智能制造网APP
智能制造网手机站
智能制造网小程序
智能制造网官微
智能制造网服务号
信息安全等级保护概述
Information Security Level Protection Overview
-
什么是等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
-
医疗行业的等级保护建设
2012年,为贯彻落实《卫生部关于印发〈卫生行业信息安全等级保护工作的指导意见〉的通知》,进一步加强各省市卫生行业信息安全等级保护工作,全面提升卫生行业信息安全保护水平,全国各省全面开展信息安全等级保护工作。
等级保护发展历程
政策法规
(1994~2005)
- 1994年147号令
- 中办发[2003]27号
标准体系
(2005~2008)
- 等级保护划分准则(GB 17859-1990)
- 等级保护定级指南(GB/T 22240-2008)
- 等级保护基本要求(GB/T 22239-2008)
- 信息系统通用安全技术要求(GB/T 20271-2006)
测评体系
(2008~2010)
- 等保测评机构认证(100余家)
- 等保测评师培训认证
落地实施
(2010~至今)
- 二级系统数量5万余个
- 三级系统数量2万余个
- 四级系统数量100余个
等级保护工作意义
(1)责任更清晰
完成等保测评意味着当前的安全状况被机关认可,一旦发生安全事件则是天灾与意外;如果没有进行等级保护测评意味安全状况没有达到国家要求,一旦发生安全事件则是人祸,需要自己承担相关责任。
(2)安全建设体系化
以等级保护为标准开展安全建设,可以让安全建设更加体系化。通过从物理、网络、主机、应用和数据等多个方面成体系的进行安全建设,打破了传统头痛医头脚痛医脚的建设状况,能对各单位的安全建设提出整体的规划和思路。
等级保护整体解决方案
Level Protection Overall Solution
随着数字化医院评审标准的完善以及医院等级保护测评政策要求的落实,医疗卫生系统应围绕HIS、LIS、PACS等核心业务系统深入开展信息安全等级保护工作,并在此基础上指引后续信息化安全建设方向。通过对医院信息化现状调研、分析,结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求,协助医院逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得医院信息系统安全管理水平提高,安全保护能力增强,安全隐患和安全事故减少,有效保障信息化健康发展。
经过多年医疗卫生行业的安全建设经验的积累,我公司可提供针对医疗卫生信息系统全生命周期内的等级保护咨询、建设、运维等整体解决方案。
经过多年医疗卫生行业的安全建设经验的积累,我公司可提供针对医疗卫生信息系统全生命周期内的等级保护咨询、建设、运维等整体解决方案。
系统定级
概述
系统定级阶段的主要工作是参考等级保护定级标准对医院内部各类信息系统进行等级保护定级。根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的定级准则,结合医院及地方政策等实际情况进行系统定级。针对客户对于信息系统分类定级流程不清楚的情况,我公司可以提供完善的医疗信息系统定级备案咨询服务。可以根据客户单位性质、组织架构、业务特点等内容,帮助客户确定不同医疗信息系统的定级标准,协助编写定级报告及完善各类定级备案资料。医疗卫生行业客户面临的问题
1) 如何筛选定级系统,即确定哪些信息系统需要进行定级;2) 如何对选定的信息系统进行合理定级,即确定等级保护级别;
3) 如何进行定级备案,即该准备哪些文档、定级备案如何申请等。
解决方案
1) 政策咨询服务,包括涉及等级保护相关的国家政策、行业规范的咨询服务;2) 定级系统筛选,通过分析单位性质、组织架构、业务特点等工作,最终确定需要进行备案的信息系统;
3) 协助客户确认信息系统等级,帮助编写信息系统定级报告;
4) 备案服务,帮助客户检查备案相关资料,协助客户去机关进行备案。
相关定级参考
差距测评
概述
