医院信息安全等级保护建设方案..doc

医院信息系统等级保护 建设方案  1.为什么需要等级保护？ 1.1 什么是等级保护？ 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 1.2 等级保护的重要性 等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决大型组织信息安全问题的一个非常有效的方法。 在医疗行业的信息化建设过程中，信息安全的建设虽然只是一个很小的部分，但其重要性不容忽视。便捷、开放的网络环境，是医疗行业信息化建设的基础，在数据传递和共享的过程当中，数据的安全性要切实地得到保障，才能保障医疗信息化业务的正常运行。然而，我们的数据却面临着越来越多的安全风险，时刻对业务的正常运行带来威胁。 1.3 国家强制性等保要求 国家公安部、必威体育官网网址局、国家密码管理局信息化领导小组办公室861号关于开展全国重要信息系统安全等级保护定级工作的通知《信息安全等级保护管理办法》“等级化安全体系”根据在不同阶段的需求、业务特性及应用重点，用等级化与体系化相结合的安全体系设计方法，一套覆盖全面、重点突出、节约成本、持续运行的安全体系。 系统识别与定级：通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。 安全域设计：根据第一步的结果，通过分析系统业务流程、功能模块，根据安全域划分原则设计系统安全域架构。 安全保障体系框架设计：根据安全域框架，设计系统各个层次的安全保障体系框架（包括策略、组织、技术和运作），各层次的安全保障体系框架形成系统整体的安全保障体系框架。 确定安全域安全要求：参照国家相关等级保护安全要求，设计等级安全指标库。 评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对系统各层次安全域进行有针对性的等级风险评估。 安全技术解决方案设计：针对安全要求，建立安全技术措施库。通过等级风险评估结果，设计系统安全技术解决方案。 安全管理建设：针对安全要求，建立安全管理措施库。通过等级风险评估结果，进行安全管理建设。 通过如上步骤，医院的网络信息系统可以形成整体的等级化的安全保障体系，同时根据安全技术建设和安全管理建设，保障系统整体的安全。 信息系统实施等级保护的过程如图所示： 3.等级保护建设依据 在本次等级保护建设技术方案设计中，参考的主要标准如下： 《计算机信息系统安全保护等级划分准则》（GB17859-1999）（基础标准） 《信息系统安全等级保护基本要求》（报批稿） （基线标准） 《信息系统安全保护等级定级指南》（国标征求意见稿） （辅助标准） 《信息安全等级保护实施指南》（报批稿） （辅助标准） 《电子政务信息安全等级保护实施指南（试行）》 《信息安全技术?信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术?网络基础安全技术要求》（GB/T20270-2006） 《信息安全技术?操作系统安全技术要求》（GB/T20272-2006） 《信息安全技术?数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术?终端计算机系统安全等级技术要求》（GA/T671） 《信息系统安全安全管理要求》（GB/T20269） 《信息系统安全工程管理要求》（GB/T20282） 《信息安全技术?服务器技术要求》 4. 医院等级保护解决方案 4.1系统定级 通过分析医院业务系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度，以及为了更大强度的保证业务系统的安全，我们把XX医院的业务系统按照等级保护的三级标准进行设计，安全解决方案也将依据等级保护三级的具体要求来编写。 4.2安全域设计 根据等级保护相关工作提出的要求，特制定本方案，方案中对医院整个网络实施分区分域的安全域划分，在技术体系方案设计中会详述。根据安全域划分原则设计系统安全域架构，为以有针对性的进行的控制措施提供依据，切实提高系统的安全性、可靠性和可用性 4.3 风险差距分析 针对医院业务系统进行风险差距分析，风险差距分析依据《信息系统安全等级保护基本要求》三级要求包括技术部分和管理部分，如下图： 现根据等级保护三级的具体标准要求，就目前客户现状，制定对应的解决方案。 4.4整体解决方案 4.4.1技术体系方案设计 此次医院的安全建