某醫(yī)院信息系統(tǒng)等級保護(hù)安全建設(shè)整改方案

XX醫(yī)院信息系統(tǒng)

等級保護(hù)安全建設(shè)整改方案

2024年2月

目錄

1方案概述........................................................8

1.1背景..........................................................8

1.2方案設(shè)計(jì)目標(biāo)..................................................9

13方案設(shè)計(jì)原則..................................................9

1.4方案設(shè)計(jì)依據(jù).................................................10

2現(xiàn)狀分析........................................................12

2.1網(wǎng)絡(luò)架構(gòu)描述.................................................12

2.2信息系統(tǒng)定級情況.............................................12

2.3安全現(xiàn)狀分析.................................錯誤!未定義書簽。

2.3.1安全管理現(xiàn)狀...............................錯誤!未定義書簽。

2.3.2安全技術(shù)現(xiàn)狀...............................錯誤!未定義書簽。

3安全需求分析.....................................................14

3.1國家政策需求分析.............................................14

3.2安全指標(biāo)與需求分析...........................................14

4信息安全體系框架設(shè)計(jì)............................................16

5管理體系整改方案................................................17

5.1安全制度制定解決方案.........................................17

5.1.1策略結(jié)構(gòu)描述...............................................17

5.1.2安全制度制定...............................................20

5.1.3滿足指標(biāo)...................................................20

5.2安全制度管理解決方案........................................21

5.2.1安全制度發(fā)布...............................................21

5.2.2安全制度修改與廢止.........................................21

5.2.3安全制度監(jiān)督和檢查.........................................22

5.2.4安全制度管理流程...........................................22

5.2.5滿足指標(biāo)...................................................25

5.3安全教育與培訓(xùn)解決方案......................................26

5.3.1信息安全培訓(xùn)的對象.........................................26

5.3.2信息安全培訓(xùn)的內(nèi)容.........................................27

5.3.3信息安全培訓(xùn)的管理.........................................28

5.3.4滿足指標(biāo)...................................................28

5.4人員安全管理解決方案........................................29

5.4.1普通員工安全管理...........................................29

5.4.2安全崗位人員管理...........................................30

5.4.3滿足指標(biāo)...................................................34

5.5第三方人員安全管理解決方案..................................35

5.5.1第三方人員短期訪問安全管理................................35

5.5.2第二方人員長期訪問安全管理................................36

5.5.3第三方人員訪問申請審批流程信息表..........................38

5.5.4第三方人員訪問申請審批流程圖..............................39

5.5.5滿足指標(biāo)...................................................39

5.6系統(tǒng)建設(shè)安全管理解決方案....................................40

5.6.1系統(tǒng)安全建設(shè)審批流程.......................................40

5.6.2項(xiàng)目立項(xiàng)安仝管理...........................................41

5.6.3信息安全項(xiàng)目建設(shè)管理.......................................42

5.6.4滿足指標(biāo)...................................................46

5.7等級保護(hù)實(shí)施管理解決方案....................................47

5.7.1信息系統(tǒng)描述...............................................49

5.7.2等級指標(biāo)選擇...............................................54

5.7.3安全評估與白測評...........................................57

5.7.4方案與規(guī)劃.................................................61

5.7.5建設(shè)整改...................................................63

5.7.6運(yùn)維.......................................................67

5.7.7測評準(zhǔn)備...................................................70

5.7.8外部測評...................................................72

5.7.9滿足指標(biāo).......................................................................................................73

5.8軟件開發(fā)安全管理解決方案....................................74

5.8.1軟件安全需求管理......................................................................................74

5.8.2軟件設(shè)計(jì)安全管理.....................................................................................75

5.8.3軟件開發(fā)過程安全管理.............................................................................78

5.8.4軟件維護(hù)安全管理......................................................................................80

5.8.5軟件管理的安全管理..................................................................................81

5.8.6軟件系統(tǒng)安全審計(jì)管理..............................................................................82

5.8.7滿足指標(biāo)......................................................................................................82

5.9安全事件處置與應(yīng)急解決方案..................................83

5.9.1安全事件預(yù)警與分級.................................................................................83

5.9.2安全事件處理..............................................................................................87

5.9.3安全事件通報(bào)..............................................................................................91

5.9.4應(yīng)急響應(yīng)流程..............................................................................................92

5.9.5應(yīng)急預(yù)案的制定.........................................................................................92

