淺析某醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)方案
隨著醫(yī)院信息化建設(shè)的不斷深入,信息系統(tǒng)的正常穩(wěn)定運(yùn)行已經(jīng)成為醫(yī)院醫(yī)療業(yè)務(wù)正常開(kāi)展的基礎(chǔ)條件;衛(wèi)計(jì)委及有關(guān)部門(mén)以指導(dǎo)意見(jiàn)、管理辦法、保護(hù)措施等方式下文明確要求三級(jí)醫(yī)院核心業(yè)務(wù)系統(tǒng)安全定級(jí)不低于第三級(jí)。本文從醫(yī)院實(shí)際情況出發(fā),對(duì)應(yīng)用系統(tǒng)摸底調(diào)查、初步定級(jí)、整改方案、回歸性測(cè)試、備案等實(shí)施步驟進(jìn)行闡述。
1 項(xiàng)目背景
針對(duì)醫(yī)院信息安全現(xiàn)狀及安全形勢(shì),根據(jù)《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))、《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))、《湖南省衛(wèi)生行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施方案》(湘衛(wèi)辦發(fā)[2012]28號(hào))等文件與法規(guī)的要求,并結(jié)合當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的需要,對(duì)醫(yī)院重要業(yè)務(wù)系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估很有必要性。通過(guò)深入評(píng)價(jià)重要業(yè)務(wù)系統(tǒng)的信息安全等級(jí)保護(hù)情況、了解目前業(yè)務(wù)系統(tǒng)的安全狀況和存在的安全風(fēng)險(xiǎn)程度,提出全面的整改建議方案,實(shí)施安全加固與安全整改建設(shè),加強(qiáng)醫(yī)院信息系統(tǒng)防攻擊、防篡改、防病毒、防竊密、防癱瘓“五防”能力的建設(shè),將切實(shí)提高醫(yī)院信息系統(tǒng)安全保障能力,促進(jìn)醫(yī)院信息化工作的健康發(fā)展。
2 現(xiàn)狀分析
該醫(yī)院是湖南省首家三級(jí)甲等中醫(yī)醫(yī)院,“七五”期間全國(guó)七所重點(diǎn)建設(shè)的中醫(yī)院之一,2008年12月入選國(guó)家中醫(yī)臨床研究基地,2013年7月入選全國(guó)中醫(yī)醫(yī)院信息化示范單位。其醫(yī)院信息化建設(shè)涵蓋HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)、EMR系統(tǒng)、成本核算系統(tǒng)、省市醫(yī)保系統(tǒng)、OA系統(tǒng)、湖南省中醫(yī)藥數(shù)據(jù)中心等60多個(gè)業(yè)務(wù)子系統(tǒng)。醫(yī)院有三套物理隔離的網(wǎng)絡(luò):醫(yī)院內(nèi)部辦公網(wǎng)絡(luò)(外網(wǎng))、醫(yī)院內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)(內(nèi)網(wǎng))、湖南省中醫(yī)藥數(shù)據(jù)中心專(zhuān)網(wǎng)(專(zhuān)網(wǎng))。
3 信息系統(tǒng)安全等級(jí)測(cè)評(píng)方案設(shè)計(jì)
3.1 測(cè)評(píng)步驟
信息系統(tǒng)安全等級(jí)測(cè)評(píng)工作可分為六個(gè)階段,如圖2所示。
定級(jí)準(zhǔn)備階段:工作包括醫(yī)院項(xiàng)目啟動(dòng)、組織機(jī)構(gòu)成立、基礎(chǔ)信息及系統(tǒng)資料收集、測(cè)評(píng)所需工具準(zhǔn)備等。
摸底調(diào)查階段:主要包括三個(gè)方面的工作:通過(guò)對(duì)醫(yī)院業(yè)務(wù)子系統(tǒng)的梳理,根據(jù)各子系統(tǒng)在醫(yī)院業(yè)務(wù)中的重要性不同確定哪些子系統(tǒng)做為測(cè)評(píng)對(duì)象以及測(cè)評(píng)等級(jí);結(jié)合各子系統(tǒng)具體情況,確定采用哪些測(cè)評(píng)方式、測(cè)評(píng)工具以及測(cè)評(píng)工具的接入方案;明確每一個(gè)子系統(tǒng)的詳細(xì)的測(cè)評(píng)內(nèi)容形成測(cè)評(píng)方案。
初步定級(jí)階段:嚴(yán)格按照既定的測(cè)評(píng)方案進(jìn)行,并將測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題收集整理成形成安全整改方案,醫(yī)院根據(jù)每個(gè)子系統(tǒng)測(cè)評(píng)等級(jí)的不同,充分考慮安全性、實(shí)用性、經(jīng)濟(jì)成本等因素的前提下進(jìn)行整改。
評(píng)審和審批階段:各子系統(tǒng)整改完成后,進(jìn)行等級(jí)保護(hù)整改回歸測(cè)試,如能基本達(dá)到或超過(guò)既定測(cè)評(píng)等級(jí)要求,則形成等級(jí)保護(hù)送審資料。
