医疗机构信息系统安全等级保护基本要求Word格式文档下载.docx
《医疗机构信息系统安全等级保护基本要求Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《医疗机构信息系统安全等级保护基本要求Word格式文档下载.docx(99页珍藏版)》请在冰豆网上搜索。
的
选
择
8.1.1.1.2
访
问
控
制
8.1.1.1.3
防
盗
窃
和
破
坏
8.1.1.1.4
雷
击
8.1.1.1.5
火
8.1.1.1.6
水
潮
8.1.1.1.7
静
电
8.1.1.1.8
温
湿
度
8.1.1.1.9
力
供
应
8.1.1.1.10电
磁
护
错误!
8.1
.1.2
网络安全
.1.2.1结
构
安
全
.1.2.2访
.1.2.3边
田宀
界兀
整性
检查
.1.2.4网
络
设备
防护
.1.2.5网
可
用性
.1.3
主机系统安全
.1.3.1身
份
鉴
别
.1.3.2访
.1.3.3安
审
计
8.1.134
恶
意
代码
范
8.1.135
资
源
8.1.136
主
机
用
性
8.1.1.4.
应用安全
8.1.1.4.1
身
8.1.1.4.2
8.1.1.4.3
8.1.1.4.4
通
信
宀兀
整
8.1.1.4.5
保
密
8.1.1.4.6
软
件
容
错
8.1.1.4.7
8.1.1.5.1完
8.1.1.5.2数据
8.1.1.5.3备份
8.1.2管理要求
8.121
8.121.1
管
8.121.2
定
8.1.2.1.3
评
8.1.2.2.
8.1.2.2.1
岗
恢
复
安全管理制度
制度
和发布
和修订
安全管理机构
设置
8.1.2.2.3
授
权
批
8.1.2.2.4
沟
合
作
8.1.2.2.5
核
检
查
8.1.2.3.
人员安全管理
8.1.2.3.1
人
员
录
8.1.2.3.2
离
8.1.2.3.3
考
8.1.2.3.4
全意识教育
和培
训
8.122.2人
配
备
8.1.2.3.5夕卜
部人
问管理
8.1.2.4
系统建设管理
8.1.241系
统
级
8.1.2.4.2
方
案
设
8.1.2.4.3
产
品
采
购
8.1.2.4.4
自
行
开
发
8.1.2.4.5
外
包
8.1.2.4.6
工
程
实
施
8.1.2.4.7
测
试
验
收
8.1.2.4.8
系
交
付
8.1.2.4.9
全服
务
商
8.1.2.5.
系统运维管理
8.1.2.5.1
环
境
8.125.2资产
8.1.2.5.3介质
8.1.2.5.4设备
8.1.2.5.5监控
8.1.2.5.6网络安
8.1.2.5.7系统安
8.1.2.5.8恶意代码
8.1.2.5.9密码
8.1.2.5.10变更
8.1.2.5.11备份与
8.1.2.5.12
处
安全
8.125.13
急
丿亠、
预案管理
8.2二
:
级
(增
强)安全要求
物理安全
选择
控制
破坏
防潮
821.1.8温
821.1.9
821.1.10电
8.2.1.2.
8.2.1.2.1
结
82122
82123
8.2.1.2.4
边
8.2.1.2.5
入
侵
8.2.1.2.6
网
8.2.1.2.7
821.3.
821.3.1
8.2.1.3.2
8.2.1.3.3
8.2.1.3.4
8.2.1.3.5
防范
8.2.1.3.6
8.2.1.3.7
821.4.
82141
8.2.1.4.2
82143
82144
剩
余
信息
82145
82146
82147
8.2.1.4.8
8.2.1.5.
数据安全
821.5.1
821.5.2
数
据
8.2.1.5.3
8.2.2管理要求
822.1
布
修
订
8.2.2.1.1
8.2.2.1.2
8.2.2.1.3
8.2.2.2
8.2.2.2.1
8.2.2.2.2
82223
82224
82225
8.2.2.3
人员安全管理
822.3.1
822.3.2
8.2.2.3.3
822.3.4
全意识
教育
822.3.5
问管
8.2.2.4.