5.9.6滿足指標(biāo)....................................................................................................101

5.10日常安全運(yùn)維管理解決方案...................................102

5.10.1運(yùn)維管理................................................................................................102

5.10.2介質(zhì)管理................................................................................................103

5.10.3惡意代碼管理........................................................................................104

5.10.4變更管理管理........................................................................................105

5.10.5備份與恢復(fù)管理....................................................................................106

5.10.6設(shè)備管理管理........................................................................................109

5.10.7網(wǎng)絡(luò)安全管理........................................................................................112

5.10.8系統(tǒng)安全管理........................................................................................114

5.10.9滿足指標(biāo)................................................................................................116

5.11安全組織機(jī)構(gòu)設(shè)置解決方案...................................121

5.11.1安全組織總體架構(gòu)...............................................................................121

5.11.2滿足指標(biāo)................................................................................................124

III

5.12安全溝通與合作解決方案.....................................125

5.12.1溝通與合作的分類........................................125

5.12.2風(fēng)險(xiǎn)管理不同階段中的溝通與合作.........................127

5.12.3滿足指標(biāo)................................................127

5.13定期風(fēng)險(xiǎn)評估解決方案.......................................128

5.13.1評估方式................................................128

5.13.2評估內(nèi)容................................................129

5.13.3評估流程................................................130

5.13.4滿足指標(biāo)................................................131

6技術(shù)體系整改方案...............................................132

6.1總體部署說明................................................132

6.2邊界訪問控制解決方案.......................................135

6.2.1需求分析..................................................135

6.2.2方案設(shè)計(jì)..................................................135

6.2.3方案效果..................................................137

6.2.4滿足指標(biāo)..................................................139

6.3邊界入侵防御解決方案.......................................140

6.3.1需求分析..................................................140

6.3.2方案設(shè)計(jì)..................................................140

6.3.3方案效果..................................................143

6.3.4滿足指標(biāo)..................................................144

6.4網(wǎng)關(guān)防病毒解決方案..........................................145

6.4.1需求分析..................................................145

6.4.2方案設(shè)計(jì)..................................................145

6.4.3方窠效果..................................................146

6.4.4滿足指標(biāo)..................................................147

6.5網(wǎng)絡(luò)安全檢測解決方案........................................148

6.5.1需求分析..................................................148

6.5.2方案設(shè)計(jì)..................................................149

IV

6.5.3方案效果..................................................150

6.5.4滿足指標(biāo)..................................................152

6.6網(wǎng)絡(luò)安全審計(jì)解決方案.......................................153

6.6.1需求分析..................................................153

6.6.2方案設(shè)計(jì)..................................................154

6.6.3方案效果..................................................159

6.6.4滿足指標(biāo).................................................163

6.7WAF解決方案...............................................165

6.7.1需求分析..................................................165

6.7.2方案設(shè)計(jì):.................................................166

6.7.3方案效果..................................................167

6.7.4滿足指標(biāo)..................................................167

6.8惡意代碼防護(hù)解決方案.......................................168

6.8.1需求分析..................................................168

6.8.2方案設(shè)計(jì)..................................................169

6.8.3方案效果.................................................171

6.8.4滿足指標(biāo)..................................................173

6.9終端安仝管理解決方案.......................................175

6.9.1需求分析..................................................175

6.9.2方案設(shè)計(jì)..................................................176

6.9.3方案效果..................................................184

6.9.4滿足指標(biāo)..................................................187

6.10漏洞掃描解決方案...........................................188

6.10.1需求分析................................................188

6.10.2方案設(shè)計(jì)................................................190

6.10.3方案效果................................................193

6.10.4滿足指標(biāo)................................................198

6.11應(yīng)用監(jiān)控解決方案...........................................199

6.11.1需求分析................................................199

v

6.11.2方案設(shè)計(jì)................................................199

6.11.3方案效果................................................201

6.11.4滿足指標(biāo)................................................202

6.12數(shù)據(jù)備份與恢復(fù)解決方案.................................................................................204

6.12.1需求分析...............................................204

6.12.2方案設(shè)計(jì)................................................204

6.12.3滿足指標(biāo)................................................211

6.13PKI/CA身份認(rèn)證解決方案................................................................................213

6.13.1需求分析................................................213

6.13.2方案設(shè)計(jì)................................................213

6.13.3方案效果................................................219

6.13.4滿足指標(biāo)................................................................................................................779