備案階段:將相關(guān)定級(jí)申報(bào)材料直接報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。
定級(jí)總結(jié)階段:公安機(jī)關(guān)通過(guò)對(duì)等級(jí)保護(hù)資料審查、現(xiàn)場(chǎng)核查等程序后給予出具等級(jí)保護(hù)備案證明材料。
3.2 測(cè)評(píng)的主要內(nèi)容和目標(biāo)
該醫(yī)院信息化工作發(fā)展到目前階段,已經(jīng)建設(shè)了各種各樣的重要、綜合性很強(qiáng)的信息子系統(tǒng),重要業(yè)務(wù)子系統(tǒng)越來(lái)越多、網(wǎng)絡(luò)覆蓋廣度與深度不斷增加、跨單位跨部門(mén)的橫向溝通不斷增強(qiáng),醫(yī)院信息化在向廣度與深度迅速擴(kuò)展,同時(shí)醫(yī)院網(wǎng)絡(luò)系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)與挑戰(zhàn)也越來(lái)越大。依據(jù)上述標(biāo)準(zhǔn)、規(guī)范及知道意見(jiàn),參照行業(yè)主管部門(mén)已有相關(guān)的行業(yè)定級(jí)指導(dǎo)文件,結(jié)合該醫(yī)院具體情況,本次信息安全等級(jí)保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估具體對(duì)象為:核心數(shù)據(jù)機(jī)房、HIS系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)、EMR系統(tǒng)、中醫(yī)藥省級(jí)數(shù)據(jù)中心相關(guān)系統(tǒng);擬按照叁級(jí)信息系統(tǒng)進(jìn)行安全保護(hù)。
3.3風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是要了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀,哪些環(huán)節(jié)、數(shù)據(jù)是最重要的、最敏感的,是否已部署有效的安全措施、管理措施,確定一旦威脅發(fā)生其潛在的損失或破壞,對(duì)其造成的損失是否可控、可承受,以確定相應(yīng)的信息安全保護(hù)等級(jí)。對(duì)當(dāng)場(chǎng)整理的信息進(jìn)行深入分析,從而歸納整理成為信息系統(tǒng)的缺陷評(píng)估報(bào)告、信息系統(tǒng)使用風(fēng)險(xiǎn)評(píng)估報(bào)告等,以詳細(xì)掌握信息系統(tǒng)在使用過(guò)程中潛在的問(wèn)題或風(fēng)險(xiǎn)。并且將其作為等保差距分析的重要內(nèi)容,同時(shí)為后續(xù)的優(yōu)化與健全提供資源。
3.4 差距測(cè)評(píng)
在經(jīng)過(guò)差距測(cè)評(píng)與評(píng)價(jià)后,對(duì)醫(yī)院信息系統(tǒng)的基本情況有了大致的了解,明確進(jìn)一步明確了目前信息系統(tǒng)使用以及所需求信息系統(tǒng)之間的距離。
3.4.1 差距測(cè)評(píng)主要內(nèi)容
一是單元測(cè)評(píng):主要測(cè)評(píng)基本安全控制在信息系統(tǒng)中的實(shí)施配置情況;
二是整體測(cè)評(píng):主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。
單元測(cè)評(píng)包含的內(nèi)容涉及到信息系統(tǒng)安全技術(shù)和安全管理上的各個(gè)安全控制措施。
整體測(cè)評(píng)主要是基于單元測(cè)評(píng)開(kāi)展深入的測(cè)評(píng)研究,主要工作項(xiàng)目涵蓋了安全控制、區(qū)域相互作用的安全測(cè)評(píng)和系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)。
3.4.2 差距分析表
在開(kāi)展等保差距分析前要對(duì)各項(xiàng)數(shù)據(jù)進(jìn)行整理,以歸納出差距分析表,表中要詳細(xì)羅列需要優(yōu)化的內(nèi)容。優(yōu)化項(xiàng)目組會(huì)根據(jù)信息系統(tǒng)所需要的安全需求來(lái)針對(duì)當(dāng)前信息系統(tǒng)的安全使用情況進(jìn)行優(yōu)化,去除不合適項(xiàng)目,增加能夠滿(mǎn)足用戶(hù)信息系統(tǒng)使用需求的安全保護(hù)措施。主要表現(xiàn)在以下兩個(gè)方面:
l 安全管理差距分析:包括安全管理制度、系統(tǒng)建設(shè)管理;
l 安全技術(shù)差距分析:包括網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù);
3.5 安全整改
