> 首頁 > 医疗卫生系统信息安全解決方案

信息安全等級保護概述

Information Security Level Protection Overview

等級保護發展曆程

政策法規
(1994~2005)

  • 1994年國務院147號令
  • 中辦發[2003]27號

標准體系
(2005~2008)

  • 等级保护划分准则(GB 17859-1990)
  • 等级保护定级指南(GB/T 22240-2008)
  • 等级保护基本要求(GB/T 22239-2008)
  • 信息系统通用安全技术要求(GB/T 20271-2006)

測評體系
(2008~2010)

  • 等保測評機構認證(100余家)
  • 等保測評師培訓認證

落地實施
(2010~至今)

  • 二級系統數量5萬余個
  • 三級系統數量2萬余個
  • 四級系統數量100余個

等級保護工作意義

  • (1)責任更清晰

    (1)責任更清晰

    完成等保測評意味著當前的安全狀況被公安機關認可,一旦發生安全事件則是天災與意外;如果沒有進行等級保護測評意味安全狀況沒有達到國家要求,一旦發生安全事件則是人禍,需要自己承擔相關責任。
  • (2)安全建設體系化

    (2)安全建設體系化

    以等級保護爲標准開展安全建設,可以讓安全建設更加體系化。通過從物理、網絡、主機、應用和數據等多個方面成體系的進行安全建設,打破了傳統頭痛醫頭腳痛醫腳的建設狀況,能對各單位的安全建設提出整體的規劃和思路。

等級保護整體解決方案

Level Protection Overall Solution
解決方案
随着数字化医院评审标准的完善以及医院等级保护测评政策要求的落实,医疗卫生系统应围绕HIS、LIS、PACS等核心业务系统深入开展信息安全等級保護工作,并在此基础上指引后续信息化安全建设方向。通过对医院信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、應用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,协助医院逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得医院信息系统安全管理水平提高,安全保护能力增强,安全隐患和安全事故减少,有效保障信息化健康发展。
经过多年医疗卫生行业的安全建设经验的积累,我公司可提供针对医疗卫生信息系统全生命周期内的等级保护咨询、建设、运维等整体解決方案。

系統定級

概述

系統定級阶段的主要工作是参考等级保护定级标准对医院内部各类信息系统进行等级保护定级。根据卫生部关于印发《卫生行业信息安全等級保護工作的指导意见》的定级准则,结合医院及地方政策等实际情况进行系統定級。针对客户对于信息系统分类定级流程不清楚的情况,我公司可以提供完善的医疗信息系統定級备案咨詢服務。可以根据客户单位性质、组织架构、业务特点等内容,帮助客户确定不同医疗信息系统的定级标准,协助编写定级报告及完善各类定级备案资料。

醫療衛生行業客戶面臨的問題

1) 如何篩選定級系統,即確定哪些信息系統需要進行定級;
2) 如何對選定的信息系統進行合理定級,即確定等級保護級別;
3) 如何進行定級備案,即該准備哪些文檔、定級備案如何申請等。

解決方案

1) 政策咨詢服務,包括涉及等级保护相关的国家政策、行业规范的咨詢服務;
2) 定級系統篩選,通過分析單位性質、組織架構、業務特點等工作,最終確定需要進行備案的信息系統;
3) 协助客户确认信息系统等级,帮助编写信息系統定級报告;
4) 備案服務,幫助客戶檢查備案相關資料,協助客戶去公安機關進行備案。

相關定級參考

差距測評

概述

以計算機信息系統安全保護等級基本要求爲依據,從技術要求、管理要求出發,對醫院核心信息系統進行全方位、多維度的安全評估,找出信息系統當前的安全技術措施與等級保護標准要求之間的差距。總結當前信息系統安全整改建設的需求,爲醫院後續的整改工作提供事實依據。

醫療衛生行業客戶面臨的問題

1) 缺少專業的信息系統安全評估人員;
2) 缺少專業的安全評估第三方工具及方法,比如配置核查、滲透測試等等級測評方法。

解決方案

1) 專家檢查
由經驗豐富的安全工程師對信息系統進行人工檢查,檢查內容包括網絡體系架構檢查、安全配置基線檢查、策略配置基線檢查、安全補丁核查、系統平台安全檢查等內容;
2) 漏洞檢查
由自有知識産權的漏洞掃描工具對信息系統進行全方面的漏洞檢測,包括主機漏洞掃描、系統漏洞掃描、應用漏洞掃描、源代碼漏洞掃描等;
3) 滲透測試
包括黑盒/白盒测试方法、安全滲透測試专家的现场测试等方式发现信息系统存在的安全漏洞或风险;
4) 管理制度完善
結合等級保護相關管理要求,參照ISO27001、ISO20000等體系標准,完善單位內部管理制度,有效封堵制度漏洞。

系統整改

概述

以差距评测报告和信息系统安全等级保护基本要求为基本依据,对已经发现的安全问题进行整改。通过整体安全建设规划进行总体的安全技术设计,将不同层面的安全防护措施整合成一套安全防护体系,全面落实等级保护基本要求中对于物理安全、网络安全、主机安全、應用安全、数据安全等方面的要求,最大程度提升安全防护技术水平和能力。

醫療衛生行業客戶面臨的問題

如何選擇對應的安全産品或安全服務形成最優化的組合方式解決現有問題,保證投資的有效性,避免重複投資。

解決方案

1) 根據差距評測報告及等級保護基本要求,完成總體安全設計規劃,並協助客戶完成相關安全産品或安全服務的采購;
2) 根據差距評測報告及等級保護基本要求,完善系統架構優化、基線配置、安全加固配置等工作;
3) 根據差距評測報告及等級保護基本要求,制定不同設備的安全配置策略,並進行合理配置;
4) 根據差距評測報告及等級保護基本要求,根據實際情況,對內部管理制度進行補充,包括但不限于安全巡檢、安全輪值等內容。

驗收評測

概述

驗收評測是由具备测评资质的机构依据等级保护相关要求对医疗信息系统开展的等级保护建设评估工作。在该过程中,我公司会提供完善的测评咨詢服務,能够协助客户准备测评相关资料,并且我公司和全国大部分测评机构都有过广泛深度的合作,其中不乏战略合作伙伴,可以有力保障客户完成测评工作。

醫療衛生行業客戶面臨的問題

1) 測評流程不清楚,包括需要准備哪些資料、測評的範圍等;
2) 缺乏現場測評經驗,不知道在測評實施過程中需要提前准備哪些工作。

解決方案

1) 等級保護最新政策解讀;
2) 協助准備測評所需資料;
3) 测评实施过程中技术支撑。

系統備案

系統備案是指客户通过测评机构测评之后,去当地公安机关进行等级保护备案的过程。具体备案流程如下图所示:

運行維護

概述

按照信息安全等級保護管理办法要求,三级信息系统每年应该进行一次自查和第三方测评机构的测评,因此我公司针对三级信息系统比如HIS、LIS等医疗核心應用系统的后期运行过程中提供完整的安全防护解決方案和测评咨詢服務。在三级信息系统每年的安全自查整改和系统评测过程中提供技术保障服务。

産品及解決方案

典型應用

Typical Applications

成功案例

MORE+