6.14安全加固解決方案..............................................................................................222

6.14.1安全加固范圍及方法確定..................................222

6.14.2安全加固流程............................................222

6.14.3安全加固步驟............................................225

6.14.4安全加固內(nèi)容............................................226

6.14.5采用安仝操作系統(tǒng)........................................231

6.14.6采用安全數(shù)據(jù)庫管理系統(tǒng).................................234

6.14.7采用操作系統(tǒng)核心加固系統(tǒng)...............................237

6.14.8應(yīng)用系統(tǒng)開發(fā)優(yōu)化........................................238

6.14.9滿足指標(biāo)................................................240

6.15安全管理中心解決方案.....................................................................................248

6.15.1需求分析................................................248

6.15.2方案設(shè)計(jì)................................................250

6.15.3方案效果................................................265

6.15.4滿足指標(biāo)................................................267

7技術(shù)體系符合性分析.................................................................................................269

7.1物理安全...............................................................................................................269

VI

7.2網(wǎng)絡(luò)安全....................................................272

7.3主機(jī)安全....................................................276

7.4應(yīng)用安全....................................................280

7.5數(shù)據(jù)安全與備份恢復(fù)..........................................284

VII

1方案概述

1.1背景

醫(yī)院是一個信息和技術(shù)密集型的行業(yè)，其計(jì)算機(jī)網(wǎng)絡(luò)是一個完善的辦公網(wǎng)絡(luò)

系統(tǒng)，作為一個現(xiàn)代化的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)，除了要滿足高效的內(nèi)部自動化辦公需求

以外,還應(yīng)對外界的通訊保證暢通。結(jié)合醫(yī)院復(fù)雜的HIS、RIS、PACS等應(yīng)用系統(tǒng)，

要求網(wǎng)絡(luò)必須能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務(wù)的傳輸要求，所以在這樣的

網(wǎng)絡(luò)上應(yīng)運(yùn)用多種高性能設(shè)備和先進(jìn)技術(shù)來保證系統(tǒng)的正常運(yùn)作和穩(wěn)定的效率。

同時(shí)醫(yī)院的網(wǎng)絡(luò)系統(tǒng)連接著Internet、醫(yī)保網(wǎng)和高校等，訪問人員比較復(fù)雜，

所以如何保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。在日新月異的現(xiàn)代化社

會進(jìn)程中，計(jì)算機(jī)網(wǎng)絡(luò)幾乎延伸到了世界每一個角落，它不停的改變著我們的工

作生活方式和思維方式，但是，計(jì)算機(jī)信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊性是不

容忽視的。由于網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管

理體制上的不嚴(yán)密，都會使計(jì)算機(jī)網(wǎng)絡(luò)受到威脅。我們可以想象一下，對于一個

需要高速信息傳達(dá)的現(xiàn)代化醫(yī)院，如果遭到致命攻擊，會給社會造成多大的影響。

為了保障我國關(guān)鍵基礎(chǔ)設(shè)施和信息的安全，結(jié)合我國的基本國情，制定了等

級保護(hù)制度。并將等級保護(hù)制度作為國家信息安全保障工作的基木制度、基木國

策，促進(jìn)信息化、維護(hù)國家信息安全的根本保障。而針對醫(yī)療衛(wèi)生行.業(yè)，衛(wèi)生部

于2011年11月分別發(fā)布《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保

護(hù)工作的通知》（衛(wèi)辦綜函（2011）1126號），衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息

安全等級保護(hù)工作的指導(dǎo)意見》的通知（衛(wèi)辦發(fā)（2011）85號），85號文規(guī)定了

主要工作內(nèi)容：

1.定級備案（規(guī)定了定級范圍及級別）

2.建設(shè)與整改（規(guī)定了二級（含）以上系統(tǒng)需進(jìn)行差距分析與整改）

3.等級測評（規(guī)定了三級（含）以上需進(jìn)行等保測評）

4.宣傳培訓(xùn)（規(guī)定了各類衛(wèi)生機(jī)構(gòu)需進(jìn)行信息安全培訓(xùn)，提高安全意識）

8

5.監(jiān)督檢查（規(guī)定了信息化工作領(lǐng)導(dǎo)小組對各醫(yī)療機(jī)構(gòu)等級保護(hù)工作進(jìn)行

督導(dǎo)）

全面開展等級保護(hù)建設(shè)，對醫(yī)院特別是三級甲等醫(yī)院的信息化建設(shè)提出了更

高的要求，其核心業(yè)務(wù)信息系統(tǒng)的建設(shè)應(yīng)按照不詆于等級保護(hù)三級的標(biāo)準(zhǔn)進(jìn)行。

