優(yōu)勝?gòu)倪x擇開(kāi)始,我們是您最好的選擇!—— 中州期刊聯(lián)盟(新鄉(xiāng)市博翰文化傳媒有限公司)

淺析某醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)方案

作者:龍智勇來(lái)源:《企業(yè)科技與發(fā)展》日期:2018-07-05人氣:3877

隨著醫(yī)院信息化建設(shè)的不斷深入,信息系統(tǒng)的正常穩(wěn)定運(yùn)行已經(jīng)成為醫(yī)院醫(yī)療業(yè)務(wù)正常開(kāi)展的基礎(chǔ)條件;衛(wèi)計(jì)委及有關(guān)部門(mén)以指導(dǎo)意見(jiàn)、管理辦法、保護(hù)措施等方式下文明確要求三級(jí)醫(yī)院核心業(yè)務(wù)系統(tǒng)安全定級(jí)不低于第三級(jí)。本文從醫(yī)院實(shí)際情況出發(fā),對(duì)應(yīng)用系統(tǒng)摸底調(diào)查、初步定級(jí)、整改方案、回歸性測(cè)試、備案等實(shí)施步驟進(jìn)行闡述。

1 項(xiàng)目背景

針對(duì)醫(yī)院信息安全現(xiàn)狀及安全形勢(shì),根據(jù)《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))、《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))、《湖南省衛(wèi)生行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施方案》(湘衛(wèi)辦發(fā)[2012]28號(hào))等文件與法規(guī)的要求,并結(jié)合當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的需要,對(duì)醫(yī)院重要業(yè)務(wù)系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估很有必要性。通過(guò)深入評(píng)價(jià)重要業(yè)務(wù)系統(tǒng)的信息安全等級(jí)保護(hù)情況、了解目前業(yè)務(wù)系統(tǒng)的安全狀況和存在的安全風(fēng)險(xiǎn)程度,提出全面的整改建議方案,實(shí)施安全加固與安全整改建設(shè),加強(qiáng)醫(yī)院信息系統(tǒng)防攻擊、防篡改、防病毒、防竊密、防癱瘓“五防”能力的建設(shè),將切實(shí)提高醫(yī)院信息系統(tǒng)安全保障能力,促進(jìn)醫(yī)院信息化工作的健康發(fā)展。

2 現(xiàn)狀分析

該醫(yī)院是湖南省首家三級(jí)甲等中醫(yī)醫(yī)院,“七五”期間全國(guó)七所重點(diǎn)建設(shè)的中醫(yī)院之一,2008年12月入選國(guó)家中醫(yī)臨床研究基地,2013年7月入選全國(guó)中醫(yī)醫(yī)院信息化示范單位。其醫(yī)院信息化建設(shè)涵蓋HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)、EMR系統(tǒng)、成本核算系統(tǒng)、省市醫(yī)保系統(tǒng)、OA系統(tǒng)、湖南省中醫(yī)藥數(shù)據(jù)中心等60多個(gè)業(yè)務(wù)子系統(tǒng)。醫(yī)院有三套物理隔離的網(wǎng)絡(luò):醫(yī)院內(nèi)部辦公網(wǎng)絡(luò)(外網(wǎng))、醫(yī)院內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)(內(nèi)網(wǎng))、湖南省中醫(yī)藥數(shù)據(jù)中心專(zhuān)網(wǎng)(專(zhuān)網(wǎng))。

3 信息系統(tǒng)安全等級(jí)測(cè)評(píng)方案設(shè)計(jì)

3.1 測(cè)評(píng)步驟

信息系統(tǒng)安全等級(jí)測(cè)評(píng)工作可分為六個(gè)階段,如圖2所示。

定級(jí)準(zhǔn)備階段:工作包括醫(yī)院項(xiàng)目啟動(dòng)、組織機(jī)構(gòu)成立、基礎(chǔ)信息及系統(tǒng)資料收集、測(cè)評(píng)所需工具準(zhǔn)備等。

摸底調(diào)查階段:主要包括三個(gè)方面的工作:通過(guò)對(duì)醫(yī)院業(yè)務(wù)子系統(tǒng)的梳理,根據(jù)各子系統(tǒng)在醫(yī)院業(yè)務(wù)中的重要性不同確定哪些子系統(tǒng)做為測(cè)評(píng)對(duì)象以及測(cè)評(píng)等級(jí);結(jié)合各子系統(tǒng)具體情況,確定采用哪些測(cè)評(píng)方式、測(cè)評(píng)工具以及測(cè)評(píng)工具的接入方案;明確每一個(gè)子系統(tǒng)的詳細(xì)的測(cè)評(píng)內(nèi)容形成測(cè)評(píng)方案。