根據(jù)國(guó)家相關(guān)部門(mén)對(duì)信息系統(tǒng)所提出的一系列要求,全面而科學(xué)的評(píng)估需要對(duì)醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)信息系統(tǒng)風(fēng)險(xiǎn),協(xié)助其合理確定安全保護(hù)等級(jí),在這一情況上進(jìn)行更加合理的設(shè)計(jì)規(guī)劃,從而打造一套詳細(xì)、全面的安全體系保護(hù)方案。該安全體系需要全面保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、邊界和外部接入、計(jì)算環(huán)境、支持性基礎(chǔ)設(shè)施、數(shù)據(jù)和系統(tǒng)等方面內(nèi)容,實(shí)現(xiàn)信息資源的機(jī)密、完整、可用、不可抵賴(lài)和可審計(jì)性,基本做到“進(jìn)不來(lái)、拿不走、改不了、看不懂、跑不了、可審計(jì)、打不垮”。
醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)的總體信息安全技術(shù)體系改造,包括以下幾個(gè)方面:
l 建設(shè)業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)安全基礎(chǔ)設(shè)施;
l 業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)信息系統(tǒng)的邊界安全保護(hù);
l 業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)信息系統(tǒng)的計(jì)算環(huán)境安全保護(hù);
l 建立業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)信息系統(tǒng)的安全管理和運(yùn)維體系;
l 業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)整體達(dá)到等級(jí)保護(hù)相關(guān)等級(jí)要求。
3.6 整改回歸測(cè)試
整改實(shí)施工作完成進(jìn)入整改項(xiàng)目驗(yàn)收階段,組織專(zhuān)家技術(shù)團(tuán)隊(duì)對(duì)驗(yàn)收方案工程驗(yàn)收方案的符合性及可行性進(jìn)行評(píng)審,并負(fù)責(zé)對(duì)工程是否達(dá)到等保要求進(jìn)行回歸測(cè)試,通過(guò)對(duì)信息系統(tǒng)的等級(jí)保護(hù)整改措施落實(shí)情況與《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的要求之間的符合程度再一次進(jìn)行評(píng)判、復(fù)查,形成回歸測(cè)試后的信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。
3.7 等級(jí)保護(hù)備案
在信息系統(tǒng)完成整改實(shí)施及其工程驗(yàn)收之后,經(jīng)一步完善主管部門(mén)備案所需要的文檔和資料,并按當(dāng)?shù)匦畔踩燃?jí)保護(hù)主管部門(mén)備案、定級(jí)相關(guān)程序,取得信息系統(tǒng)安全等級(jí)備案證明。
4 小結(jié)
經(jīng)過(guò)學(xué)習(xí)國(guó)家法律法規(guī)、行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范及制度,通過(guò)訪談、現(xiàn)場(chǎng)檢查、現(xiàn)場(chǎng)測(cè)試等方式深入了解該醫(yī)院信息系統(tǒng)安全建設(shè)實(shí)際情況以及存在的安全隱患、管理漏洞,結(jié)合醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)第三級(jí)安全保護(hù)的要求,制定切實(shí)可行的整改方案,形成該醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)方案。信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)涉及的細(xì)項(xiàng)非常多,檢查、測(cè)試、整改的內(nèi)容非常具體,受文章篇幅的約束不能逐個(gè)展開(kāi)。但是,該方案具有可操作性強(qiáng),是該醫(yī)院信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的重要過(guò)程資料,對(duì)類(lèi)似醫(yī)院的信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作有一定的借鑒意義。
本文來(lái)源:《企業(yè)科技與發(fā)展》:http://12-baidu.cn/w/qk/21223.html
欄目分類(lèi)
- 1短視頻走紅的原因及影響——以“抖音”為例
- 2短視頻發(fā)展現(xiàn)狀、存在的問(wèn)題及意見(jiàn)
- 3以“李子柒”為例研究社會(huì)化創(chuàng)意下的內(nèi)容營(yíng)銷(xiāo)策略
- 4企業(yè)市場(chǎng)營(yíng)銷(xiāo)中存在的問(wèn)題及對(duì)策
- 5論樹(shù)洞傳播的匿名效應(yīng)
- 6總體國(guó)家安全觀對(duì)當(dāng)代大學(xué)生的要求
- 7全媒體時(shí)代,如何做好新聞選題策劃?
