谈我院信息安全等级保护建设工作.pdfVIP

谈我院信息安全等级保护建设工作 ◆王 磊 摘要：随着信息安全等级保护工作的不断深化，已延伸到医疗卫生行业。卫计委要求三级医院核 心业务系统定级不低于第三级。本文结合医院实际，介绍了医院信息安全等级保护工作的建设，阐明 了信息系统的定级、备案、整改、测评四个实施步骤，以供大家探讨。 关键词：医院信息安全；等级保护工作；等级测评 一、引言 支队，同时也是我市信息安全等级保护工作领导小组办公室， 提交了定级报告与备案表。 随着我国信息化建设的快速发展与广泛应用，信息安全 2．2安全建设与整改嘲。在完成定级备案后，就要结合 的重要性愈发突出。在国家重视信息安全的大背景下，推出 医院实际，分析信息安全现状，进行合理规划与整改。 了信息安全等级保护制度。为统一管理规范和技术标准，公 2．2．1等保差距分析与风险评估。了解等级保护基本要求。 安部等四部委联合发布了《信息安全等级保护管理办法》(公 《信息系统安全等级保护基本要求》分别从技术和管理两方 通字[2007143号)。随着等级保护工作的深人开展，原卫生 面提出了基本要求。基本技术要求包括五个方面：物理安全、 部制定了《卫生行业信息安全等级保护工作的指导意见》(卫 网络安全、主机安全、应用安全和数据安全，主要是由在信 办发[2011185号)，进一步规范和指导了我国医疗卫生行业 息系统中使用的网络安全产品(包括硬件和软件)及安全配 信息安全等级保护工作，并对三级甲等医院核心业务信息系 置来实现；基本管理要求也包括五个方面：安全管理制度、 统的安全等级作了要求，原则上不低于第三级。 安全管理机构、人员安全管理、系统建设管理和系统运维管 从《关于信息安全等级保护工作的实施意见》中可知信 理，主要是根据相关政策、制度以及规范流程等方面对人员 息安全等级保护对象是国家秘密信息、法人和其他组织以及 活动进行约束控制，以期达到安全管理要求H。 公民的专有信息和公开信息。对信息系统及其安全产品进行 技术类安全要求按保护侧重点进一步划分为三类：业务 等级划分，并按等级对信息安全事件响应”1。 信息安全类(S类)、系统服务安全类(A类)、通用安全 保护类(G类)。如受条件限制，可以逐步完成三级等级保护， 二、医院信息安全等级保护工作实施步骤 A类和S类有一类满足即可，但G类必须达到三级，最严格 2．1定级与备案【2】。根据公安部信息安全等级保护评估 的G3S3A3控制项共计136条蛳。医院可以结合自身建设情况， 中心编制的《信息安全等级保护政策培训教程》，有两个定 选择其中一个标准进行差距分析。 级要素决定了信息系统的安全保护等级，一个是等级保护对 管理方面要求很严格，只有完成所有的154条控制项， 象受到破坏时所侵害的客体，另外一个是对客体造成侵害的 达到管理G3的要求，才能完成三级等级保