一、資訊保安等級保護
資訊保安等級保護是對資訊和資訊載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種資訊保安領域的工作。在中國,資訊保安等級保護廣義上為涉及到該工作的標準、產品、系統、資訊等均依據等級保護思想的安全工作;狹義上稱為的一般指資訊系統安全等級保護,是指對****、法人和其他組織及公民的專有資訊以及公開資訊和儲存、傳輸、處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊保安產品實行按等級管理,對資訊系統中發生的資訊保安事件分等級響應、處置的綜合性工作。
二、工作目標
資訊系統運營使用單位在做好資訊系統安全等級保護定級備案工作基礎上,按照國家有關規定和標準規範要求,開展資訊保安等級保護安全建設整改工作。通過落實安全責任制,開展管理制度建設、技術措施建設,落實等級保護制度的各項要求,使資訊系統安全管理水平明顯提高,安全保護能力明顯增強,安全隱患和安全事故明顯減少,有效保障資訊化健康發展,維護****、社會秩序和公共利益。
三、工作內容
資訊系統運營使用單位在開展資訊保安等級保護安全建設整改工作中,應按照國家有關規定和標準規範要求,堅持管理和技術並重的原則,將技術措施和管理措施有機結合,建立資訊系統綜合防護體系,提高資訊系統整體安全保護能力。我院依據《國家資訊保安等級保護度(二級)》,落實資訊保安責任制,建立並落實各類安全管理制度,開展人員安全管理、系統建設管理和系統運維管理等工作,落實物理安全、網路安全、主機安全、應用安全和資料安全等安全保護技術施。
四、等級劃分
《資訊保安等級保護資訊保安等級保護管理辦法》規定,國家資訊保安等級保護堅持自主定級、自主保護的原則。資訊系統的安全保護等級應當根據資訊系統在****、經濟建設、社會生活中的重要程度,資訊系統遭到破壞後對****、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
資訊系統的安全保護等級分為以下五級:
第一級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害****、社會秩序和公共利益。
第二級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害****。
第**,資訊系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對****造成損害。
第四級,資訊系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對****造成嚴重損害。
第五級,資訊系統受到破壞後,會對****造成特別嚴重損害。
五、安全保護能力目標
各級資訊系統應通過安全建設達到以下安全保護能力目標:
第一級資訊系統:經過安全建設整改,資訊系統具有抵禦一般性攻擊的能力,防範常見計算機病毒和惡意**危害的能力;系統遭到損害後,具有恢復系統主要功能的能力。
第二級資訊系統:經過安全建設整改,資訊系統具有抵禦小規模、較弱強度惡意攻擊的能力,抵抗一般的自然災害的能力,防範一般性計算機病毒和惡意**危害的能力;具有檢測常見的攻擊行為,並對安全事件進行記錄的能力;系統遭到損害後,具有恢復系統正常執行狀態的能力。
第**資訊系統:經過安全建設整改,資訊系統在統一的安全保護策略下具有抵禦大規模、較強惡意攻擊的能力,抵抗較為嚴重的自然災害的能力,防範計算機病毒和惡意**危害的能力;具有檢測、發現、報警、記錄入侵行為的能力;具有對安全事件進行響應處置,並能夠追蹤安全責任的能力;在系統遭到損害後,具有能夠較快恢復正常執行狀態的能力;對於服務保障性要求高的系統,應能快速恢復正常執行狀態;具有對系統資源、使用者、安全機制等進行集中控管的能力。
第四級資訊系統:經過安全建設整改,資訊系統在統一的安全保護策略下具有抵禦敵對勢力有組織的大規模攻擊的能力,抵抗嚴重的自然災害的能力,防範計算機病毒和惡意**危害的能力;具有檢測、發現、報警、記錄入侵行為的能力;具有對安全事件進行快速響應處置,並能夠追蹤安全責任的能力;在系統遭到損害後,具有能夠較快恢復正常執行狀態的能力;對於服務保障性要求高的系統,應能立即恢復正常執行狀態;具有對系統資源、使用者、安全機制等進行集中控管的能力。
