醫(yī)院信息系統(tǒng)安全等級保護工作實施方案
各科室:
醫(yī)院信息系統(tǒng)是醫(yī)療服務的重要支撐體系�。為貫徹落實國家信息安全等級保護制度,確保我院信息系統(tǒng)安全可靠運行�����,并結合我院信息系統(tǒng)應用的特點,就相關事項通知如下���。
一����、組織領導
組 長:***
副組長:***
領導小組辦公室設在微機室���,由***同志兼任主任����,***等同志負責具體工作。
二�����、工作任務
1��、做好系統(tǒng)定級工作�。定級系統(tǒng)包括基礎支撐系統(tǒng),面向患者服務信息系統(tǒng)����,內(nèi)部行政管理信息系統(tǒng)����、網(wǎng)絡直報系統(tǒng)及門戶網(wǎng)站,定級方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關部門協(xié)商�����。
2�、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級保護劃分定級要求�,對信息系統(tǒng)進行定級后,將本單位《信息系統(tǒng)安全等級保護備案表》《信息系統(tǒng)定級報告》和備案電子數(shù)據(jù)報屬地公安機關辦理備案手續(xù)�����。
3、做好系統(tǒng)等級測評工作���。完成定級備案后���,選擇市衛(wèi)生局推薦的等級測評機構,對已確定安全保護等級信息系統(tǒng)��,按照國家信息安全等級保護工作規(guī)范和《信息安全技術信息系統(tǒng)安全等級保護基本要求》等國家標準開展等級測評���,信息系統(tǒng)測評后���,及時將測評機構出具的《信息系統(tǒng)等級測評報告》向屬地公安機關報備。
4��、完善等級保護體系建設做好整改工作���。按照測評報告評測結果����,對照《信息系統(tǒng)安全等級保護基本要求》等有關標準���,組織開展等級保護安全建設整改工作���,具體要求如下:
|
安全類別
|
控制項
|
主要安全措施
|
|
物理安全
|
物理訪問控制
|
機房安排專人負責���,來訪人員須審批和陪同
|
|
重要區(qū)域配置門禁系統(tǒng)
|
|
防盜竊和防破壞
|
暴露在公共場所的網(wǎng)絡設備須具備安全保護措施
|
|
主機房安裝監(jiān)控報警系統(tǒng)
|
|
防雷擊
|
機房計算機系統(tǒng)接地符合GB 50057-1994《建筑物防雷設計規(guī)范》中的計算機機房防雷要求
|
|
機房電源、網(wǎng)絡信號線�����、重要設備安裝有資質的防雷裝置
|
|
防火
|
機房設置滅火設備和火災自動報警系統(tǒng)
|
|
機房配置自動滅火裝置
|
|
電力供應
|
機房及關鍵設備應配置UPS備用電力供應
|
|
醫(yī)院重要科室應采用雙回路電源供電
|
|
環(huán)境監(jiān)控
|
機房設置溫��、濕度自動調(diào)節(jié)設施
|
|
機房設置防水檢測和報警設施
|
|
對機房關鍵設備和磁介質實施電磁屏蔽
|
|
網(wǎng)絡安全
|
結構安全
|
網(wǎng)絡應按職能和重要程度不同劃分網(wǎng)段
|
|
重要網(wǎng)段之間應采用防火墻進行隔離
|
|
訪問控制
|
網(wǎng)絡邊界部署防火墻或網(wǎng)閘
|
|
安全審計
|
網(wǎng)絡日志審計��、網(wǎng)絡運維管理安全審計
|
|
邊界完整性檢查
|
采用準入控制系統(tǒng)�,實現(xiàn)準入控制�����、非法外聯(lián)檢查
|
|
采用準入控制系統(tǒng)��,實現(xiàn)準入控制及非法外聯(lián)可阻斷
|
|
入侵防范
|
入侵檢測系統(tǒng)/入侵防御系統(tǒng)
|
|
惡意代碼防范
|
防病毒網(wǎng)關
|
|
主機安全
|
入侵防范
|
采用服務器安全加固
|
|
安全審計
|
采用終端管理系統(tǒng)實現(xiàn)安全審計
|
|
惡意代碼防范
|
防病毒軟件
|
|
應用安全
|
身份鑒別
|
采用電子認證措施
|
|
安全審計
|
數(shù)據(jù)庫安全審計系統(tǒng)
|
|
數(shù)據(jù)安全與備份恢復
|
備份和恢復
|
本地數(shù)據(jù)備份與恢復
|
|
硬件冗余
|
關鍵網(wǎng)絡設備��、線路和服務器硬件冗余
|
|
異地備份
|
異地數(shù)據(jù)備份
|
三��、工作要求
1、切實加強組織領導��。擬定實施醫(yī)院信息系統(tǒng)安全等級保護的具體方案����,并制定相應的崗位責任制,召開專題會議��,確保信息安全等級保護工作順利實施�。
2、建立健全信息系統(tǒng)安全管理制度�。根據(jù)信息安全等級保護的要求,制定各項信息系統(tǒng)安全管理制度����,對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。
3��、制定保障醫(yī)療活動不中斷的應急預案���。按可能出現(xiàn)問題的不同情形制定相應的應急措施�,在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復的情況下能確保醫(yī)療活動持續(xù)進行��。
4��、嚴格執(zhí)行安全事故報告和處置管理制度。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責任發(fā)現(xiàn)和報告信息安全可疑事件��,應視情況及時以口頭或書面的形式逐級報告�。對重大信息網(wǎng)絡安全事件、安全事故和計算機違法犯罪案件��,應在24小時內(nèi)向公安機關報告��,并保護好現(xiàn)場����。
二〇一三年一月二十一日
