等保测评方案

服务创造价值、存在造就未来

当前位置:首页>等保测评方案

网络安全等级保护测评-等保2.0医疗行业的等保实施准则及案例

上架时间:2021-06-07
浏览次数:479
产品详情


随着互联网+的发展,医疗行业为了提供更便捷的就诊服务,也开始进行互联网的部分接入。但在开放便捷渠道的同时,也为黑客及一些不法分子提供了攻击医疗网络的渠道。因此,在等保2.0时代,医疗行业的测评对象也同样需要进行拓展,由原来的信息系统,拓展到新标准要求的测评范围,将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。

    本篇文章会为您介绍医疗行业等保实施准则、政策依据,以及近年来在医疗行业的等保案例解读。

   

01
NO.1医疗行业等级保护实施细则


    1.《卫生行业信息安全等级保护工作的指导意见》 卫办发〔2011〕85号

    2.《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》卫办综函〔2011〕1126号

    3.《关于印发基层医疗卫生机构管理信息系统建设项目指导意见的通知》

    4.《全国医院信息化建设标准与规范(试行)》

    5.《关于印发医疗质量安全核心制度要点的通知》国卫医发[2018]8号

    6.《社区医院基本标准和医疗质量安全核心制度要点(试行)的通知》

   

02
NO.2实施等级保护的政策依据


    卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知

    各省、自治区、直辖市卫生厅局,新理生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局∶为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)要求,我部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》。现印发给你们,请遵照执行。二——年十一月二十九日

    卫生行业信息安全等级保护工作的指导意见

    卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,制定本指导意见。

    一、工作目标

    依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护丁作长效机制。切实

    提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。

    二、工作原则

    (一)遭循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。

    (二)行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照"谁主管、谁负责,淮运营、谁负责"的要求,落实信息安全责任。

    (三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。

    三、工作机制

    地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。

    卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。

    联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总

    体情况,代表本地区与卫生部及同级信息安全等级保护管理部门讲行日常联系和交流,协调灌实本地区信息安全等

    级保护工作。卫生部和各省级卫生行政部门应当分别建立信息安全技术专家委员会,参与信息系统定级指导、备

    案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。

    四、工作任务(一)定级备案

    1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。

    国家信息安全等级保护制度将信息安全保护等级分为五级∶第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级∶

    (1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;

    (2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;(3)三级甲等医院的核心业务信息系统;(4)卫生部网站系统;

    (5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。

    2.拟定为第三级以上(含第三级)的卫生信息系统,应当经信息安全技术专家黔员会论证评审。

    3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关

    及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运云行应用

    的分支系统,应当报属地公安机关备案。

    (二)建设与整改

    1.对已确定安全保护等级的第一级以上(含第二级)节生信息系统,应当按照国家信息安全等级保护丁作规范和

    《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。

    2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。

    3.卫生行业各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管

    理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。

    (三)等级测评

    1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。

    2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。

    3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对干重要部门的第二级信息系统,可参照上

    述要求进行等级测评。

    (四)宣传培训

    1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提局各单位信息安全管理人员的技术能力和管理水平。2.卫生行业各单位应当开展内部信息安全培训。提升

    全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。

    (五)监督检查。

    1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作藻实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。

    2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促本单位开展信息安全等级保护工作。

    3.省级卫生行政部门信息化工作领导小组应当于每年年底,向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。

    五、工作要求

    (一)高度重视,加强领导。卫生行业各单位要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总素,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和T作绩效考核指标,一级抓—级,层层抓落实。

    (二)保障经费,加强监管。卫生行业各单位要建立经费投入机制,将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算,并加强对资金使用的监管。

    (三)加强沟通,密切合作。各级卫生行政部门应当加强与本地信息安全等级保护管理部门的沟通交流,建立协作机制,在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作,共同推进信息安全等级保护工作。

    国康网络安?全服务

03
NO.3医疗行业案例特点


    1.信息系统多,有HIS,LIS,PACS,EMR,对不当访问和准入控制要求高;

    2.对持续可靠的运行有非常高的要求,对病毒感染、黑客入侵防御要求高;

    3.安全设备未发挥最大效应,日志分析或分析类安全设备未发挥有效作用。

    4.信息安全、保密度高,如统方信息、孕妇新生儿信息等;

    5.医保卡、银联卡的使用与银行社保机构有数据交换;

    6.安全制度需要梳理,提升用户信息系统管理的能力,避免人为因素给系统带来的威胁。


04
NO.4案例解读


    一、芜湖市第一人民医院信息管理系统等保测评项目

    芜湖市第一人民医院位于芜湖市第一人民医院位于安徽省芜湖市鸠江区赤铸山东路1号,始建于1939年9月,占地面积231亩,建筑面积12.9万平米,是一所集医疗、预防、保健、康复、教学、科研和急救为一体的三级甲等综合性医院,是芜湖市医保和新农合定点医院,是同济大学上海市第十人民医院合作医院、东南大学中大医院合作医院、浙江大学医学部合作培训基地、浙江大学附属儿童医院协作医院、安徽省儿童医院医联体成员单位、皖南医学院临床学院,先后荣获国家爱婴医院、省省卫生系统职业道德示范单位、省文明单位、市创建文明行业活动先进单位、市文明单位标兵、市诚信医院、市无红包医院、市文明窗口等荣誉称号。

    项目范围:医院信息管理系统HIS系统、医院信息综合管理平台系统

    项目内容:

    1、进行网络梳理;

    2、根据现场测评结果出具问题点汇总;

    3、协助用户根据问题点汇总进行安全整改;

    4、进行漏洞扫描、渗透测试及安全性验证。

    5、出具等级测评报告。

    开展医疗行业的等保测评以及加固网络安全等工作,不仅需要参照等保2.0的标准开展,也需要加强技术和管理的结合,从内部网络安全防护做起,提高医护人员和医疗信息系统操作人员的网络安全意识和网络安全技术。同时通过提升网络安全技术和网络安全设备检测能力,增强防御外界攻击的能力。其外,引进网络安全人才或者寻找安全服务商合作,是加强医院自身的网络安全防护能力的非常关键。做好安全防护基础工作,是顺利通过等级保护测评的基础,专业的测评机构/安全服务商的专业指导能够加快等级保护测评的进程。

END


关键词:等保测评,网络安全等级保护测评,等保测评网,等保测评方案,等保测评公司,等保测评方案,等保测评机构,等保测评登记,,网络安全等级保护测评网

上一篇:网络安全等级保护测评-等保2.0政府行业的具体应用

下一篇:没有了!

发表评论:

评论记录:

未查询到任何数据!

在线咨询

点击这里给我发消息 售前咨询专员

点击这里给我发消息 售后服务专员

在线咨询

免费通话

24小时免费咨询

请输入您的联系电话,座机请加区号

免费通话

微信扫一扫

微信联系
返回顶部