XX醫(yī)院是北京市衛(wèi)生局直屬三級甲等醫(yī)院、北京大學(xué)教學(xué)醫(yī)院、中法友好

合作醫(yī)院、中國科學(xué)院心理研究所臨床心理學(xué)教學(xué)醫(yī)院、北京市心理危機(jī)研究與

干預(yù)中心、北京市心理援助熱線、世界衛(wèi)生組織心理危機(jī)預(yù)防研究與培訓(xùn)合作中

心、北京市?？漆t(yī)師培訓(xùn)基地、國家藥物臨床試驗(yàn)機(jī)構(gòu)，作為北京三級甲等受療

機(jī)構(gòu)，其核心HIS系統(tǒng)和EMR系統(tǒng)的正常運(yùn)行至關(guān)重要，因此在信息安全建設(shè)

過程中參照國家等級保護(hù)相關(guān)標(biāo)準(zhǔn)，利于醫(yī)院自身進(jìn)行安全體系化建設(shè)，并最終

利于業(yè)務(wù)的開展°

1.2方案設(shè)計(jì)目標(biāo)

本次XX醫(yī)院核心業(yè)務(wù)系統(tǒng)等級保護(hù)安全建設(shè)的主要目標(biāo)是：

按照等級保護(hù)要求，結(jié)合實(shí)際業(yè)務(wù)系統(tǒng)，對XX醫(yī)院核心業(yè)務(wù)系統(tǒng)進(jìn)行充分

調(diào)研及詳細(xì)分析，將XX醫(yī)院核心業(yè)務(wù)系統(tǒng)系統(tǒng)建設(shè)成為一個及滿足業(yè)務(wù)需要,

又符合等級保護(hù)三級系統(tǒng)要求的業(yè)務(wù)平臺。

建設(shè)一套符合國家政策要求、覆蓋全面、重點(diǎn)突出、持續(xù)運(yùn)行的信息安全保

障體系，達(dá)到國內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全

穩(wěn)定運(yùn)行。該體系覆蓋信息系統(tǒng)安全所要求的各項(xiàng)內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特

性和發(fā)展戰(zhàn)略，滿足XX醫(yī)院信息安全要求。

1.3方案設(shè)計(jì)原則

“全面保障”原貝!：信息安全風(fēng)險(xiǎn)的控制需要多角度、多層次，從各個環(huán)節(jié)

入手，全面的保障。

“整體規(guī)劃，分步實(shí)施”原則：對信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實(shí)施，

9

逐步建立完善的信息安全體系。

“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”原則：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、

同步建設(shè)、同步運(yùn)行，在任何一個環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害。

“適度安全”原貝!：沒有絕對的安全，安全和易用性是矛盾的，需要做到適

度安全，找到安全和易用性的平衡點(diǎn)。

“內(nèi)外并重”原則：安全工作需要做到內(nèi)外并重，在防范外部威脅的同時(shí),

加強(qiáng)規(guī)范內(nèi)部人員行為和訪問控制、監(jiān)控和審計(jì)能力。

“標(biāo)準(zhǔn)化”原則：管理要規(guī)范化、標(biāo)準(zhǔn)化，以保證在能源行業(yè)龐大而多層次

的組織體系中有效的控制風(fēng)險(xiǎn)。

“技術(shù)與管理并重”原則：網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采

用安全技術(shù)和產(chǎn)品的同時(shí)，重視安全管理，不斷完善各類安全管理規(guī)章制度和操

作規(guī)程，全面提高安全管理水平。

1.4方案設(shè)計(jì)依據(jù)

本方案的設(shè)計(jì)主要依據(jù)以下等級保護(hù)政策：

■公安部、國家保密局、國際密碼管理局、國務(wù)院信息化工作辦公室

聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字(2004)

66號)

■公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室

制定的《信息安全等級保護(hù)管理辦法》(公通字(2007)43號)

■公安部頒發(fā)的《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指

導(dǎo)意見》(公信安(2009)1429號)

■公安部《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評

工作的通知》(公信安(2010)303號)

■

■本方案的設(shè)計(jì)主要依據(jù)如下等級保護(hù)標(biāo)準(zhǔn)：

10

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB“

22239-2008)

