医院信息系统(HIS)安全等级保护定级报告.pdf

我单位医院信息系统（HIS）

安全等级保护定级报告

定级单位：我单位（盖章）

定级日期：2019.4.12

一、我单位医院信息系统（HIS）系统描述

（一）该于2007年10月12日由我单位立项，某单位研发。目

前该系统由某单位售后负责运行维护。我单位是该信息系统业务的主

管部门，我单位为该信息系统定级的责任单位。

（二）此系统是计算机及其相关的和配套的设备、设施构成的，

是按照一定的应用目标和规则对医院信息系统中间业务信息进行采

集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部

分，第一部分为应用服务器，第二部分为局域网。

在机房的核心区域部署了华为的S5700三层交换机。

在机房的网络中配置了一台与外部网络互联的边界设备：锐捷

RG-WALL1600-S3700防火墙。

（三）该信息系统业务主要包含：利用计算机软硬件技术、网络

通信技术等现代化手段，对医院及其所属各部门的人流、物流、财流

进行综合管理，对在医疗活动各阶段产生的数据进行采集、储存、处

理、提取、传输、汇总、加工生成各种信息，从而为医院的整体运行

提供全面的、自动化的管理及各种服务的信息系统。

包括基础设施、应用系统、服务系统等方面。其中，基础设施涵

盖网络架构、服务器系统、存储系统、机房建设等方面，为应用系统

安全、稳定运行提供支撑；应用系统包括医院管理信息系统和临床信

息系统；服务系统包括客户管理与服务系统和医院网站；此外，还包

括与公共卫生部门、医疗保险、区域协同等外部应用。

二、我单位医院信息系统（HIS）系统安全保护等级的确定

（一）业务信息安全保护等级的确定

1、业务信息描述

医院信息系统中间业务信息包括：代收费情况信息，缴费患者和

其他组织的的个人（单位）信息，欠费情况，病历信息，医学影像信

息等。

2、业务信息受到破坏时所侵害客体的确定（侵害的客体包括：1

国家安全，2社会秩序和公共利益，3公民、法人和其他组织的合法

权益等共三个客体）

该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织

的合法权益。

侵害的客观方面（客观方面是指定级对象的具体侵害行为，侵害

形式以及对客体的造成的侵害结果）表现为：一旦信息系统的业务信

息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破

坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损

害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不

良影响，引起法律纠纷等。

3、信息受到破坏后对侵害客体的侵害程度（即上述分析的结果

的表现程度）

上述结果的程度表现为严重损害，即工作职能受到严重影响，业

务能力显著下降，出现较严重的法律问题，较大范围的不良影响等。

4、确定业务信息安全等级

查《定级指南》表2知，业务信息安全保护等级为第二级。

对相应客体的侵害程度

业务信息安全被破坏时所侵害的

一般损害严重损害特别严重

客体

损害

公民、法人和其他组织的合法权第一级第二级第二级

益

社会秩序、公共利益第二级第三级第四级

国家安全第三级第四级第五级

（二）系统服务安全保护等级的确定

1、系统服务描述

该系统属于医疗服务的信息系统，其服务范围为全县范围内的普

通公民、机构等。

2、系统服务受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织

的