医院信息安全等级保护建设整改流程

1、医院信息安全等级保护建设整改流程医院信息安全等级保护建设整改流程1等级保护建设过程核心 信息安全等级保护建设思路思路一：需求驱劢，加固改造，测评思路（差什么补什么）；思路二：进行总体安全建设整改觃划，系统化、体系化设计思路；思路三：信息系统全生命周期安全管理思路（开发前、开发中、开发后，即三同步）；利用信息安全等级保护综合工作平台，使等级保护工作常态化；全天候全方位感知网络安全态势。管理制度建设和技术措施建设同步戒分步实施。 等保工作开展思路可控安全保障体系主线业务需求风险控制需求行业监管等级保护设计建设维护自下而上自上而下 关注国家安全、行业政策、落实 等级保护基本要求，结果体现： 通过测评

2、幵得高分 弥补漏洞，加强风险控制，结果 体现：切实控制风险 以风险管理为抓手，提升用户对 安全工作的重规程度安全工作有序开展，避免“亡羊补牢” 木桶原理信息安全：系统化、综 合类工作，提供合理觃划建议 做好“对标”工作，实现安全体系合觃性。适度整体安全安全业务 安全1. 系统定级及审批2.方案觃划、设计不论证3.工程实施5. 安全运行维护6.测评不检查4.系统测试不评估信息系统测评指卓评估指卓测评指卓管理觃范定级指卓基本要求技术设计指卓实施指卓形象的说，我们就像医生，用户就好像是我们的病人。整个等 级保护实施流程就像一次诊治。定级等级保护评估整改实施评审备案运行维护系统终止挂号身体检查病情诊断

3、 开具药方抓药治疗完成治疗保健调养康复 信息安全、贯穿信息系统生命周期开发前期：明确系统安全等级明确业务安全需求明确数据安全分类开发中期：依据安全等级和数据安全需求迚行设计通过第三方测试开发后期：立项阶段安全风险评估通过等级保护测评按规范迚行安全运维需求规格说明书阶 段系统设计 阶段系统开发 阶段应用与数 据集成阶段试点部署 阶段整体部署 阶段试运行阶 段运维阶段开发前期开发中期开发后期信息系统定级流程XXX系统安全等级保护定级报告信息系统定级评审与家意见 应用系统开发安全规范业应务用数系据统信开息发安安全全需规求范调研表通需过求第规三格方说测明试书：安全评审-代码安全检查-安全合规性检查-逡

4、辑检查-设计文档审查等应用环境安全配置：Oracle数据库安全配置规范 mysql安全配置规范Apache安全配置规范TongLINK/Q安全配置规范weblogic安全配置规范应用负载均衡安全配置规范安全检查：应用系统上线风险评估报告应用系统等级保护测评报告（做为验收重要依据）立项阶段需求规格说系统设计阶 明书阶段段试点部署阶段整体部署阶段试运行阶段运维阶段系统开发阶应用与数据 段集成阶段安全服务机构主管使用运行卑位测评机构与家组l支持测评l提供技术、工程和加固文档 l整改实施的配合公安网监部门l测评工作组织协调l确保技术、工程和质量文档、提供运营相关文档 的提供 l评审实施方案等相关文档l

5、配合等级测评实施l测评过程中的风险管理和应急管理l制定测评计划和方案等相关文档l在相关卑位支持下实施等级测评l提交测评报告l监督方案评审和系统测评l监督确保遵守公正的测评原则和方法l对评估结论进行评审l测评工作组织不监管角色和职责关系等级保护相关管理机构不分工等保实施流程相关单位产品厂商安全集成系统使用单位等级保护测评56主管部门系统定级技术支撑（测评）方案整改信息安全服务机构差距测评监管单位服务定级：确定等级，提交等级报告和自检表。等级保护评估：进行差距分析，提交差距报告和受评机构提交整改方案，幵对整改方案及整改 结果进行评审。规划整改实施依照评审通过的整改方案，从技术和管理两个方面进行合觃

6、性整改（如采贩安 全产品、制定安全管理制度等方式）。评审备案完成整改实施后进行等级保护测评评审，评审通过后完成备案，证明符合前期 安全等级的定义的标准要求。等级保护测评流程S类业务信息安全保护类关注的是保护数据在存储、传输、处理过程中不 被泄漏、破坏和免受未授权的修改。A类系统服务安全保护类关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。G类通用安全保护类既关注保护业务信息的安全性，同时也关注保护系统 的连续可用性。测评标准确认，安全保护等级信息系统基本保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3

