醫院信息安全等級保護的探討論文

　　1醫院重要信息系統等級保護行業(yè)政策

　　1.1國家衛生部文件

　　文件明確規定了信息安全等級保護工作的工作目標、工作原則、工作機制、工作任務(wù)、工作要求，工作任務(wù)中特別強調了“三級甲等醫院的核心業(yè)務(wù)信息系統”應進(jìn)行定級備案。

　　1.2浙江省衛生廳文件

　　為加強醫療衛生行業(yè)信息安全管理，提高信息安全意識，以信息安全等級保護標準促進(jìn)全行業(yè)的信息安全工作，提高全省衛生系統信息安全保護與信息安全技術(shù)水平，強化信息安全的重要性。2011年6月7日，浙江省衛生廳和浙江省公安廳聯(lián)合下發(fā)《關(guān)于做好全省醫療衛生行業(yè)重要信息系統信息安全等級保護工作的通知》（浙衛發(fā)〔2011〕131號），并一同下發(fā)了《浙江省醫療衛生行業(yè)信息安全等級保護工作實(shí)施方案》和《浙江省衛生行業(yè)信息系統安全等級保護定級工作指導意見(jiàn)》。為進(jìn)一步指導我省衛生行業(yè)單位開(kāi)展信息安全等級保持工作，浙江省衛生信息中心于2012年4月6日下發(fā)了《關(guān)于印發(fā)<浙江省衛生行業(yè)信息安全等級保護工作指導意見(jiàn)細則>的函》。上述文件詳細規定了工作目標、工作流程和工作進(jìn)度，并明確了醫療衛生單位重要信息系統的劃分和定級，具有很強的指導性和操作性。

　　2醫院信息安全等級保護

　　依據上述行業(yè)文件要求，全省醫院重要信息系統信息安全等級保護工作由省衛生廳和各級衛生局、公安局分級負責，按照系統定級、系統備案、等級測評、安全整改[1]四個(gè)工作步驟實(shí)施。

　　2.1系統定級

　　2.1.1確定對象

　　我省醫院信息化發(fā)展較早，各類(lèi)系統比較完善，但數量繁多。將出現多達幾十甚至上百個(gè)定級對象的狀況，這與要求重點(diǎn)保護、控制建設成本、優(yōu)化資源配置[2]的原則相違背，不利于醫院重要信息系統開(kāi)展信息安全等級保護工作。依據《計算機信息系統安全保護等級劃分準則（GB17859-1999）》等標準，結合我省醫院信息化現狀及發(fā)展需要，經(jīng)衛生信息化專(zhuān)家和信息安全專(zhuān)家多次論證，本著(zhù)突出重點(diǎn)、按類(lèi)歸并、相對獨立、節約費用的原則，從系統管理、業(yè)務(wù)使用者、系統服務(wù)對象和運行環(huán)境等多方面綜合考慮，把醫院信息系統劃分為以下幾類(lèi)，如表1所示。

　　2.1.2等級評定

　　醫院重要信息系統的信息安全和系統服務(wù)應用被破壞時(shí)，產(chǎn)生的危害主要涉及公民的個(gè)人隱私、就醫權利及合法權益，對社會(huì )秩序和公共利益的損害屬于“損害”或“嚴重損害”程度。參考《信息安全等級保護管理辦法》及省衛生信息中心指導意見(jiàn)細則要求[3]，即屬于“第二級”或“第三級”范疇。因此醫院信息系統對信息安全防護和服務(wù)能力保護的要求較高，結合業(yè)務(wù)服務(wù)及系統應用范疇，實(shí)行保護重點(diǎn)、以點(diǎn)帶面原則，參考定級如表2所示。

　　2.2系統定級備案

　　省衛生廳及省級醫療衛生單位信息系統、全省統一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運行的信息系統由省公安廳受理備案；各市衛生局及其下屬單位、轄區內醫院信息系統由屬地公安機關(guān)受理備案。各市衛生局應將轄區內醫療衛生單位備案匯總情況和《信息系統安全等級保護備案表》等材料以電子文件形式向省衛生廳報備。定級備案流程示意圖如圖1所示。

　　2.3等級保護測評

　　醫院重要信息系統完成定級備案后，應依據《浙江省信息安全等級保護工作協(xié)調小組關(guān)于公布信息安全等級報測評機構的通知》（浙等�！�2010〕9號）選擇浙江省信息安全等級保護工作協(xié)調小組辦公室推薦的等級測評機構，啟動(dòng)等級測評工作，結合所屬等級要求對系統進(jìn)行逐項測評。通過(guò)對醫院系統進(jìn)行查驗、訪(fǎng)談、現場(chǎng)測試等方式收集相關(guān)信息，詳細了解信息安全保護現狀，分析所收集的資料和數據，查找發(fā)現醫院重要信息系統漏洞和安全隱患，針對測評報告結果進(jìn)行分析反饋、溝通協(xié)商，明確等級保護整改工作目標、整改流程及注意事項，共同制定等級保護整改建議方案用于指導后續整改工作。對第二級以上的信息系統要定期開(kāi)展等級測評。信息系統測評后，醫院應及時(shí)將測評機構出具的《信息系統等級測評報告》向所屬地公安機關(guān)報備。

