1、医院信息化安全等保解决方案二级医院信息化安全等保解决方案二级医院信息化安全等保解决方案一、行业背景与需求 为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于 12月下发卫生部卫生行业信息安全等级保护工作的指导意见(卫办发 85号)(以下简称指导意见)。为贯彻指导意见,办公厅同时下发卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(卫办综函 1126号)(以下简称通知),对卫生行业各单位提出如下要求: 5月30日前完成本单位信息系统的定级备案工作;根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建
2、设整改方案; 12月30日前完成信息安全等级保护建设整改工作,并经过等级测评。指导意见根据信息安全技术信息系统安全等级保护定级指南(以下简称定级指南)、信息安全技术信息系统安全等级保护基本要求(以下简称基本要求),建议县区级医院的核心业务信息系统安全保护等级原则上不低于二级。各省卫生厅根据指导意见、定级指南、基本要求等相关规定,并结合本区域现状提出本区域内县区级医院定级要求,大部分省(市)定级要求如下:序号信息系统可能侵害的客体定级建议1HIS、LIS、PACS、门诊系统等公民、法人与其它组织合法权益二级2OA、网站、邮寄等公民、法人与其它组织合法权益二级二、迪普解决之道 为帮助县区医院落实国
3、家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解决方案。整体思路 县级医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。内网主要承载着HIS、LIS、PACS等医院信息系统,外网主要承载医院OA、网站、mail等信息系统。基本要求中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统,分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。