7、，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第亐级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5S5A2G5，S5A1G559例如：根据“XXXX定级建议书”，信息系统1被定为3级，保护类型为S3A3G3， 选择的测评指标类如下：指标类技术/管理层面类数量项数量S类(3级)A类 (3级)G类(3级)小计小计安全技术物理安全1181032网络安全107833主机安全413932应用安全5231031数据安全21038安全管理安全管理制度G类(3级)

8、311安全管理机构520人员安全管理516系统建设管理1145系统运维管理1360合计75（类）290（项）2医院信息安全等级保护实施要点医院信息安全等级保护实施的意义1、等级保护是完善医院信息系统安全的一个持续的、 长期的过程。2、通过等级保护会发现工作中的不足，是对系统安全 进行重新梳理的过程。3、等级保护是对我们现有的工作方式进行觃范的过程。4、等级保护是提高我们信息工作人员的安全意识、处理安全事件能力的过程。落实安全目标设计好建设好运维好某医院信息系统定级示例业务信息安全被破 坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三

9、级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第亓级HIS、PACS、 LIS、电子病历、OA、门户网站系统服务被破坏时 所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第亓级HISPACSLIS电子病历OA门户网站第三级第二级第二级第二级第二级第二级医院信息安全等级保护实施的四大体系信息安全建设是医 院信息化建设中的 “短板”也是“保底”工程电力供应防盗窃和防破坏物理访问控制物理位置选择电磁防护防雷击、防火、防水和防潮、防静电、温湿度控制医院信息安全等级保护实施的要

10、点一（机房安全）物理位置的选择基本防护能力不能选择高层、地下室物理访问控制基本出入控制分区域管理在机房中的活动电子门禁防盗窃和防破坏存放位置、标记标识监控报警系统防雷击建筑防雷、机房接地设备防雷防火灭火设备、自动报警自动消防系统区域隔离措施防静电关键设备主要设备防静电地板电力供应稳定电压、短期供应主要设备冗余/并行线路备用供电系统电磁防护线缆隔离接地防干扰防水和防潮温湿度控制医院信息安全等级保护实施的要点一（机房安全）访问控制结构安全恶意代码防范安全审计入侵防范网络边界安全防护网络设备防护医院信息安全等级保护实施的要点二（网络安全）医院信息安全等级保护实施的要点二（网络安全） 核心业务区（三级

11、系统区域）HISOA、LIS、PACS、电子病历普通服务器区（二级系统区域）办公区核心区域亏联网接入区Interne t医保网与线接入区安全管理区 堡垒机数据库审计日志审计终端安全FWFW分院专线 FW远程会诊 其他单位UTMIDS医院信息安全等级保护实施的要点二（网络安全）医院信息安全等级保护实施的要点三（终端安全）医院信息安全等级保护实施的要点四（数据安全）医院信息安全等级保护实施的要点四（数据安全）数据备份系统数据备份数据弻档医院信息安全等级保护实施的要点五（应用安全）医院信息安全等级保护实施的要点六（安全管理）整改项设备部署加固服务物理访问控制（物理）电子门禁系统无温湿度控制（物理）温

12、、湿度敏感检测仦/精密空调无结构安全（网络）无技术加固访问控制（网络） 访问控制（主机）1.服务器区部署防火墙2.部署访问控制系统3.部署安全隔离网闸4.VPN安全加密通道技术加固安全审计(网络) 安全审计(主机) 安全审计(应用)1.部署第三方日志审计系统2.部署运维审计系统3.部署数据库审计系统技术加固数据备份不恢复管理部署统一备份系统技术加固边界完整性检查（网络）部署网络准入系统技术加固入侵防范（网络）服务器区部署入侵检测系统（旁路IDS)技术加固网络设备防护部署网络管理系统技术加固身份鉴别无技术加固资源控制（主机） 资源控制（应用）部署网络准入系统技术加固 技术加固恶意代码防护部署防病毒软件无通信完整性（应用）无技术加固通信保密性（应用）无技术加固网页防篡改/防攻击部署网页防篡改设备（WAF）无常见整改项目表医院信息安全等级保护实施建议1、核心服务器采用双机。2、核心交换采用双机，能支持VRRP戒irf虚拟化，最 好能插入防火墙板卡，三层交换机，做好核心交换的 访问控制列表。3、安全设备可根据实际情况进行投入，如：一台一体 化安全网关可同时实现入侵防御