安全等级保护管理办法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇安全等级保护管理办法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
安全等级保护管理办法范文第1篇
关键词:信息安全等级保护;机构管理;信息中心随着《信息安全等级保护实施指南》和《信息安全等级保护管理办法》等一系列文件颁布以来,医院如何开展等级保护工作,确保信息安全,已经变成热门话题。其中,负责医院信息安全等级保护工作的组织管理机构,主要从管理层和用户层对医院信息安全等级保护进行管理建设。管理层的主要工作是制定医院信息安全等级保护工作的管理办法;用户层的主要工作是依据管办法要求,进行沟通合作以及运行监控和审查检查工作。
1信息安全机构管理目的
信息安全等级保护工作是解决信息安全问题的基本方法,而信息安全不仅靠物理安全、网络安全、主机安全等具体技术上的实现,还需要建立健全的信息安全机构管理制度,贯彻信息安全工作和维持信息安全的建设成果,在技术和管理两个维度下保障信息安全保护体系在持续的运营工作中发挥应有的信息安全保护作用[1]。
2信息安全机构管理思路
2.1加强安全管理建设是实现等级保护组织机构管理的基础 医院信息安全管理需要由医院信息化领导机构协调进行。为了完成和强化信息安全的管理,需要建立相应的信息安全管理机构,这是医院信息安全等级保护实施的必要条件[2]。同时,安全组织管理建设也是重要组成内容,包括健全组织体系,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传部门,制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务等。
2.2相关管理办法制定是规范等级保护组织机构管理的根本保证 医院信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于医院信息系统的安全问题,不能企图单凭利用一些集成了信息安全技术的安全产品来解决,而必须配合等级保护的信息系统安全保障体系,制定相关管理办法,全方位综合解决系统安全问题。
2.3定期审查监控是实施等级保护组织机构管理的具体表现 根据医院对于信息安全等级保护的要求,安全等级保护除重视技术解决方案外,更应明确定期审查、检查和监控的必要性。包括:指定专员定期对系统进行安全巡查,检查的内容包含例如系统运行情况、系统漏洞确认、系统数据备份、现有安全技术措施有效性、安全配置与安全策略一致性、安全管理制度的执行情况等等。
3信息安全机构管理措施
医院信息安全管理体系依赖于信息安全等级保护管理建设的机构管理。根据医院当前信息安全管理需要和机构管理特点,和信息安全等级保护管理所要求的系统建设管理、系统运维管理、安全管理机构、安全管理制度和人员安全管理,笔者从岗位设置、人员配备、授权、审批、审查和沟通交流等方面分析医院信息管理机构建设,切实做到提升医院信息等级保护管理的能力。
3.1岗位设置 信息中心内部根据岗位划分不同,设置多个安全管理岗位包括系统管理员、网络管理员、安全管理员、安全审计员岗位,各岗位人员应按照自己的岗位职责,落实本岗位的信息安全工作[3]。
以我院为例,我院信息安全管理工作由院领导负责指导和管理,同时成立了医院级别的信息安全工作领导小组,由党委书记担任领导小组组长,由信息中心负责管理工作的具体落实,制定各信息系统相关岗位的岗位职责和工作标准并形成文件。
3.2人员配备 信息中心采用安全责任层层落实制,中心主任对医院所有信息化相关系统负责,网络工程师对医院所有网络建设及维护负责,系统工程师对医院服务器、数据库、存储和信息系统负责,信息安全工程师对医院网络安全、信息安全、机房物理安全负责,安全审计工程师对所有人的信息安全工作进行监督和审计,保证信息安全工作层层做实。
3.3授权和审批 医院信息中心对于外部厂商人员的相关操作均需进行审批流程,通过软件记录其所有操作行为,并保存进档。对于中心内部工作人员执行严格的离岗流程,由所在部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理正常的离职手续。
信息中心对于客户端操作系统权限、应用系统操作权限、数据库操作权限进行分级控制。内网客户端硬盘分区全部使用NTFS,管理员密码由信息中心网络组每月定时更换;对所有应用系统功能进行编号,对功能进行模块化管理,并对模块进行分级控制;同时,设置数据库用户,将不同应用的数据分别管理,赋予创建、修改、删除表及表内数据权限。
