转载 医院等级保护知识与方案.docVIP

转载 医院等级保护知识和方案 原文地址：医院等级保护知识和方案作者：莫明医院等级保护知识和方案 作者Clotus来源青莲网络浏览10/04/251：政策和知识 《信息安全等级保护管理办法》43号文 《计算机信息系统安全保护条例》147号文 《国家信息化领导小组关于加强信息处理安全保障工作的意见》27号文 《关于信息安全等级保护工作的实施意见》66号文 2003年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中，已将信息安全等级保护作为国家信息安全保障工作的重中之重，要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出，信息化发展的不同阶段和不同的信息系统，有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。 之后，一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年，公安部、国家必威体育官网网址局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》(66号文)。2005年国信办下发了《电子政务信息安全等级保护实施指南》(25号文)。2005年底，公安部下发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)，并从2006年1月由全国各级公安机关组织开展了全国范围内各行业、企业信息系统的基础信息调研工作，并先后出台了《信息系统安全保护等级定级指南(试用稿)》、《信息系统安全等级保护基本要求(试用稿)》、《信息系统安全等级保护测评准则(送审稿)》、《信息系统安全等级保护实施指南(送审稿)》等指导性文件。 2：等保知识/业界动态 深圳卫生部门与警方合作保护医院信息系统 上海市已经全面启动 数字化医院话安全(出现过的安全问题) 信息安全与医院业务连续性 安全问题关系到病人的利益，如何保障医院信息安全，确保业务连续性，是各大医院面临的共同挑战。 现在，很多行业正在开展信息安全等级保护的评级和检查工作，医疗卫生行业也是如此。在IT技术日益深入到医院运营管理各方面的今天，信息化建设已经成为医院发展的重要内容，其中，信息安全问题也日益突出。 如今，无论是医务工作者还是病患，每天都需要借助信息系统的辅助支持完成日常工作和就诊。在门诊方面，挂号、收费、发药、护士分诊、大夫看病都是借助门诊信息系统；病房方面，每天大夫查房，开医嘱、护士给患者发药等都借助住院信息系统；患者在医院做化验、照片子等都要借助医院信息系统完成。医院信息系统已经成为医院不可缺少的工具。 在这种情况下，医院信息系统一旦出现问题，整个医院将无法运行，所以说，医院信息系统的安全问题直接关系到病人的利益，医院信息系统出现故障，将造成病人无法就诊、无法及时得到有效的治疗。 确保医院业务连续性 通常，医院信息系统的组成，包括网络、服务器、存储设备、操作系统、数据库、应用软件等。在这个系统中，只要有一个子系统或部件出现故障，都将造成整个系统瘫痪。同时，医院的信息系统和其它行业相比，有其自身的特点所在。 医院信息系统分类多。在医院内部，信息系统有医疗业务信息系统、办公信息系统、科研信息系统、教学信息系统、图书管理信息系统等。在上述信息系统中，对安全性要求最高的是医疗业务信息系统。它是直接为病人服务的，它的可用性直接影响医院业务运行的连续性。 业务连续性要求高。医疗机构的特点是24小时营业，其它行业一般都有停止营业休息时间，而医院没有，医院一年365天每天24小时开门营业。这样对信息系统连续性要求特别高，要求一年365天每天24小时信息系统保持正常运行状态。 系统缺少维护时间。由于医院没有休息时间，信息系统就没有停机检修时间。其它行业为了信息系统的升级改造，可以向社会发布公告，通知社会各界，在预定时间停止营业，这对于医院来说，是无法想像的事情。由于缺少维护时间，造成信息系统很多时间是带故障运行，容易造成信息系统出现灾难性故障。 排除故障时间要求短。由于医院业务连续性要求高，在信息系统出现故障时必须在最短时间内排除故障，恢复正常的医院业务活动。这样就使得排除故障时间越短越好。对于一些特大医院，由于门诊量非常大，在排除故障时间方面要求十分苛刻。 医院独特的信息安全要求。医院在信息安全方面有其独到的要求。对于一般医院，业务信息在抗篡改和一致性保障方面，抗抵赖的电子责任方面要求不是很高。对于医院信息，主要保证患者信息的隐私性，保证信息的可用性，而做到这些从技术角度和可操作性角度来看，难度相对不高。 目前威胁医院信息安全的主要因素是信息系统的故障率、不稳定性和不可用性。要保证信息系统的可用性，需要在网络、服务器、存储设备、数据库、系统病毒防范等各方面从规划、设计、实施、到日常维护等全过程进行控制，以保障医院业务的连续