■《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T

25070-2010)

本方案還參考了如下一些政策和標(biāo)準(zhǔn)：

■《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T

22240-2008)

■《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》

■《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》

■《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》

■《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)

■《信息安殳技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)

■《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)

■《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)

■《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)

■《信息安全技術(shù)服務(wù)器技術(shù)要求》(GB/T21028-2007)

■《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T

671-2006)

■《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006)

■《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)

■GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安

全管理體系要求》

■IATF《信息保障技術(shù)框架》

11

2現(xiàn)狀分析

2.1網(wǎng)絡(luò)架構(gòu)描述

XX醫(yī)院網(wǎng)絡(luò)架構(gòu)主要由終端安全域、安全設(shè)備運(yùn)維區(qū)、互聯(lián)網(wǎng)DMZ區(qū)、

業(yè)務(wù)服務(wù)器區(qū)等安全域構(gòu)成

系統(tǒng)使用的安全產(chǎn)品清單:

序號設(shè)備名稱型號數(shù)量

1防火墻XX2

2安全網(wǎng)關(guān)XX1

3入侵檢測系統(tǒng)XX1

4漏洞掃描系統(tǒng)XX1

5補(bǔ)丁分發(fā)系統(tǒng)XX1

6信息安全綜合審計(jì)監(jiān)控系統(tǒng)XX1

7寬帶信息安全(上網(wǎng)行為)管理系統(tǒng)XX1

8綜合網(wǎng)絡(luò)安全管理系統(tǒng)XX1

9互聯(lián)網(wǎng)帶寬管理系統(tǒng)XX1

10網(wǎng)絡(luò)防病毒系統(tǒng)XX1

已經(jīng)部署的安全產(chǎn)品除網(wǎng)絡(luò)防病毒系統(tǒng)外，其他產(chǎn)品均購置于四年前，無論

從性能、功能上己經(jīng)不能適應(yīng)當(dāng)今的安全要求，本次建設(shè)將予以更換。

2.2信息系統(tǒng)定級情況

XX醫(yī)院核心業(yè)務(wù)系統(tǒng)是醫(yī)院信息系統(tǒng)(HospitalInformationSystem,

HIS)和電子病歷系統(tǒng)(ElectronicMedicalRecord,EMR)o目前已經(jīng)完成系統(tǒng)定級，

12

最終確定北京XX醫(yī)院核心業(yè)務(wù)信息系統(tǒng)安全保護(hù)等級為第三級.

IHS系統(tǒng)由北京XX數(shù)字醫(yī)療系統(tǒng)有限公司研制開發(fā)，2002年11月開始分期

實(shí)施到我院。由計(jì)算機(jī)網(wǎng)絡(luò)中心負(fù)責(zé)組織實(shí)施、運(yùn)行管理和維護(hù)工作。本系統(tǒng)是

基于計(jì)算機(jī)網(wǎng)絡(luò)、按照一定的應(yīng)用目標(biāo)和規(guī)則對醫(yī)院臨床及管理.業(yè)務(wù)信息進(jìn)行采

集、加工、存儲、傳輸、檢索和服務(wù)的人機(jī)系統(tǒng)。整個網(wǎng)絡(luò)主干千兆，百兆到桌

面，為兩層星型結(jié)構(gòu)。該系統(tǒng)承載著全院人、財(cái)、物的行政管理和有關(guān)門、急診

病人及住院病人的醫(yī)療事務(wù)處理業(yè)務(wù)，主要包括門診掛號、電子醫(yī)囑和處方、計(jì)

價(jià)收費(fèi)、藥房藥庫管理、住院病人管理、檢驗(yàn)檢查信息管理、病案管理、衛(wèi)生統(tǒng)

計(jì)、物資和固定資產(chǎn)管理等二十兒個緊密耦合的子系統(tǒng)。各子系統(tǒng)必須協(xié)同運(yùn)行,

支持醫(yī)院臨床診療、科研教學(xué)、經(jīng)營決策等方方面面的日常業(yè)務(wù)與管理工作，是

一體化的信息系統(tǒng)。

電子病歷系統(tǒng)(ElectronicMedicalRecord,EMR)以服務(wù)臨床業(yè)務(wù)工作開展

為核心，為全院醫(yī)務(wù)人員、業(yè)務(wù)管理人員、院級領(lǐng)導(dǎo)提供流程化、信息化、自動

化、智能化的臨床業(yè)務(wù)綜合管理平臺。目前醫(yī)院所使用的電子病歷系統(tǒng)為2011

年引進(jìn)的，XX公司開發(fā)的C-S架構(gòu)的結(jié)構(gòu)化的電子病歷系統(tǒng)(TP-EMR)。該系統(tǒng)