3.4审查和检查 医院信息中心日常检查由信息安全管理员进行,自检内容包括终端安全自检和软件管理自检,终端安全自检包括检查是否每台计算机安装防病毒软件,病毒库是否为最新版本,终端操作系统是否安装最新补丁,是否设置6位以上口令;软件管理自检包括检查软件是否为正版软件,软件管理的各项记录是否完整等。
构建信息安全综合防护体系保证医院各系统能够长期稳定安全运行,满足了医院不断扩展的业务应用和管理需要。本文对信息安全机构管理的目的、思路和措施进行了详细的分析阐述,对相关工作人员和机构具有一定的启示意义。同时,通过梳理分析业务特点和管理流程,依据等级保护相关政策和标准,明确安全管理需求,笔者所在医院信息管理中心整理并制定出符合医院信息系统实际情况的一套信息安全管理体系文件,并在2012年公安局等级保护测评中被评为三级。
参考文献:
[1]苏丹.医院信息系统安全与管理[J].中国信息界(e医疗),2013,(05):58-59.
安全等级保护管理办法范文第2篇
关键词:等级保护;信息安全;风险评估
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Applied Research of Classified Protection in Information Security
Lv Chunmei,Han Shuai,Hu Chaoju
(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)
Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.
Keywords:Classified protection;Information security;Risk assessment
随着信息化的快速发展,计算机网络与信息技术在各个行业都得到了广泛应用,对信息系统进行风险分析和等级评估,找出信息系统中存在的问题,对其进行控制和管理,己成为信息系统安全运行的重点。
一、信息系统安全
信息安全的发展大致为以下几个阶段,20世纪40-70年代,人们通过密码技术解决通信保密,保证数据的保密性和完整性;到了70-90年代,为确保信息系统资产保密性、完整性和可用性的措施和控制,采取安全操作系统设计技术;90年代后,要求综合通信安全和信息系统安全,确保信息在存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务,以及包括检测、记录和对抗此类威胁的措施,代表是安全评估保障CC;今天,要保障信息和信息系统资产,保障组织机构使命的执行,综合技术、管理、过程、人员等,需要更加完善的管理机制和更加先进的技术,出台的有BS7799/ISO17799管理文件[1]。
二、信息安全等级保护
信息安全等级保护是指对信息系统分等级实行安全保护,对信息系统中发生的信息安全事件等分等级响应、处置,对设备设施、运行环境、系统软件以及网络系统按等级管理。风险评估按照风险范畴中设定的相关准则进行评估计算,同时结合信息安全管理和等级保护要求来实施。现在越来越注重将安全等级策略和风险评估技术相结合的办法进行信息系统安全管理,国内2007年下发《信息安全等级保护管理办法》,规范了信息安全等级保护的管理。ISO/IEC 27000是英国标准协会的一个关于信息安全管理的标准[2]。
三、等级保护划分
完整正确地理解安全保护等级的安全要求,并合理地确定目标系统的保护等级,是将等级保护合理地运用于具体信息系统的重要前提[3]。国家计算机等级保护总体原则《计算机信息系统安全保护等级划分准则》(GB 17859)将我国信息系统安全等级分为5个级别,以第1级用户自主保护级为基础,各级逐渐增强。
第一级:用户自主保护级,通过隔离用户和数据,实施访问控制,以免其他用户对数据的非法读写和破坏。
第二级:系统审计保护级,使用机制来鉴别用户身份,阻止非授权用户访问用户身份鉴别数据。
第三级:安全标记保护级,提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。
第四级:结构化保护级,将第三级的自主和强制访问控制扩展到所有的主体和客体。加强鉴别机制,系统具有相当的抗渗透能力。
第五级:访问验证保护级,访问监控器仲裁主体对客体的全部访问,具有极强的抗渗透能力。
四、信息系统定级
为提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作[4],定级范围包含:
1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
2.铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通等重要信息系统。
