2023医疗机构信息系统等级保护定级工作指南

医疗机构信息系统等级保护定级工作指南目 录前 言 III医疗机构信息系统等级保护定级工作指南 1范围 1规范性引用文件 1术语和定义 1网络安全（cybersecurity） 1等级保护对象（targetofclassifiedprotection） 1受侵害的客体（objectofinfringement） 2基本原则 2定级原理及流程 2定级原理 2定级过程 35.2.1确定定级对象 35.2.2确定受侵害客体 45.2.3对客体的侵害程度 55.2.4初步确定等级 55.2.1外部专家评审 65.2.1主管部门审核 6附5.2.2录A公安机关备案 6（资料性）定级对象表 7附录B（规范性）信息系统定级指引 9附录C（资料性）信息系统安全等级保护定级报告模板 11IIPAGEPAGE11PAGEPAGE10医疗机构信息系统等级保护定级工作指南范围本标准给出了广东省各级各类医疗机构非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程。本标准适用于指导各级各类医疗机构开展非涉及国家秘密的等级保护对象的定级工作。规范性引用文件GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GB/T22240-2020《信息安全技术网络安全等级保护定级指南》GB/T25058-2019《信息安全技术网络安全等级保护实施指南》《医院信息化建设应用技术指引》《全国医院信息化建设标准与规范(试行)》《医院信息互联互通标准化成熟度测方案》《医院分级管理标准》术语和定义GB/T25069-2022界定的以及下列术语和定义适用于本文件。网络安全（cybersecurity）通过采取必要的措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。等级保护对象（targetofclassifiedprotection）（受侵害的客体（objectofinfringement）受法律保护的等级保护对象受到破坏时所侵害的社会关系。（本标准中简称“客体”）。基本原则法规遵从原则适时调整原则重点保护原则分域保护原则定级原理及流程定级原理根据国家GB/T22240-2020《信息安全技术网络安全等级保护定级指南》的规定，医疗机构信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。定级过程医疗机构信息系统定级工作的一般流程如图1定级流程图所示：图1定级流程图确定定级对象（科医院患A《定级对象表》。确定受侵害客体侵害国家安全的事项包括以下方面：影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益；影响国家重要的安全保卫工作；影响国家经济竞争力和科技实力；其他影响国家安全的事项。侵害社会秩序的事项包括以下方面：影响医疗机构社会管理和公共服务的工作秩序；影响医疗机构类型的经济活动秩序；影响医疗机构的科研、生产秩序；影响公众在法律约束和道德规范下的正常生活秩序等；其他影响社会秩序的事项。影响公共利益的事项包括以下方面：影响社会成员使用医疗机构；影响社会成员获取公开信息资源；影响社会成员接受公共服务等方面；其他影响公共利益的事项。影响公民、法人和其他组织的合法权益：对客体的侵害程度一般损害严重损害特别严重损害初步确定等级1BC.1定级要素与安全保护等级的关系表受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级5.2.1 外部专家评审主管部门审核各级医疗机构根据专家评审意见，报送各级卫生健康委员会（局）；公安机关备案（市附 录 A（资料性）定级对象表序号信息系统分类定义1临床服务系统门急诊挂号系统、门诊医生工作站、分诊管理系统、住院病人入出转系统、住院医生工作站、住院护士工作站、电子化病历书写与管理系统、统、康复治疗系统、专科电子病历系统（眼科、产科、口腔等）2医疗管理系统/传染病管理系统、科研管理系统、病案管理系统、导诊管理系统、危急GCP不良事件报告系统3运营管理系统DRG理系统、OA、办公系统、投诉管理系统、客户服务管理系统4集成平台3605上级和医院间的信息共享、区域一卡通、区域远程医疗、区域医疗公众服务、双向转诊、区域病理共享、区域检验共享、区域影像共享6接入外部机构的系统CDC（疾控中心上报平台或监管平台注：为方便管理，上述对象可合并管理的，建议合并定级。附 录 B（规范性）受侵害客体业务信息安全赋值表B.1受侵害客体业务信息安全赋值表受侵害客体损害程度赋值国家安全不适用-社会秩序、公共利益一般2严重3特别严重4公民、法人和其他组织的合法权益一般、严重、特别严重1各医疗机构结合定级对象被侵害后影响的受侵害客体进行赋值。受侵害客体系统服务安全赋值B.2。表B.2系统服务安全赋值表服务对象影响范围医院级别赋值公共服务临床服务系统、集成平台一级1二级2三级3公共服务系统一级1二级2三级2组织内部全院级运营管理系统、接入上级信息平台一级1二级1三级2科室级运营管理系统一级1二级1三级1（市（一级及二级运行的集中部署信息系统，应参照三级医院级别按不同影响范围进行取值。初步确定等级根据受侵害客体业务信息安全数值与受侵害客体系统服务安全数值情况，取最高值确定保护对象等级。定级对象取值=max{受侵害客体业务信息安全数值,受侵害客体系统服务安全数值}。最终根据表B.3初步确定定级对象等级。表B.3定级对象值与定级对象等级关系表定级对象数值定级对象等级4第四级3第三级2第二级1第一级附 录 C（资料性）信息系统安全等级保护定级报告模板B.1信息系统安全等级保护定级报告一、XXX信息系统描述IP）XXX（（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。3、信息受到破坏后对侵害客体的侵害程度的确定4、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。（二）系统服务安全保护等级的确定1、系统服务描述描述信息系统的服务范围、服务对象等。2、系统服务受到破坏时所侵害客体的确定（3、系统服务受到破坏后