基于.NET多層體系結(jié)構(gòu)開發(fā)平臺，采用集中式數(shù)據(jù)庫ORACLE10G、分布式數(shù)據(jù)

庫ACCESS和XML技術(shù)相結(jié)合，完成臨床數(shù)據(jù)的錄入、傳輸、交換、存儲和處理。

目前電子病歷系統(tǒng)的組織實(shí)施、管理維護(hù)、安全防護(hù)均由計(jì)算機(jī)中心管理。

13

3安全需求分析

3.1國家政策需求分析

2007年公安部等四部委聯(lián)合出臺了《信息安全等級保護(hù)管理辦法》，該文件

是在開展信息系統(tǒng)安全等級保護(hù)基礎(chǔ)調(diào)查工作和信息安全等級保護(hù)試點(diǎn)工作基

礎(chǔ)匕由四部委共同會簽印發(fā)的重要管埋規(guī)范，主要內(nèi)容包括信息安全等級保護(hù)

制度的基本內(nèi)容、流程及工作要求，信息系統(tǒng)定級、備案、安全建設(shè)整改、等級

測評的實(shí)施與管理，信息安全產(chǎn)品和測評機(jī)構(gòu)選擇等，為開展信息安全等級保護(hù)

工作提供了規(guī)范保障。

2009年，在全國信息系統(tǒng)安全等級保護(hù)定級工作基礎(chǔ)上，公安部乂印發(fā)了

《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》，開始部署開展信

息系統(tǒng)等級保護(hù)安全建設(shè)整改工作。2009年下半年公安部組織各部委和各行業(yè)

開展了信息安全等級保護(hù)安全建設(shè)整改工作的集中培訓(xùn)，明確了我國信息安全等

級保護(hù)安全建設(shè)整改工作的工作目標(biāo)、工作對象、工作內(nèi)容和要求，并對具體的

工作流程和工作方法提出了指導(dǎo)意見。要求各行業(yè)利用三年時(shí)間，通過組織開展

信息安全等級保護(hù)安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級測評等三項(xiàng)重點(diǎn)工作,

落實(shí)等級保護(hù)制度的各項(xiàng)要求。

衛(wèi)生部于2011年11月分別發(fā)布《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息

安全等級保護(hù)工作的通知》(衛(wèi)辦綜函(2011)1126號)，衛(wèi)生部關(guān)于印發(fā)《衛(wèi)

生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》的通知(衛(wèi)辦發(fā)(2011)85號)。要

求醫(yī)療衛(wèi)生行業(yè)全面開展等級保護(hù)建設(shè)。

3.2安全指標(biāo)與需求分析

xx醫(yī)院核心業(yè)務(wù)系統(tǒng)的安全建設(shè)核心需求即滿足等級保護(hù)的相關(guān)要求，因

此將以滿足等級保護(hù)指標(biāo)為目標(biāo)。根據(jù)定級結(jié)果，整體按三級來管理和建設(shè)。那

么，可以確定需要滿足的等級保護(hù)指標(biāo)如下：

14

單位級安全指標(biāo)(三級)

數(shù)據(jù)安全

安全管理機(jī)構(gòu)人員安全管理安全管理制度網(wǎng)絡(luò)安全物理安全系統(tǒng)運(yùn)維管理系統(tǒng)建設(shè)管理

及備份恢復(fù)

■W??6??iii■號;“1mrmEO數(shù)什

安全意識教管理制

慟位設(shè)置\\\爸份和恢復(fù)4安全審計(jì)4電磁防護(hù)3安全密件處置6安全方案設(shè)計(jì)5

育和培訓(xùn)度

評審和邊界完整性備份與恢復(fù)管安全服務(wù)商選

溝地來合作5人員考核32數(shù)據(jù)保密性22電力供應(yīng)453

修訂檢衣理擇

制定和題就代碼防防盜竊和防

人另￡備3人力離崗35數(shù)據(jù)完里性226變更管理4洌試驗(yàn)收5

發(fā)布范破壞

惡意代碼防范產(chǎn)品采購和使

審核承檢有4人員錄用4訪問控制3防火344

管理用

外都人員訪

授權(quán)和審批\2結(jié)構(gòu)安全7防熱電2環(huán)境管理，1等被測評\

問管理

源拽和安全管

入侵防范防部擊33工器噌施

2理中心3

防木和防潮4介質(zhì)管理e外包軟件開發(fā)4

溫濕度控制!密碼管理1系統(tǒng)備案3

物理訪問控

4設(shè)缶管理5系統(tǒng)定級\

制

物理位優(yōu)的

2陷絡(luò)安全管理8系統(tǒng)交付5

選齊

自行軟件開發(fā)