3.市(地)级以上党政机关的重要网站和办公信息系统。
4.涉及国家秘密的信息系统。各行业根据行业特点指导本地区、本行业进行定级工作,保障行业内的信息系统安全。
五、等级保护在行业中应用
(一)等级保护在电力行业信息安全中的应用
国家电网公司承担着为国家发展电力保障的基本使命,对电力系统的信息安全非常重视,已经把信息安全提升到电力生产安全的高度,并陆续下发了《关于网络信息安全保障工作的指导意见》和《国家电网公司与信息安全管理暂行规定》。
(二)电信网安全防护体系研究及标准化进展
《国家信息化领导小组关于加强信息安全保障工作的意见》和《2006~2020年国家信息化发展战略》的出台,明确了我国信息安全保障工作的发展战略[5]。文中也明确了“国家公用通信网”包括通常所指“基础电信网络”、“移动通信网”、“公用互联网”和“卫星通信网”等基础电信网络。将安全保障的工作落实到电信网络,充分研究安全等级保护、安全风险评估以及灾难备份及恢复三部分内容,将三部分工作有机结合,互为依托和补充,共同构成了电信网安全防护体系。
六、结束语
安全等级保护是指导信息系统安全防护工作的基础管理原则,其核心内容是根据信息系统的重要程度进行安全等级划分,并针对不同的等级,提出安全要求。我国信息安全等级保护正在不断地完善中,相信信息保护工作会越做越好。
参考文献:
[1]徐超汉.计算机信息安全管理[M].北京:电子工业出版社,2006,36-89
[2]ISO27001.信息安全管理标准[S].2005
[3]GB17859计算机信息系统安全保护等级划分准则[S].1999
[4]关于开展全国重要信息系统安全等级保护定级工作的通知[EB/OL].公信安[2007]861号,20070716.
安全等级保护管理办法范文第3篇
一、工作目标
依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则
(一)遵循标准,重点保护。遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。在信息系统规划设计与建设过程中,同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时,应当重新调整信息系统安全保护等级,及时完善安全保障措施。
三、工作机制
地方各级卫生行政部门承担本地卫生信息安全责任,信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信息安全等级保护工作的组织协调、监督指导,并组织开展本单位信息安全等级保护工作。
卫生部建立信息安全等级保护工作联络员机制,各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生部及同级信息安全等级保护管理部门进行日常联系和交流,协调落实本地区信息安全等级保护工作。
卫生部和各省级卫生行政部门应当分别建立信息安全技术专家委员会,参与信息系统定级指导、备案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。
四、工作任务
(一)定级备案。
1.卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查,对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。
国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
2.拟定为第三级以上(含第三级)的卫生信息系统,应当经信息安全技术专家委员会论证、评审。
3.卫生行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
(二)建设与整改。
1.对已确定安全保护等级的第二级以上(含第二级)卫生信息系统,应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准,开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。
2.根据信息系统安全保护现状分析结果,按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准,制订信息系统安全等级保护建设整改方案。第三级以上(含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。
3.卫生行业各单位应当按照信息系统安全建设整改方案,完善安全保护设施,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和信息安全管理体系,有效保障卫生信息系统安全。