初步定級(jí)階段:嚴(yán)格按照既定的測(cè)評(píng)方案進(jìn)行,并將測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題收集整理成形成安全整改方案,醫(yī)院根據(jù)每個(gè)子系統(tǒng)測(cè)評(píng)等級(jí)的不同,充分考慮安全性、實(shí)用性、經(jīng)濟(jì)成本等因素的前提下進(jìn)行整改。

評(píng)審和審批階段:各子系統(tǒng)整改完成后,進(jìn)行等級(jí)保護(hù)整改回歸測(cè)試,如能基本達(dá)到或超過(guò)既定測(cè)評(píng)等級(jí)要求,則形成等級(jí)保護(hù)送審資料。

備案階段:將相關(guān)定級(jí)申報(bào)材料直接報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。

定級(jí)總結(jié)階段:公安機(jī)關(guān)通過(guò)對(duì)等級(jí)保護(hù)資料審查、現(xiàn)場(chǎng)核查等程序后給予出具等級(jí)保護(hù)備案證明材料。

3.2 測(cè)評(píng)的主要內(nèi)容和目標(biāo)

該醫(yī)院信息化工作發(fā)展到目前階段,已經(jīng)建設(shè)了各種各樣的重要、綜合性很強(qiáng)的信息子系統(tǒng),重要業(yè)務(wù)子系統(tǒng)越來(lái)越多、網(wǎng)絡(luò)覆蓋廣度與深度不斷增加、跨單位跨部門(mén)的橫向溝通不斷增強(qiáng),醫(yī)院信息化在向廣度與深度迅速擴(kuò)展,同時(shí)醫(yī)院網(wǎng)絡(luò)系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)與挑戰(zhàn)也越來(lái)越大。依據(jù)上述標(biāo)準(zhǔn)、規(guī)范及知道意見(jiàn),參照行業(yè)主管部門(mén)已有相關(guān)的行業(yè)定級(jí)指導(dǎo)文件,結(jié)合該醫(yī)院具體情況,本次信息安全等級(jí)保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估具體對(duì)象為:核心數(shù)據(jù)機(jī)房、HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)、EMR系統(tǒng)、中醫(yī)藥省級(jí)數(shù)據(jù)中心相關(guān)系統(tǒng);擬按照叁級(jí)信息系統(tǒng)進(jìn)行安全保護(hù)。

3.3風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是要了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀,哪些環(huán)節(jié)、數(shù)據(jù)是最重要的、最敏感的,是否已部署有效的安全措施、管理措施,確定一旦威脅發(fā)生其潛在的損失或破壞,對(duì)其造成的損失是否可控、可承受,以確定相應(yīng)的信息安全保護(hù)等級(jí)。對(duì)當(dāng)場(chǎng)整理的信息進(jìn)行深入分析,從而歸納整理成為信息系統(tǒng)的缺陷評(píng)估報(bào)告、信息系統(tǒng)使用風(fēng)險(xiǎn)評(píng)估報(bào)告等,以詳細(xì)掌握信息系統(tǒng)在使用過(guò)程中潛在的問(wèn)題或風(fēng)險(xiǎn)。并且將其作為等保差距分析的重要內(nèi)容,同時(shí)為后續(xù)的優(yōu)化與健全提供資源。

3.4 差距測(cè)評(píng)

在經(jīng)過(guò)差距測(cè)評(píng)與評(píng)價(jià)后,對(duì)醫(yī)院信息系統(tǒng)的基本情況有了大致的了解,明確進(jìn)一步明確了目前信息系統(tǒng)使用以及所需求信息系統(tǒng)之間的距離。

3.4.1 差距測(cè)評(píng)主要內(nèi)容

一是單元測(cè)評(píng):主要測(cè)評(píng)基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;

二是整體測(cè)評(píng):主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。

單元測(cè)評(píng)包含的內(nèi)容涉及到信息系統(tǒng)安全技術(shù)和安全管理上的各個(gè)安全控制措施。

整體測(cè)評(píng)主要是基于單元測(cè)評(píng)開(kāi)展深入的測(cè)評(píng)研究,主要工作項(xiàng)目涵蓋了安全控制、區(qū)域相互作用的安全測(cè)評(píng)和系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)。

3.4.2 差距分析表

在開(kāi)展等保差距分析前要對(duì)各項(xiàng)數(shù)據(jù)進(jìn)行整理,以歸納出差距分析表,表中要詳細(xì)羅列需要優(yōu)化的內(nèi)容。優(yōu)化項(xiàng)目組會(huì)根據(jù)信息系統(tǒng)所需要的安全需求來(lái)針對(duì)當(dāng)前信息系統(tǒng)的安全使用情況進(jìn)行優(yōu)化,去除不合適項(xiàng)目,增加能夠滿(mǎn)足用戶(hù)信息系統(tǒng)使用需求的安全保護(hù)措施。主要表現(xiàn)在以下兩個(gè)方面:

l 安全管理差距分析:包括安全管理制度、系統(tǒng)建設(shè)管理;

l 安全技術(shù)差距分析:包括網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù);