8.2.2.4.1
8.2.2.4.2
8.2.2.4.3
8.2.2.4.4
8.2.2.4.5
夕卜
8.2.2.5.1
8.2.2.5.2
822.5.3
介
质
822.5.4
8.2.2.5.5
监
8.2.2.5.6
全管
82246工
82247
82248
82249
服
822.5.
822.5.7系
8.2.2.5.8恶
意代
码
822.5.9密
8.2.2.5.10变
更
8.2.2.5.11备
份与
8.2.2.5.12安
事
8.2.2.5.13应
预
附录A基本要求的选择和使用.
.错误!
1、判断医疗机构的信息系统是否具备定级的基本条件错误!
未指定书签。
2、根据医疗机构的分级选择不同级别的基本要求错误!
未指定书签。
3、部分区县中心(含)以上医疗机构可对二级(增强)要求进
行选择使用错误!
B1.物理环境的应用注释
B2.网络隔离的应用注释
B3.版本变更的应用注释
B4.数据加密的应用说明
未指定书签错误!
B5.其他
1前言
《国家信息化领导小组关于加强信息安全保障工作的意
见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安
全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全
等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。
医疗机构作为涉及国计民生
的重要组成部分,其安全保障事关社会稳定,必须按照27号文
件要求,全面实施信息安全等级保护。
因此,组织编制《医疗机构信息系统安全等级保护基本要求》,提出针对医疗机构信息安全等级保护工作的基本思路和具体要求,指导上海市医疗机构的信息安全保障工作。
2范围
本标准规定了医疗机构信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导本市医疗机构分等级的信息系统的安全建设和监督管理。
3一般模型
医疗机构信息系统(以下简称系统)模型的构造是对系统进行威胁分析,从而确定安全保障目标的基础。
《系统基本要求》将分别从技术、管理和业务应用三个层面提出各自的参考模型,具体如下。
技术模型、管理模型和应用模型既是三个相对独立的体系,又是两两相互作用,存在密切关系的有机耦合体。
技术模型支持应用模型的实现,管理模型是技术模型正常工作的保障,应用模
型又是技术模型和管理模型支持和管理的核心。
3.1技术模型
参考国际标准化组织()制定的开放系统互联标准()标准和标准对信息系统技术组成的构造方法,结合系统业务应用分类,给出系统的技术模型,如下图所示。
应用系统
综合业务11临床业务行政管理……
主机系统
1II||b
Web服务|Mail服务|数据库多媒体平台|中间件……1
■'
'
^1-11
illII.
Windows|SolarisiAIX(HP-UX|Linux|1
I.11111
网络系统
iII.
TCP/IP]IPX/SPXSNMP丨……1
物理环境
111|1.
场地:
机房;
网络布线;
设备;
存储设备;
……1
!
1
系统的技术参考模型描述主要从物理环境、网络系统、主机系统、应用系统4个层面进行描述。
a.物理环境
包括机房、场地、布线、设备、存储媒体等内容。
b.网络系统
指系统所基于的网络标准和网络结构;
网络标准主要基于协议、的网络标准,网络结构主要采用、的结构。
c.主机系统
主机系统指服务器操作系统平台及公共应用平台。
服务器操作系统主要采用服务器版的操作系统,通常有、等类型;
公
共应用平台主要有数据库平台和、、中间件等。
数据库平台一般采用可提供多个事务共享数据的网络数据库系统,常用的数据系
统,,2,等,数据访问通常采用两层或三层中间件结构。
d.应用系统
医院信息系统目前主要可分为综合业务、临床业务、行政管理三种类型。
3.2管理模型
参考国家标准19716《信息技术信息安全管理实用规则》和17799《:
》管理模型的构造方式,结合系统业务管
理特点,将管理模型分为信息安全管理基础(管理机构、管理制度、人员安全)和信息安全管理生命周期管理方法(建设管理、
管理机构
管理制度
人员安全
信息安全管理基础
a.管理制度
主要包括管理制度、制定和发布、评审和修订3个控制点
b.管理机构
主要包括岗位设置、人员配备、授权和审批、沟通和合作
以及审核和检查5个控制点。
c.人员安全
主要包括人员录用、人员离岗、人员考核、安全意识教育培训、外部人员访问管理等5个控制点。
d.建设管理
主要包括系统定级、
升级会员 