(三)等级测评。
1.系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。
2.测评合格后,应当将测评报告报属地公安机关及卫生行政部门备案。
3.应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。对于重要部门的第二级信息系统,可参照上述要求进行等级测评。
(四)宣传培训。
1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训,提高各单位信息安全管理人员的技术能力和管理水平。
2.卫生行业各单位应当开展内部信息安全培训,提升全员信息安全意识,规范信息安全操作行为,提高信息安全保障能力。
(五)监督检查。
1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况,并督促部机关重要信息系统责任单位开展信息安全等级保护工作。
2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况,并督促本单位开展信息安全等级保护工作。
3.省级卫生行政部门信息化工作领导小组应当于每年年底,向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。
五、工作要求
(一)高度重视,加强领导。卫生行业各单位要高度重视,充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总责,分管负责同志要具体抓,明确职责与任务,突出重点,将信息安全等级保护工作列入重要议事日程和工作绩效考核指标,一级抓一级,层层抓落实。
安全等级保护管理办法范文第4篇
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
安全等级保护管理办法范文第5篇
信息安全等级保护建设背景
信息安全等级保护制度是我们国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
2011年,原卫生部了《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)。针对医疗卫生行业的信息系统,原卫生部办公厅于2011年下发了《卫生行业信息安全等级保护工作的指导意见》(卫发办〔2011〕85号)要求三级甲等医院的核心业务信息系统信息安全等级保护定级不低于第三级,并且要求2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
医疗行业面临的主要风险
1.医疗行业特点
随着我国医疗卫生事业的迅速发展,医学科学的不断进步,医药卫生事业体制改革的逐步深入,医院生存和发展的外部环境和内部机制都发生了很大的变化。当今计算机信息和网络通信技术的深入发展为提高医院管理水平创造了良好的条件,医院信息化建设也因此逐渐在我国各级医院中迅猛发展。目前医疗行业信息化有如下特点:系统运行连续性要求高,要求7×24小时不间断服务;网络间断时间不允许超过2小时;信息高度集成,所有信息需要集中使用;异构系统多,系统复杂度高;系统间接口复杂,涉及厂家多;系统内存储资料价值较高,存储着医院大量运用数据,其中包含大量患者隐私;存储的数据内容本身具备法律效力;核心网络采用网络物理隔离。
2.信息系统的威胁来源
信息系统的威胁来源主要可以分为两个方面,一个是环境因素造成的威胁,另一个方面是人为因素造成的威胁,而人为因素所带来的损失往往是不可估量的。
在环境因素方面,威胁主要来自于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障。
在人员因素方面又可以分为有意和无意两种情况,对于有意而为之的人,通常指恶意造成破坏的人,怀不满情绪的或有预谋的内部人员对信息系统进行恶意破坏,采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。而外部人员也可以利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力。对于无意的情况来说,通常指管理人员没有意识到问题或者没有尽心尽责的工作。例如,内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。
3.信息系统负面影响
医院内部的信息系统如果受到威胁、入侵或被破坏等,会给国家、医院以及人民的利益带来严重的影响。
