医院落实国家信息安全等级保护制度的具体措施

1、医院落实国家信息安全等级保护制度的具体措施一、信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作， 在中国、美国等很多国家都存在的一种信息安全领域的工作。 在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、 法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护， 对信息系统中使用的信息安全产品实行按等级管理， 对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。二、工作目标信息系统运营使用单位在做好信

2、息系统安全等级保护定级备案工作基础上，按照国家有关规定和标准规范要求， 开展信息安全等级保护安全建设整改工作。通过落实安全责任制，开展管理制度建设、技术措施建设， 落实等级保护制度的各项要求， 使信息系统安全管理水平明显提高， 安全保护能力明显增强， 安全隐患和安全事故明显减少，有效保障信息化健康发展， 维护国家安全、社会秩序和公共利益。三、工作内容信息系统运营使用单位在开展信息安全等级保护安全建设整改工作中，应按照国家有关规定和标准规范要求，坚持管理和技术并重1的原则，将技术措施和管理措施有机结合， 建立信息系统综合防护体系，提高信息系统整体安全保护能力。我院依据国家信息安全等级保护度（二级

3、），落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、 应用安全和数据安全 等安全保护技术施。四、等级划分信息安全等级保护信息安全等级保护管理办法规定，国家信息安全等级保护坚持自主定级、 自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、 经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安

4、全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害， 或者对社会秩序和公共利益造成损害， 但不损害国家安全。第三级，信息系统受到破坏后， 会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后， 会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。2第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。五、安全保护能力目标各级信息系统应通过安全建设达到以下安全保护能力目标：第一级信息系统： 经过安全建设整改， 信息系统具有抵御一般性攻击的能力，防范常见计算机病毒和恶意代码危害的能力； 系统遭到损

5、害后，具有恢复系统主要功能的能力。第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力， 抵抗一般的自然灾害的能力， 防范一般性计算机病毒和恶意代码危害的能力； 具有检测常见的攻击行为， 并对安全事件进行记录的能力； 系统遭到损害后， 具有恢复系统正常运行状态的能力。第三级信息系统： 经过安全建设整改， 信息系统在统一的安全保护策略下具有抵御大规模、 较强恶意攻击的能力， 抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力； 在系统遭到损害后， 具有能够较快

6、恢复正常运行状态的能力； 对于服务保障性要求高的系统， 应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。第四级信息系统： 经过安全建设整改， 信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力， 抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力； 具有检测、3发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力； 对于服务保障性要求高的系统， 应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。第五级安全保护能力：（略

7、）。六、实施原则信息系统安全等级保护实施过程中，遵循以下四条基本原则：自主保护原则： 信息系统运营、 使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级， 自行组织实施安全保护。重点保护原则： 根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统， 实现不同强度的安全保护， 集中资源优先保护涉及核心业务或关键信息资产的信息系统。同步建设原则： 信息系统在新建、 改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施， 保障信息安全与信息化建设相适应。动态调整原则： 要跟踪信息系统的变化情况， 调整安全保护措施。由于信息系统的应用类型、

8、 范围等条件的变化及其他原因， 安全保护等级需要变更的， 应当根据等级保护的管理规范和技术标准的要求， 重新确定信息系统的安全保护等级， 根据信息系统安全保护等级的调整情况，重新实施安全保护。4七、信息安全等级保护计划依据我院信息等级保护现状制定以下原则、计划1、原则：遵循重点保护原则，准备对我院重点信息系统进行保护，系统有：HIS 系统、电子病历系统、 PACS 系统、LIS 系统。其他信息系统于以上系统在物理安全、网络安全、制度安全同样适用，因此采用自主保护原则实行保护。2、计划：计划用三年左右的时间对我院信息系统，按照等级保护目标、内容、二级甲等医院信息等级保护要求、实施原则，实施信息安

9、全等级保护制度。2014 年年末首先对 HIS 系统进行信息等级保护评测， 2015 年安排对电子病历系统进行评测， 2016 年安排对 PACS 系统、 LIS系统进行评测。八、信息安全等级保护工作实施措施（一）、加强领导设立以分管院长为核心的信息安全领导小组， 领导小组办公室设在信息科科，由 * 同志兼任主任， * 同志负责具体工作。（二）、工作步骤及任务1、做好系统定级工作。 定级系统包括 HIS 系统、电子病历系统、PACS系统、 LIS 系统。定级标准按二级甲等医院和 * 公安局要求定级。2、做好系统备案工作。按照市卫生系统信息安全等级保护划分5定级要求，对信息系统进行定级后，将本单

10、位信息系统安全等级保护备案表信息系统定级报告和备案电子数据报* 公安局。3、做好系统等级测评工作。完成定级备案后，选择县公安局推荐的等级测评机构， 对已确定安全保护等级信息系统，按照国家信息安全等级保护工作规范和 信息安全技术信息系统安全等级保护基本要求等国家标准开展等级测评。4、完善等级保护体系建设做好整改工作。按照测评报告评测初稿结果，对照信息系统安全等级保护基本要求等有关标准，组织开展等级保护安全建设整改工作。5、整改结束后，及时将整改结果反馈到评测机构，由评测机构出据评测报告，及时将测评机构出具的信息系统等级测评报告向公安局报备。* 医院信息科2014-11其中专业理论知识内容包括：保

11、安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的安全生产目标责任书为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015 年度安全生产目标的内容，现与财务部 签订如下安全生产目标：6一、目标值：、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。、现金安全保管，不发生盗窃事故。、每月足额提取安全生产费用，保障安全生产投入资金的到位。、安全培训合格率为 100%。二、本单位安全工作上必须做到以下内容：、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不

12、发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。、在公司及政府的安全检查中杜绝各类违章现象。、组织本部门积极参加安全检查，做到有检查、有整改，记录全。、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。、虚心接受员工提出的问题，杜绝不接受或盲目指挥；9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提