系統(tǒng)安全管理70

(5)

應(yīng)急預(yù)案管理5

資產(chǎn)管理4

201611825326240

總計(jì)214

15

4信息安全體系框架設(shè)計(jì)

xx醫(yī)院核心業(yè)務(wù)系統(tǒng)安全體系框架分為技術(shù)體系與管理管理體系兩部分。

其中：

?技術(shù)體系參考《設(shè)計(jì)技術(shù)要求》，分為計(jì)算環(huán)境安全、邊界安全、通信

網(wǎng)絡(luò)安全和安全管理中心四部分。同時(shí)滿足《基本要求》中物理安全、

網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等方面技術(shù)指標(biāo)。

?安全管理體系分為安全組織、安全策略、安全建設(shè)和安全運(yùn)維四部分。

16

5管理體系整改方案

5.1安全制度制定解決方案

安全制度是指導(dǎo)xx醫(yī)院核心業(yè)務(wù)系統(tǒng)維護(hù)管理工作的基本依據(jù)，安全管理和維護(hù)管

理人員必須認(rèn)真制定的制度，并根據(jù)工作實(shí)際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和

安全制度實(shí)施細(xì)則，做好安全維護(hù)管理工作。

安全制定的適用范圍是XX醫(yī)院核心業(yè)務(wù)系統(tǒng)捱有的、控制和管理的所有信息系統(tǒng)、

數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境，適用于屬于XX醫(yī)院核心業(yè)務(wù)系統(tǒng)范圍內(nèi)的所有部門。對人員的適用范

圍包括所有與XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應(yīng)用XX醫(yī)院

核心'業(yè)務(wù)系統(tǒng)的相關(guān)工作人員，全部XX醫(yī)院核心業(yè)務(wù)系統(tǒng)范圍內(nèi)容的維護(hù)人員，集成商，

軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時(shí)工，商務(wù)伙伴和使用XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的其他

第三方。

安全策略體系建立的價(jià)值在于：

?推進(jìn)信息安全管理體系的建立

■安全策略和制度體系的建設(shè)

■安全組織體系的建設(shè)

■安全運(yùn)作體系的建設(shè)

?規(guī)范信息安全規(guī)劃、采購、建設(shè)、維護(hù)和管理工作，推進(jìn)信息安全的規(guī)范化和制度

化建設(shè)

5.1.1策略結(jié)構(gòu)描述

信息安全策略為信息安全提供管理指導(dǎo)和支持。XX醫(yī)院核心業(yè)務(wù)系統(tǒng)應(yīng)該制定一套清

晰的指導(dǎo)方針，并通過在組織內(nèi)對信息安全策略的發(fā)布和保持來證明對信息安全的支持與

承諾。

策略系列文檔結(jié)構(gòu)圖：

17

A最I(lǐng)WJ方針

最高方針，綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管

理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

與其它部分的關(guān)系：

所有其它部分都從最高方針引申出來，并遵照最高方針，不與之發(fā)生違背和抵觸。

＞組織機(jī)構(gòu)和人員職責(zé)

安全管理組織機(jī)構(gòu)和人員的安全職責(zé)，包括的安全管理機(jī)構(gòu)組織形式和運(yùn)作方式，機(jī)

構(gòu)和人員的一般責(zé)任和具體責(zé)任。作為機(jī)構(gòu)和員工具體工作時(shí)的具體職責(zé)依照，此部分必

須具有可操作性，而且必須得到有效推行和實(shí)施的。

與其它部分的關(guān)系：

從最高方針中延伸出來，其具體執(zhí)行和實(shí)施由管理規(guī)定、技術(shù)標(biāo)準(zhǔn)規(guī)范、操作流程和

用戶手冊來落實(shí)。

＞技術(shù)標(biāo)