系统如果出现宕机的现象,首先会造成患者情绪激动,耽误治疗流程,甚至会威胁到患者生命的安危。其次会造成门诊业务人员、主治医生、护士等工作人员的工作慌乱,甚至成为情绪激动患者的放矢对象。门诊办主任、主管院领导、医院院长电话问询,信息中心则会电话不断、手忙脚乱。医院业务停顿,从经济上受损失,而媒体也会曝光医院,使得医院信誉受损。
如果医院信息系统的内部信息丢失,则会造成员工信息被公开、患者信息泄露等风险。例如,据《劳动报》报道,一名负责开发、维护市卫生局出生系统数据库的技术部经理利用工作之便,在2011年至2012年4月期间,每月两次非法进入该院数据库,偷偷下载新生儿出生信息并进行贩卖,累计达到了10万条,给医疗卫生行业带来了严重的负面影响。
信息安全等级保护建设体系
由于医院信息系统复杂的特点、面临的威胁及产生负面影响的严重性,医院开展信息安全等级保护建设工作就尤为重要,急需一套适合医院的等级保护安全防御体系。
信息安全等级保护体系主要包括技术与管理两方面,在安全技术方面包括:物理安全、网络安全、主机安全、应用安全、数据安全;在安全管理方面包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。这10个方面里每一项都有若干控制项,顺利通过测评至少要达到控制项的80%以上(表1)。
如表1所示,控制项中G表示基本要求类,三级必须达到G3标准;S表示业务信息安全类,A表示系统服务保证类,三级标准中S与A任选一项达到三级即可。
根据信息安全等级保护标准,我院主要建设经验如下:
1.信息安全技术
(1)物理安全:数据中心机房是物理安全的核心,机房的装修工程、动力配电系统、空调新风系统、消防系统、综合布线系统等均需按照A级机房标准进行建设。此外,日常的管理工作也尤为重要,在物理权限控制方面应配备门禁系统,并且应做到两种或两种以上的身份识别机制,如指纹加密码或IC卡加密码等。环境监控方面除了每天定时的人员巡检还应在机房及各设备间部署监控系统,利用传感器监控温湿度、漏水、电压、设备状态等信息,一旦发生异常通过短信及时告知机房管理人员。
(2)网络安全:按照等级保护思路进行安全域的划分,将不同级别的信息系统通过防火墙和网闸进行隔离,根据每个安全域的特点设定不同的安全策略。服务器安全域制定细粒度访问控制列表,仅开放必要的端口,并在旁路架设网络流量审计设备和入侵检测系统,对所有流量进行记录及审计,能够及时发现攻击行为;客户端安全域制定网络准入和非法外联策略,禁止未经授权的计算机随意接入医院网络,并且通过管理软件和网闸控制内网的计算机随意访问外网或互联网;架设安全管理域,该区域主要用于对网络设备、服务器、安全设备的管理,并集中收集设备的日志,及时通过分析日志发现安全隐患。
(3)安全:服务器进行统一安全策略的制定,部署网络版杀毒系统、补丁分发系统、入侵防范系统等,并结合服务器承载的业务特点制定详细的资源控制列表,按照最小授权原则,授予最低资源访问权限。
(4)应用安全:部署数据库审计系统,对所有流经数据库的网络流量进行数据分析,制定审计策略,发生违规数据操作及时通过短信报给安全审计人员;同时部署CA数字签名系统,医生通过USBKEY进行系统登录,并对其所有操作进行数字签名,有效保证了应用系统的安全性及数据的不可抵赖性。
(5)数据安全:利用专业的数据备份软件在异地部署数据备份中心,对各系统数据库和文件继续高频率集中加密备份,并且应至少六个月进行一次数据还原演练,保证在出现问题是可以有效进行恢复。
2.信息安全管理
(1)安全管理制度:从医院层面制定信息安全管理制度,对信息安全制度进行重新整理修改,规定信息安全的各方面应遵守的原则、方法和指导策略,指定具体管理规定、处罚措施。制度应具备可操作性,同时应由专人负责随时进行修正,并由信息安全领导小组进行评审,最终进行。
(2)安全管理机构:组织建立信息安全工作领导小组,设置信息安全管理岗位,设立独立的系统管理员、网络管理员、安全管理员、安全审计员等岗位,制定各岗位的工作职责,与各岗位相关人员签署保密协议。同时制定沟通协作机制,内部定期组织会议进行信息安全工作部署,外部每日向公安局上报备案信息系统的安全情况,与数据库、存储、网络设备、安全设备等厂商签署协议,提供所有设备的备机备件,每月进行设备巡检,并要求在发生紧急事件时及时到场提供技术支持。
(3)人员安全管理:在人员录用方面,严格审查人员的背景、身份,并签署保密协议,人员离岗时执行离岗流程,各部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理离职手续。同时定期对人员进行相关培训,每周进行一次内部培训,每年进行两次外部培训。对于外部厂商人员,其对设备的相关操作均需进行审批流程,并通过技术手段记录所有操作行为,做好操作记录,并不定期进行行为审计。