以计算机信息系统安全保护等级基本要求为依据,从技术要求、管理要求出发,对医院核心信息系统进行、多维度的安全评估,找出信息系统当前的安全技术措施与等级保护标准要求之间的差距。总结当前信息系统安全整改建设的需求,为医院后续的整改工作提供事实依据。医疗卫生行业客户面临的问题
1) 缺少专业的信息系统安全评估人员;2) 缺少专业的安全评估第三方工具及方法,比如配置核查、渗透测试等等级测评方法。
解决方案
1) 专家检查由经验丰富的安全工程师对信息系统进行人工检查,检查内容包括网络体系架构检查、安全配置基线检查、策略配置基线检查、安全补丁核查、系统平台安全检查等内容;
2) 漏洞检查
由自有知识产权的漏洞扫描工具对信息系统进行全方面的漏洞检测,包括主机漏洞扫描、系统漏洞扫描、应用漏洞扫描、源代码漏洞扫描等;
3) 渗透测试
包括黑盒/白盒测试方法、安全渗透测试专家的现场测试等方式发现信息系统存在的安全漏洞或风险;
4) 管理制度完善
结合等级保护相关管理要求,参照ISO27001、ISO20000等体系标准,完善单位内部管理制度,有效封堵制度漏洞。
系统整改
概述
以差距评测报告和信息系统安全等级保护基本要求为基本依据,对已经发现的安全问题进行整改。通过整体安全建设规划进行总体的安全技术设计,将不同层面的安全防护措施整合成一套安全防护体系,全面落实等级保护基本要求中对于物理安全、网络安全、主机安全、应用安全、数据安全等方面的要求,提升安全防护技术水平和能力。医疗卫生行业客户面临的问题
如何选择对应的安全产品或安全服务形成化的组合方式解决现有问题,保证投资的有效性,避免重复投资。解决方案
1) 根据差距评测报告及等级保护基本要求,完成总体安全设计规划,并协助客户完成相关安全产品或安全服务的采购;2) 根据差距评测报告及等级保护基本要求,完善系统架构优化、基线配置、安全加固配置等工作;
3) 根据差距评测报告及等级保护基本要求,制定不同设备的安全配置策略,并进行合理配置;
4) 根据差距评测报告及等级保护基本要求,根据实际情况,对内部管理制度进行补充,包括但不限于安全巡检、安全轮值等内容。
验收评测
概述
验收评测是由具备测评资质的机构依据等级保护相关要求对医疗信息系统开展的等级保护建设评估工作。在该过程中,我公司会提供完善的测评咨询服务,能够协助客户准备测评相关资料,并且我公司和全国大部分测评机构都有过广泛深度的合作,其中不乏战略合作伙伴,可以有力保障客户完成测评工作。医疗卫生行业客户面临的问题
1) 测评流程不清楚,包括需要准备哪些资料、测评的范围等;2) 缺乏现场测评经验,不知道在测评实施过程中需要提前准备哪些工作。
解决方案
1) 等级保护政策解读;2) 协助准备测评所需资料;
3) 测评实施过程中技术支撑。
系统备案
系统备案是指客户通过测评机构测评之后,去当地机关进行等级保护备案的过程。具体备案流程如下图所示:
运行维护
概述
按照信息安全等级保护管理办法要求,三级信息系统每年应该进行一次自查和第三方测评机构的测评,因此我公司针对三级信息系统比如HIS、LIS等医疗核心应用系统的后期运行过程中提供完整的安全防护解决方案和测评咨询服务。在三级信息系统每年的安全自查整改和系统评测过程中提供技术保障服务。产品及解决方案
典型应用
Typical Applications
-
临汾市人民医院信息安全改造
临汾市人民医院建设了HIS、EMR、PACS、LIS、MSMS等医疗信息系统,极大的提升了医院的综合实力,提高了医院的科学管理和医疗质量及服务效率。但是随着系统的不断升级,现有的信息化安全保护措施已经不满足医院的实际需求,同时配合国家医疗改革,需对医院进行升级、改造,满足等级保护和数字化医院的要求。
-
成都市双流区妇幼保健院
双流区妇幼保健院是一所集预防、医疗、保健、教学、科研、康复于一体的三级乙等妇幼保健院,介于出现过恶意统方行为,遂急需一套针对恶意统方的防统方系统来杜绝此类行为。
优炫软件的防统方系统,全面监控HIS系统的用药、药品库存信息使用状态,对恶意统方行为进行实时告警,便于管理人员能够快速定位统方行为并进行阻止。全面杜绝了医疗防统方行为,既满足了政策合规性,也避免了医院敏感数据泄露问题,可以全面提升医院的信息安全建设水平。
