T

22240-2008)

■《信息安全技術信息系統(tǒng)安全等級保護實施指南》

■《信息安全技術信息系統(tǒng)安全等級保護測評要求》

■《信息安全技術信息系統(tǒng)安全等級保護測評過程指南》

■《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)

■《信息安全技術信息系統(tǒng)通用安全技術要求》(GB/T20271-2006)

■《信息安全技術網(wǎng)絡基礎安全技術要求》(GB/T20270-2006)

■《信息安全技術操作系統(tǒng)安全技術要求》(GB/T20272-2(X)6)

■《信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》(GB/T20273-2006)

■《信息安全技術服務器技術要求》(GB/T21028-2007)

■《信息安全技術終端計算機系統(tǒng)安全等級技術要求》(GA/T

671-2006)

■《信息安全技術信息系統(tǒng)安全管理要求》(GB/T20269-2006)

■《信息安全技術信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)

■GB/T22080-2008/ISG/IEC27001:2005《信息技術安全技術信息安

全管理體系要求》

■IATF《信息保障技術框架》

2現(xiàn)狀分析

2.1網(wǎng)絡架構描述

XX醫(yī)院網(wǎng)絡架構要緊由終端安全域、安全設備運維區(qū)、互聯(lián)網(wǎng)DMZ區(qū)、

業(yè)務服務器區(qū)等安全域構成

系統(tǒng)使用的安全產(chǎn)品清單:

序號設備名稱型號數(shù)量

1防火墻XX2

2安全網(wǎng)關XX1

3入侵檢測系統(tǒng)XX1

4漏洞掃描系統(tǒng)XX1

5補丁分發(fā)系統(tǒng)XX1

6信息安全綜合審計監(jiān)控系統(tǒng)XX1

7寬帶信息安全(上網(wǎng)行為)管理系統(tǒng)XX1

8綜合網(wǎng)絡安全管理系統(tǒng)XX1

9互聯(lián)網(wǎng)帶寬管理系統(tǒng)XX1

10網(wǎng)絡防病毒系統(tǒng)XX1

已經(jīng)部署的安全產(chǎn)品除網(wǎng)絡防病毒系統(tǒng)外，其他產(chǎn)品均購置于四年前，不管

從性能、功能上已經(jīng)不能習慣當今的安全要求，本次建設將予以更換。

2.2信息系統(tǒng)定級情況

XX醫(yī)院核心業(yè)務系統(tǒng)是醫(yī)院信息系統(tǒng)(HospitalInformationSystem,

HIS)與電子病歷系統(tǒng)(ElectronicMedicalRecord,EMR)。目前已經(jīng)完成系統(tǒng)定級，

最終確定北京XX醫(yī)院核心業(yè)務信息系統(tǒng)安全保護等級為第三級。

HIS系統(tǒng)由北京XX數(shù)字醫(yī)療系統(tǒng)有限公司研制開發(fā)，2002年11月開始分期

實施到我院。由計算機網(wǎng)絡中心負責組織實施、運行管理與保護工作。本系統(tǒng)是

基于計算機網(wǎng)絡、按照一定的應用目標與規(guī)則對醫(yī)院臨床及管理業(yè)務信息進行采

集、加工、存儲、傳輸、檢索與服務的人機系統(tǒng)。整個網(wǎng)絡主干千兆，百兆到桌

面，為兩層星型結構。該系統(tǒng)承載著全院人、財、物的行政管理與有關門、急診

病人及住院病人的醫(yī)療事務處理業(yè)務，要緊包含門診掛號、電子醫(yī)囑與處方、計

價收費、藥房藥庫管理、住院病人管理、檢驗檢查信息管理、病案管理、衛(wèi)生統(tǒng)

計、物資與固定資產(chǎn)管理等二十幾個緊密耦合的子系統(tǒng)。各子系統(tǒng)務必協(xié)同運行,

支持醫(yī)院臨床診療、科研教學、經(jīng)營決策等方方面面的日常業(yè)務與管理工作，是

一體化的信息系統(tǒng)。

電子病歷系統(tǒng)(ElectronicMedicalRecord,EMR)以服務臨床業(yè)務工作開展

為核心，為全院醫(yī)務人員、業(yè)務管理人員、院級領導提供流程化、信息化、自動

化、智能化的臨床業(yè)務綜合管理平臺。目前醫(yī)院所使用的電子病歷系統(tǒng)為2011

年引進的，XX公司開發(fā)的C-S架構的結構化的電子病歷系統(tǒng)(TP-EMR)。該系統(tǒng)

