等级保护二级建设方案-医卫行业..docx

医疗卫生行业等级（二级）保护建设方案 华创科技2013年12月22日日期版本创建者修改者发布者级别2013/12/1V1.0目录医疗卫生行业等级（二级）保护建设方案1一、项目概述3二、政策要求3三、方案目标与范围5四、方案设计依据6五、信息安全二级-技术方案6物理安全7网络安全10主机安全13应用安全16数据安全及备份恢复20六、信息安全二级-管理方案21安全管理制度22安全管理机构23人员安全管理23系统建设管理23系统运维管理24七、安全服务平台257.1安全运维服务的特点267.1.1满足信息系统等级保护要求267.1.2遵循ISO20000和ITILv3277.2安全服务平台的内容287.2.1资产管理287.2.2事件管理297.2.3工单管理31项目概述 项目简单介绍……..随着医疗信息系统HMIS应用范围不断推广扩大，我国许多医院建立了以院长为中心的医院信息网络化管理决策机制，并将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起，医院信息化管理系统通过网络覆盖医院的每个部门，涵盖病人来院就诊的各个环节。 然而，在信息安全方面，我国的医院信息安全建设尚处于初级阶段，信息安全的认识、投入上更是淡漠，重投入轻防护，信息系统安全问题频频告急，严重影响到医院正常运行。应该说，基础信息网络与重要信息系统的作用日益增强，已成为国家和社会发展、人民生活需要的重要资源。保障基础网络和重要信息系统安全，更好地维护国家安全、保障社会稳定和人民经济生活的需要，是信息化发展中必须解决的重大问题。政策要求等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性工作。通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法。信息安全等级保护对组织信息安全具有重大的意义。 1994年国务院发布的147号令《中华人民共和国计算机信息系统安全保护条例》首次提出计算机信息系统实行安全等级保护以来，多项国家文件和政策均提到了等级保护工作的重要性。1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999《计算机信息系统安全等级保护划分准则》，为等级保护这一安全国策给出了技术角度的诠释。 2003年中共中央办公厅、国务院办公厅联合转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年公安部、国家必威体育官网网址局、国家密码管理局、国务院信息办联合印发了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），明确了信息安全等级保护制度的主要工作方向和工作内容，规定了等级保护实施的具体步骤和时间表。 2007年6月，四部委联合下发《信息安全等级保护管理办法》（公通字[2007]43号），标志着等级保护的全面推广落实。43号文明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务等。同时，四部委联合下发了“关于开展全国重要信息系统安全等级保护定级工作的通知”（公信安[2007]861号），全面部署了全国范围内的重要信息系统定级工作。 ?近年来信息安全等级保护工作取得的了一定成效，初步建立了一系列执行标准：《信息系统安全等级保护定级指南》 ，《信息系统安全等级保护基本要求》；《信息系统安全等级保护实施指南》，《信息系统等级保护安全设计技术要求 》；《信息系统安全等级保护测评要求》 ，《信息系统安全等级保护测评指南》等。 ?2007年下半年开始，全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作，到现在为止定级工作基本上已经在重要行业初步完成，全面进入整改阶段。 2011年卫生部发布《卫生行业信息安全等级保护工作的指导意见》对医疗卫生行业等级保护相关工作提出了进一步的、明确的要求，并指出该项工作的重要性与迫切性。?在国家大力推行信息安全等级保护制度的背景下，华创科技长期深度参与、密切跟踪国家等级保护相关政策，并作为信息安全企业的代表参与了等级保护相关标准的起草编制工作，在等级保护的定级、整改、评估等多项工作中积累了丰富的经验。在此基础上，华创科技推出了等级保护整体解决方案，为用户提供等级保护咨询服务，依据国家等级保护相关要求，结合信息系统安全建设最佳实践，紧跟国家等级保护的具体实施步骤，为客户提供多种类型的咨询服务、整体安全解决方案、基于等级保护的安全服务平台（SSP）、入