- 8 “抖音”APP優(yōu)劣勢(shì)分析與短視頻產(chǎn)業(yè)的發(fā)展思考
- 9《論語(yǔ)》中孔子的“孝”思想
- 10網(wǎng)易云音樂(lè)內(nèi)容營(yíng)銷(xiāo)的手段分析
- 為什么發(fā)表論文都不開(kāi)雜志社的發(fā)票呢?
- 2021-2022年CSCD中國(guó)科學(xué)引文數(shù)據(jù)庫(kù)來(lái)源期刊列表-理科南大核心目錄完整版
- CSCD中國(guó)科學(xué)引文數(shù)據(jù)庫(kù)來(lái)源期刊列表(2023-2024年度)南大核心目錄
- 融媒體環(huán)境下地方新聞網(wǎng)站媒體的發(fā)展路徑
- 創(chuàng)新與繼承:70周年獻(xiàn)禮片“三杰”研究
- 人本導(dǎo)向下的城市更新規(guī)劃思路探索——以上海松江區(qū)中山街道老城區(qū)為例
- 預(yù)制裝配式地鐵車(chē)站施工技術(shù)
- 從框架理論看“中國(guó)學(xué)習(xí)的人”
- 互聯(lián)網(wǎng)環(huán)境下古都洛陽(yáng)城市形象建構(gòu)與傳播探析
- 價(jià)值工程在房地產(chǎn)開(kāi)發(fā)管理分工中應(yīng)用
- 2023JCR影響因子正式公布!
- 國(guó)內(nèi)核心期刊分級(jí)情況概覽及說(shuō)明!本篇適用人群:需要發(fā)南核、北核、CSCD、科核、AMI、SCD、RCCSE期刊的學(xué)者
- 我用了一個(gè)很復(fù)雜的圖,幫你們解釋下“23版最新北大核心目錄有效期問(wèn)題”。
- 重磅!CSSCI來(lái)源期刊(2023-2024版)最新期刊目錄看點(diǎn)分析!全網(wǎng)首發(fā)!
- CSSCI官方早就公布了最新南核目錄,有心的人已經(jīng)拿到并且投入使用!附南核目錄新增期刊!
- 北大核心期刊目錄換屆,我們應(yīng)該熟知的10個(gè)知識(shí)點(diǎn)。
- 注意,最新期刊論文格式標(biāo)準(zhǔn)已發(fā)布,論文寫(xiě)作規(guī)則發(fā)生重大變化!文字版GB/T 7713.2—2022 學(xué)術(shù)論文編寫(xiě)規(guī)則
- 盤(pán)點(diǎn)那些評(píng)職稱(chēng)超管用的資源,1,3和5已經(jīng)“絕種”了
- 職稱(chēng)話題| 為什么黨校更認(rèn)可省市級(jí)黨報(bào)?是否有什么說(shuō)據(jù)?還有哪些機(jī)構(gòu)認(rèn)可黨報(bào)?
- 《農(nóng)業(yè)經(jīng)濟(jì)》論文投稿解析,難度指數(shù)四顆星,附好發(fā)選題!