等级保护二级建设方案-医卫行业

医疗卫生行业等级保护建设方案1医疗卫生行业等级（二级）保护建设方案华创科技2013年12月22日医疗卫生行业等级保护建设方案2日期版本创建者修改者发布者级别2013/12/1V1.0目录医疗卫生行业等级（二级）保护建设方案...................................................................................1一、项目概述...........................................................................................................................3二、政策要求...........................................................................................................................3三、方案目标与范围...............................................................................................................5四、方案设计依据...................................................................................................................6五、信息安全二级-技术方案..................................................................................................6物理安全...................................................................................................................7网络安全.................................................................................................................10主机安全.................................................................................................................12应用安全.................................................................................................................15数据安全及备份恢复.............................................................................................18六、信息安全二级-管理方案................................................................................................19安全管理制度.........................................................................................................20安全管理机构.........................................................................................................21人员安全管理.........................................................................................................21系统建设管理.........................................................................................................21系统运维管理.........................................................................................................22七、安全服务平台.................................................................................................................237.1安全运维服务的特点.............................................................................................247.1.1满足信息系统等级保护要求.........................................................................247.1.2遵循ISO20000和ITILv3.................................................................................257.2安全服务平台的内容.............................................................................................267.2.1资产管理.........................................................................................................267.2.2事件管理.........................................................................................................277.2.3工单管理.........................................................................................................28医疗卫生行业等级保护建设方案3一、项目概述项目简单介绍……..随着医疗信息系统HMIS应用范围不断推广扩大，我国许多医院建立了以院长为中心的医院信息网络化管理决策机制，并将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起，医院信息化管理系统通过网络覆盖医院的每个部门，涵盖病人来院就诊的各个环节。然而，在信息安全方面，我国的医院信息安全建设尚处于初级阶段，信息安全的认识、投入上更是淡漠，重投入轻防护，信息系统安全问题频频告急，严重影响到医院正常运行。应该说，基础信息网络与重要信息系统的作用日益增强，已成为国家和社会发展、人民生活需要的重要资源。保障基础网络和重要信息系统安全，更好地维护国家安全、保障社会稳定和人民经济生活的需要，是信息化发展中必须解决的重大问题。二、政策要求等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性工作。通过将等级化方法和安全体系方法有效结合，设计一套等级化的信息安全保障体系，是适合我国国情、系统化地解决信息安全问题的一个非常有效的方法。信息安全等级保护对组织信息安全具有重大的意义。1994年国务院发布的147号令《中华人民共和国计算机信息系统安全保护条例》首次提出计算机信息系统实行安全等级保护以来，多项国家文件和政策均提到了等级保护工作的重要性。1999年9月国家质量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999《计算机信息系统安全等级保护划分准则》，为等级保护这一安全国策给出了技术角度的诠释。2003年中共中央办公厅、国务院办公厅联合转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级医疗卫生行业等级保护建设方案4保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年公安部、国家保密局、国家密码管理局、国务院信息办联合印发了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），明确了信息安全等级保护制度的主要工作方向和工作内容，规定了等级保护实施的具体步骤和时间表。2007年6月，四部委联合下发《信息安全等级保护管理办法》（公通字[2007]43号），标志着等级保护的全面推广落实。43号文明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务等。同时，四部委联合下发了“关于开展全国重要信息系统安全等级保护定级工作的通知”（公信安[2007]861号），全面部署了全国范围内的重要信息系统定级工作。近年来信息安全等级保护工作取得的了一定成效，初步建立了一系列执行标准：《信息系统安全等级保护定级指南》，《信息系统安全等级保护基本要求》；《信息系统安全等级保护实施指南》，《信息系统等级保护安全设计技术要求》；《信息系统安全等级保护测评要求》，《信息系统安全等级保护测评指南》等。2007年下半年开始，全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作，到现在为止定级工作基本上已经在重要行业初步完成，全面进入整改阶段。2011年卫生部发布《卫生行业信息安全等级保护工作的指导意见》对医疗卫生行业等级保护相关工作提出了进一步的、明确的要求，并指出该项工作的重要性与迫切性。在国家大力推行信息安全等级保护制度的背景下，华创科技长期深度参与、密切跟踪国家等级保护相关政策，并作为信息安全企业的代表参与了等级保护相关标准的起草编制工作，在等级保护的定级、整改、评估等多项工作中积累了丰富的经验。在此基础上，华创科技推出了等级保护整体解决方案，为用户提供等级保护咨询服务，依据国家等级保护相关要求，结合信息系统安全建设最佳实践，紧跟国家等级保护的具体实施步骤，为客户提供多种类型的咨询服务、整体安全解决方案、基于等级保护的安全服务平台（SSP）、入侵检测系统（IDS）等满足不同客户不同层次和不同阶段的等级保护需求服务，全面满足国家政策要求的合规性，保障业务健康、稳定、持续运营。医疗卫生行业等级保护建设方案5三、方案目标与范围为了落实和贯彻公安部、国家保密局、国家密码管理局、卫生部等国家有关部门信息安全等级保护工作要求，全面完善信息安全防护体系，提高整体信息安全防护水平，开展等级保护建设工作。本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理办法》（公通字[2007]43号）、《信息安全技术信息安全风险评估规范》（GB/T20984-2007）、《卫生行业信息安全等级保护工作的指导意见》、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。实施范围