　　2.4等級保護規劃建設整改

　　根據《信息系統安全等級保護實(shí)施指南》及省實(shí)施方案，結合醫院信息系統的安全需求分析，判斷安全保護現狀，設計合理的、滿(mǎn)足等級保護要求的總體安全方案，并制定出安全實(shí)施規劃[4]等，用以指導信息系統安全建設工程實(shí)施。引進(jìn)第三方安全技術(shù)服務(wù)商，協(xié)助完成系統安全規劃、建設及整改工作。建設，整改實(shí)施過(guò)程中按照詳細設計方案，設置安全產(chǎn)品采購、安全控制開(kāi)發(fā)與集成、機構和人員配置、安全管理制度建設、人員安全技能培訓等環(huán)節[5]，將規劃設計階段的安全方針和策略，切實(shí)落實(shí)到醫院系統的信息安全規劃、建設、評估、運行和維護等各個(gè)環(huán)節。其核心是根據系統的實(shí)際信息安全需求、業(yè)務(wù)特點(diǎn)及應用重點(diǎn)，并結合醫院自身信息安全建設的實(shí)際需求，建設一套全面保護、重點(diǎn)突出、持續運行的安全保障體系，確保醫院系統的信息安全。等級保護工程及管理體系建設整改流程如圖2所示。

　　3醫院重要信息系統安全等級保護成效

　　各級醫院按照國家有關(guān)信息安全等級保護政策、標準，結合衛生行業(yè)政策和要求，全面落實(shí)信息系統信息安全等級保護工作，保障信息系統安全可靠運行，提高安全管理運維水平。

　　3.1明確系統安全保護目標

　　通過(guò)推行各級醫院信息安全等級保護工作，梳理衛生信息系統資產(chǎn)、網(wǎng)絡(luò )邊界、網(wǎng)絡(luò )安全設備部署及運行狀況。根據系統風(fēng)險評估、危害的覆蓋范圍及影響性判定安全等級，從而根據標準全面、系統、深入地掌握系統潛在的風(fēng)險隱患，安全漏洞。明確需要重點(diǎn)保護的應用系統及信息資產(chǎn)，提出行之有效的保護措施，有針對性地提高保護等級，實(shí)現重點(diǎn)目標重點(diǎn)保護。

　　3.2建立安全管理保障體系

　　安全管理保障體系是開(kāi)展信息安全工作的保障，指導落實(shí)各項安全指標要求。信息安全等級保護基本要求中明確要求加強主管及安全責任部門(mén)領(lǐng)導，配備信息安全專(zhuān)員督導安全檢查、維護、培訓工作。建立健全信息安全管理保障制度體系，包括機房安全管理制度、人員安全管理制度、運維安全管理規范。建立行之有效的安全應急響應預案及常規化的信息安全培訓及預防演練，形成長(cháng)期的安全風(fēng)險管控機制。

　　3.3加強安全意識和管理能力

　　通過(guò)落實(shí)等級保護制度的各項要求，認識安全意識在信息安全工作中的重要性和必要性，調動(dòng)安全保護的自覺(jué)主動(dòng)性，加大安全保護的資金投入力度，優(yōu)化安全管理資源及策略，主動(dòng)提升安全保護能力。同時(shí)重視常規化的信息安全管理教育和培訓，強化安全管理員和責任人的安全意識，提高風(fēng)險分析和安全性評估等能力，信息系統安全整體管理水平將得到提高。

　　3.4強化安全保護技術(shù)實(shí)施

　　醫院開(kāi)展信息安全等級保護工作可加深分級、分域的縱深防御理念，進(jìn)一步結合終端安全、身份認證、網(wǎng)絡(luò )安全、容災技術(shù)，建立統一的安全監控平臺和安全運行中心。根據測評報告及建設整改建議，增強對應用系統的授權訪(fǎng)問(wèn)，終端計算機的安全控制，網(wǎng)絡(luò )流量的異常監控，業(yè)務(wù)與數據安全保障，惡意軟件和攻擊行為的防御、發(fā)現及阻擊等功能，深層次提高抵御外部和內部信息安全威脅的能力。

　　3.5優(yōu)化第三方技術(shù)服務(wù)

　　與安全技術(shù)服務(wù)機構建立長(cháng)期穩定的合作關(guān)系，引進(jìn)并優(yōu)化第三方技術(shù)資源，搭建安全保護技術(shù)的學(xué)習橋梁與交流平臺。在安全技術(shù)與管理方面加固信息安全防護措施，完善信息安全管理制度，同時(shí)通過(guò)安全技術(shù)管理培訓強化醫院工作人員信息安全保護意識，提高信息安全隊伍的技術(shù)與管理水平，共同為醫院系統信息化建設的快速發(fā)展保駕護航�？傊�，醫院開(kāi)展信息安全等級保護工作將有效提高醫院信息化建設的整體水平，有利于醫院信息化建設過(guò)程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調；有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點(diǎn)保障基礎信息網(wǎng)絡(luò )、個(gè)人隱私、醫療資源和社會(huì )公共衛生等方面的重要信息系統的安全[6]。

　　4結束語(yǔ)

　　醫院系統信息安全是衛生信息化的重要組成部分，也是決定衛生信息化未來(lái)發(fā)展的關(guān)鍵因子。開(kāi)展和完善醫院重要信息系統信息安全等級保護工作，從安全意識、安全制度、安全技術(shù)及安全管理等多方位措施加強防護，排查安全漏洞及潛在隱患，對于保障醫院重要信息系統正常運行，促進(jìn)衛生信息化健康發(fā)展，深化醫藥衛生體制改革，維護公共利益、社會(huì )秩序和國家安全具有重要意義。

【醫院信息安全等級保護的探討論文】相關(guān)文章：

網(wǎng)絡(luò )信息安全的保護技術(shù)09-30

職稱(chēng)檔案信息化建設探討論文12-11

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

計算機信息安全論文09-15

信息安全管理論文06-20

信息安全管理論文11-10

計算機信息安全論文05-21

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25

醫院信息安全自查報告11-22