3.5 安全整改

根據(jù)國(guó)家相關(guān)部門(mén)對(duì)信息系統(tǒng)所提出的一系列要求,全面而科學(xué)的評(píng)估需要對(duì)醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)信息系統(tǒng)風(fēng)險(xiǎn),協(xié)助其合理確定安全保護(hù)等級(jí),在這一情況上進(jìn)行更加合理的設(shè)計(jì)規(guī)劃,從而打造一套詳細(xì)、全面的安全體系保護(hù)方案。該安全體系需要全面保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、邊界和外部接入、計(jì)算環(huán)境、支持性基礎(chǔ)設(shè)施、數(shù)據(jù)和系統(tǒng)等方面內(nèi)容,實(shí)現(xiàn)信息資源的機(jī)密、完整、可用、不可抵賴(lài)和可審計(jì)性,基本做到“進(jìn)不來(lái)、拿不走、改不了、看不懂、跑不了、可審計(jì)、打不垮”。

醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)的總體信息安全技術(shù)體系改造,包括以下幾個(gè)方面:

l 建設(shè)業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)安全基礎(chǔ)設(shè)施;

l 業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)信息系統(tǒng)的邊界安全保護(hù);

l 業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)信息系統(tǒng)的計(jì)算環(huán)境安全保護(hù);

l 建立業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)信息系統(tǒng)的安全管理和運(yùn)維體系;

l 業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)整體達(dá)到等級(jí)保護(hù)相關(guān)等級(jí)要求。

3.6 整改回歸測(cè)試

整改實(shí)施工作完成進(jìn)入整改項(xiàng)目驗(yàn)收階段,組織專(zhuān)家技術(shù)團(tuán)隊(duì)對(duì)驗(yàn)收方案工程驗(yàn)收方案的符合性及可行性進(jìn)行評(píng)審,并負(fù)責(zé)對(duì)工程是否達(dá)到等保要求進(jìn)行回歸測(cè)試,通過(guò)對(duì)信息系統(tǒng)的等級(jí)保護(hù)整改措施落實(shí)情況與《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的要求之間的符合程度再一次進(jìn)行評(píng)判、復(fù)查,形成回歸測(cè)試后的信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。

3.7 等級(jí)保護(hù)備案

在信息系統(tǒng)完成整改實(shí)施及其工程驗(yàn)收之后,經(jīng)一步完善主管部門(mén)備案所需要的文檔和資料,并按當(dāng)?shù)匦畔踩燃?jí)保護(hù)主管部門(mén)備案、定級(jí)相關(guān)程序,取得信息系統(tǒng)安全等級(jí)備案證明。

4 小結(jié)

經(jīng)過(guò)學(xué)習(xí)國(guó)家法律法規(guī)、行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范及制度,通過(guò)訪談、現(xiàn)場(chǎng)檢查、現(xiàn)場(chǎng)測(cè)試等方式深入了解該醫(yī)院信息系統(tǒng)安全建設(shè)實(shí)際情況以及存在的安全隱患、管理漏洞,結(jié)合醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)第三級(jí)安全保護(hù)的要求,制定切實(shí)可行的整改方案,形成該醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)方案。信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)涉及的細(xì)項(xiàng)非常多,檢查、測(cè)試、整改的內(nèi)容非常具體,受文章篇幅的約束不能逐個(gè)展開(kāi)。但是,該方案具有可操作性強(qiáng),是該醫(yī)院信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的重要過(guò)程資料,對(duì)類(lèi)似醫(yī)院的信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作有一定的借鑒意義。


本文來(lái)源:《企業(yè)科技與發(fā)展》:http://12-baidu.cn/w/qk/21223.html

網(wǎng)絡(luò)客服QQ: 沈編輯

投訴建議:0373-5939925????投訴建議QQ:

招聘合作:2851259250@qq.com (如您是期刊主編、文章高手,可通過(guò)郵件合作)

地址:河南省新鄉(xiāng)市金穗大道東段266號(hào)中州期刊聯(lián)盟 ICP備案號(hào):豫ICP備2020036848

【免責(zé)聲明】:中州期刊聯(lián)盟所提供的信息資源如有侵權(quán)、違規(guī),請(qǐng)及時(shí)告知。

版權(quán)所有:中州期刊聯(lián)盟(新鄉(xiāng)市博翰文化傳媒有限公司)

關(guān)注”中州期刊聯(lián)盟”公眾號(hào)
了解論文寫(xiě)作全系列課程

核心期刊為何難發(fā)?

論文發(fā)表總嫌貴?

職院?jiǎn)挝话l(fā)核心?

掃描關(guān)注公眾號(hào)

論文發(fā)表不再有疑惑

論文寫(xiě)作全系列課程

掃碼了解更多

輕松寫(xiě)核心期刊論文

在線留言