基于.NET多層體系結構開發(fā)平臺，使用集中式數(shù)據(jù)庫ORACLE10G、分布式數(shù)據(jù)

庫ACCESS與XML技術相結合，完成臨床數(shù)據(jù)的錄入、傳輸、交換、存儲與處理。

目前電子病歷系統(tǒng)的組織實施、管理保護、安全防護均由計算機中心管理。

3安全需求分析

3.1國家政策需求分析

2007年公安部等四部委聯(lián)合出臺了《信息安全等級保護管理辦法》，該文件

是在開展信息系統(tǒng)安全等級保護基礎調查工作與信息安全等級保護試點工作基

礎上，由四部委共同會簽印發(fā)的重要管埋規(guī)范，要緊內容包含信息安全等級保護

制度的基本內容、流程及工作要求，信息系統(tǒng)定級、備案、安全建設整改、等級

測評的實施與管理，信息安全產(chǎn)品與測評機構選擇等，為開展信息安全等級保護

工作提供了規(guī)范保障。

2009年，在全國信息系統(tǒng)安全等級保護定級工作基礎上，公安部乂印發(fā)了

《關于開展信息安全等級保護安全建設整改工作的指導意見》，開始部署開展信

息系統(tǒng)等級保護安全建設整改工作。2009年下半年公安部組織各部委與各行業(yè)

開展了信息安全等級保護安全建設整改工作的集中培訓，明確了我國信息安全等

級保護安全建設整改工作的工作目標、工作對象、工作內容與要求，并對具體的

工作流程與工作方法提出了指導意見。要求各行業(yè)利用三年時間，通過組織開展

信息安全等級保護安全管理制度建設、技術措施建設與等級測評等三項重點工作,

落實等級保護制度的各項要求。

衛(wèi)生部于2011年11月分別公布《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息

安全等級保護工作的通知》(衛(wèi)辦綜函(2011)1126號)，衛(wèi)生部關于印發(fā)《衛(wèi)

生行業(yè)信息安全等級保護工作的指導意見》的通知(衛(wèi)辦發(fā)(2011)85號)。要

求醫(yī)療衛(wèi)生行業(yè)全面開展等級保護建設。

3.2安全指標與需求分析

xx醫(yī)院核心業(yè)務系統(tǒng)的安全建設核心需求即滿足等級保護的有關要求，因

此將以滿足等級保護指標為目標。根據(jù)定級結果，整體按三級來管理與建設。那

么，能夠確定需要滿足的等級保護指標如下：

單位級安全指標(三級)

數(shù)據(jù)安全

安全管理機構人員安全管理安全管理制度網(wǎng)絡安全物理安全系統(tǒng)迄維管理系燒建設管理

及備份恢復

即雙點數(shù)量操雙點數(shù)最排雙點數(shù)用操縱點數(shù)量操縱點itfit操縱點數(shù)用操縱點數(shù)最世織點數(shù)量

安全意識教管理制

慟位設置4\\備份與恢復4安全審計4電磁防護3安全密件處置6安全方案設計5

育與培訓度

評審與邊界完整性備份與恢復管安全服務商選

溝通與合作5人員考核32數(shù)據(jù)保您性22電力供應453

修訂檢查理擇

制定與題總代碼防防盜竊與防

人員加備3人員離崗35數(shù)據(jù)完招性226變更管理，1測試驗收5

公布范破壞

惡意代碼防范產(chǎn)，采購與使

審核與檢有4人員錄用4訪問操縱3防火344

管理川

外都人員訪

授權與審批12結構安全7防靜電2環(huán)境管理等依測評1

問管理

監(jiān)控與安全管

入停防意防青擊3工程班施3

23理中心

防木與防潮4介質管理€外包軟件開發(fā)4

俎濕血愫縱1密碼管理1系統(tǒng)備案3

物理訪問操

4設備管理5系統(tǒng)定級1

縱

物理位優(yōu)的

2陷絡安全管理S系統(tǒng)交付5

選擇

自行軟件開發(fā)

系統(tǒng)安全管理70

(5)

