信息安全整改措施

本文格式为Word版下载后可任意编辑和复制第第页信息安全整改措施

XX医院信息平安等级爱护

XX医院信息平安等级爱护

建设整改方案

福建星网锐捷网络有限公司

版权全部侵权必究

修

订记

录

目

1录

2

3概述41.1目的41.2等级平安体系设计目标41.2.1总体目标51.2.2平安技术体系目标5平安需求分析62.1现状分析62.1.1网络体系现状62.1.2平安体系现状62.1.3应用系统现状72.2平安风险威逼分析82.3平安问题总结82.3.1网络平安问题82.3.2主机平安问题92.3.3应用系统和数据平安92.3.4平安保障92.4平安需求总结92.4.1身份鉴别与访问掌握92.4.2病毒的防治错误！未定义书签。2.4.3平安审计错误！未定义书签。2.4.4平安管理错误！未定义书签。

等保平安体系总体设计9

3.1等级爱护体系概述错误！未定义书签。

3.2等级化平安体系设计方法错误！未定义书签。

3.33.2.111

分域爱护框架建立错误！未定义书签。

4

53.3.111整改方案总结错误！未定义书签。

附录：资产清单列表错误！未定义书签。

概述

1.1编制背景

随着医疗卫生体制改革的不断深化，卫生行业信息化应用不断普及。医院信息系统已成为医疗服务的重要支撑体系。医院信息系统的平安性直接关系到医院医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。同时，医院信息系统涉及大量医院经营和患者医疗等私密信息，信息的泄露和传播将会给医院、社会和患者带来平安风险。

为贯彻落实国家信息平安等级爱护制度，根据《卫生部关于印发〈卫生行业信息平安等级爱护工作的指导意见〉的通知》要求，XX医院乐观开展等级测评工作。医院信息系统是支撑医院系统运作及各部门共同合作与营运的关键应用，承载着医院主要的业务数据。通过信息系统等级爱护定级和平安测评工作，提前发觉信息系统中存在的平安风险和漏洞，据此提出信息系统平安等级爱护整改和解决方案，避开平安大事对业务工作带来损失；完善信息系统平安管理制度，提升信息系统平安管理水平。

1.2编制目的

依据XX医院网络系统的现状和将来的应用需求，并结合等级化爱护的相关要求，而制定针对性的技术方案与管理方案，为XX医院信息系统的等级化平安体系改造和加固供应参考和实施依据。本方案将主要阐述和针对XX医院网络系统的改造和信息平安体系的规划设计。

主要内容为XX医院信息系统的总体信息平安体系平安改造，包括以下几个方面：

?

?

?

?

?建设XX医院网络平安基础设施；XX医院信息系统的边界平安爱护；XX医院信息系统的计算环境平安爱护；建立XX医院信息系统的平安管理和运维体系。

1.3等级平安体系设计目标

依据对XX医院信息系统的全面了解，并结合国家的相关政策标准，XX医院网络系统的信息平安建设目标如下。

4

1.3.1总体目标

为了落实《卫生行业信息平安等级爱护工作的指导意见》（卫办发〔2022〕85号）和《关于全面开展卫生行业信息平安等级爱护工作的通知》（卫办综函[2022]1126号），实施符合国家标准的平安等级爱护体系建设，通过对XX医院网络系统的平安等级划分，确保XX医院网络的核心信息资产的平安性，从而使重要信息系统的平安威逼最小化，达到网络信息平安投入的最优化。最终实现如下总体平安目标：

（1）依据信息系统所包括的信息资产的平安性、信息系统主要处理的业务信息类别、信息系统

服务范围以及业务对信息系统的依靠性等指标，来划分信息系统的平安等级。

（2）通过信息平安需求分析，推断信息系统的平安爱护现状与《信息平安技术信息系统平安等

级爱护基本要求》之间的差距，确定平安需求，然后依据信息系统的划分状况、信息系统定级

状况、信息系统承载业务状况和平安需求等，设计合理的、满意等级爱护要求的总体平安方案，

并制定出平安实施规划，以指导后续的信息系统平安建设工程实施。

（3）达到公安部关于信息系统平安等级爱护相关要求。

1.3.2平安技术体系目标

根据信息系统平安等级爱护关于信息系统在物理、网络平安运行、信息保密和管理等方面的总体要求，科学合理评估信息系统当前存在的风险，帮助其合理确定平安爱护等级，在此基础上科学规划设计一整套完整的平安体系改造加固方案。

该平安体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不行抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计”。

详细包括：

（1）保障基础设施平安，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

（2）保障网络连接平安，保障网络传输中的平安，尤其保障网络边界和外部接入中的平安。

（3）保障计算环境的平安，保障操作系统、数据库、服务器、用户终端及相关商用产品的平安。

（4）保障应用系统平安，保障应用程序层对网络信息的保密性、完整性和信源的真实的爱护和

鉴别，防止和抵挡各种平安