應急預案管理5

資產(chǎn)管理4

201611825326240

總計214

4信息安全體系框架設計

xx醫(yī)院核心業(yè)務系統(tǒng)安全體系框架分為技術體系與管理管理體系兩部分。

其中：

?技術體系參考《設計技術要求》，分為計算環(huán)境安全、邊界安全、通信

網(wǎng)絡安全與安全管理中心四部分。同時滿足《基本要求》中物理安全、

網(wǎng)絡安全、主機安全、應用安全與數(shù)據(jù)安全等方面技術指標。

?安全管理體系分為安全組織、安全策略、安全建設與安全運維四部分。

5管理體系整改方案

5.1安全制度制定解決方案

安全制度是指導xx醫(yī)院核心業(yè)務系統(tǒng)保護管理工作的基本根據(jù)，安全管理與保護管

理人員務必認真制定的制度，并根據(jù)工作實際情況，制定并遵守相應的安全標準、流程與

安全制度實施細則，做好安全保護管理工作。

安全制定的適用范圍是XX醫(yī)院核心業(yè)務系統(tǒng)拼有的、操縱與管理的所有信息系統(tǒng)、

數(shù)據(jù)與網(wǎng)絡環(huán)境，適用于屬于XX醫(yī)院核心業(yè)務系統(tǒng)范圍內的所有部門。對人員的適用范

圍包含所有與XX醫(yī)院核心業(yè)務系統(tǒng)的各方面有關聯(lián)的人員，它適用于全部應用XX醫(yī)院

核心業(yè)務系統(tǒng)的有關工作人員，全部XX醫(yī)院核心業(yè)務系統(tǒng)范圍內容的保護人員，集成商，

軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時工，商務伙伴與使用XX醫(yī)院核心業(yè)務系統(tǒng)的其他

第三方。

安全策略體系建立的價值在于：

?推進信息安全管理體系的建立

■安全策略與制度體系的建設

■安全組織體系的建設

■安全運作體系的建設

?規(guī)范信息安全規(guī)劃、采購、建設、保護與管理工作，推進信息安全的規(guī)范化與制度

化建設

5.1.1策略結構描述

信息安全策略為信息安全提供管理指導與支持。XX醫(yī)院核心業(yè)務系統(tǒng)應該制定一套清

晰的指導方針，并通過在組織內對信息安全策略的公布與保持來證明對信息安全的支持與

承諾。

策略系列文檔結構圖:

A最圖方針

最高方針，綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管

理意圖、支持目標與指導原則，信息安全各個方面所應遵守的原則方法與指導性策略。

與其它部分的關系：

所有其它部分都從最高方針引申出來，并遵照最高方針，不與之發(fā)生違背與抵觸。

＞組織機構與人員職責

安全管理組織機構與人員的安全職責，包含的安全管理機構組織形式與運作方式，機

構與人員的通常責任與具體責任。作為機構與員工具體工作時的具體職責依照，此部分務

必具有可操作性，而且務必得到有效推行與實施的。

與其它部分的關系：

從最高方針中延伸出來，其具體執(zhí)行與實施由管理規(guī)定、技術標準規(guī)范、操作流程與

用戶手冊來落實。

＞技術標準與規(guī)范

技術標準與規(guī)范，包含各個網(wǎng)絡設備、主機操作系統(tǒng)與要緊應用程序的應遵守的安全

配置與管理的技術標準與規(guī)范。技術標準與規(guī)范將作為各個網(wǎng)絡設備、主機操作系統(tǒng)與應

用程序的安裝、配置、采購、項目評審、日常安全管理與保護時務必遵照的標準，不同意

發(fā)生違背與沖突。

與其它部分的關系:

向上遵照最高方針，向下延伸到安全操作流程，作為安全操作流程的根據(jù)。

＞管理制度與規(guī)定

各類管理規(guī)定、管理辦法與暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應

遵守的原則方法與指導性策略引HI的具體管理規(guī)定、管理辦法與實施辦法，是務必具有可

操作性，而且務必得到有效推行與實施的。此部分文檔較多。

與其它部分的關系：

向上遵照最高方針。向下延伸到用戶簽署的文檔與協(xié)議。用戶協(xié)議務必遵照管理規(guī)定

與管理辦法，不與之發(fā)生違背。

＞安全操作流程

操作流程，全面規(guī)定要緊業(yè)務應用與事件處理的流程與步驟，與有關注意事項。作為

具體工作時的具體依照，此部分務必具有可操作性，而且務必得到有效推行與實施的。

與其它部分的關系：

向上遵照技術標準與規(guī)范、最高方針。

＞用戶協(xié)議

用戶簽署的文檔與協(xié)議。包含安全管理人員、網(wǎng)絡與系統(tǒng)管理員的安全責任書、保密

協(xié)議、安全使用承