第五級安全保護能力:(略)。
六、實施原則
資訊系統安全等級保護實施過程中,遵循以下四條基本原則:
自主保護原則:資訊系統運營、使用單位及其主管部門按照國家相關法規和標準,自主確定資訊系統的安全保護等級,自行組織實施安全保護。
重點保護原則:根據資訊系統的重要程度、業務特點,通過劃分不同安全保護等級的資訊系統,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵資訊資產的資訊系統。
同步建設原則:資訊系統在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設資訊保安設施,保障資訊保安與資訊化建設相適應。
動態調整原則:要跟蹤資訊系統的變化情況,調整安全保護措施。由於資訊系統的應用型別、範圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規範和技術標準的要求,重新確定資訊系統的安全保護等級,根據資訊系統安全保護等級的調整情況,重新實施安全保護。
七、資訊保安等級保護計畫
依據我院資訊等級保護現狀制定以下原則、計畫
1、 原則:遵循重點保護原則,準備對我院重點資訊系統進行保護,系統有:his系統、電子病歷系統、pacs系統、lis系統。
其他資訊系統於以上系統在物理安全、網路安全、制度安全同樣適用,因此採用自主保護原則實行保護。
2、 計畫:計畫用三年左右的時間對我院資訊系統,按照等級保護目標、內容、二級甲等醫院資訊等級保護要求、實施原則,實施資訊保安等級保護制度。2023年年末首先對his系統進行資訊等級保護評測,2023年安排對電子病歷系統進行評測,2023年安排對pacs系統、lis系統進行評測。
八、資訊保安等級保護工作實施措施
(一)、加強領導
設立以分管院長為核心的資訊保安領導小組,領導小組辦公室設在資訊科科,由***同志兼任主任,***同志負責具體工作。
(二)、工作步驟及任務
1、做好系統定級工作。定級系統包括his系統、電子病歷系統、pacs系統、lis系統。定級標準按二級甲等醫院和***公安局要求定級。
2、做好系統備案工作。按照市衛生系統資訊保安等級保護劃分定級要求,對資訊系統進行定級後,將本單位《資訊系統安全等級保護備案表》《資訊系統定級報告》和備案電子資料報***公安局。
3、做好系統等級測評工作。完成定級備案後,選擇縣公安局推薦的等級測評機構,對已確定安全保護等級資訊系統,按照國家資訊保安等級保護工作規範和《資訊保安技術資訊系統安全等級保護基本要求》等國家標準開展等級測評。
4、完善等級保護體系建設做好整改工作。按照測評報告評測初稿結果,對照《資訊系統安全等級保護基本要求》等有關標準,組織開展等級保護安全建設整改工作。
5、整改結束後,及時將整改結果反饋到評測機構,由評測機構出據評測報告,及時將測評機構出具的《資訊系統等級測評報告》向***公安局報備。
***醫院資訊科
2014-11
三甲醫院實施國家資訊保安等級保護制度
國家資訊保安等級保護制度 一 醫療衛生行業的資訊化系統安全建設目標如下 實施國家資訊保安等級保護制度,實行資訊系統操作許可權分級管理,保障網路資訊保安,保護患者隱私。推動系統執行維護的規範化管理,落實突發事件響應機制,保證業務的連續性。二 醫療衛生行業的資訊化系統安全建設需求如下 需要加強資訊系統的...
國家資訊保安等級保護制度的貫徹與實施
國家資訊保安等級保護制度 的貫徹與實施 公安部公共資訊網路安全監察局 重要資訊系統安全監察處處長郭啟全 目錄一 我國在資訊保安保障工作中為什麼要實行等級保護制度 二 實行資訊保安等級保護制度能夠解決哪些主要問題 三 國家 有關部門和企業的責任和義務是什麼 四 近幾年來公安部牽頭,開展了哪些具體工作 ...
資訊保安等級保護的職責分工
個人資料整理,僅供個人學習使用 公安機關負責資訊保安等級保護工作的監督 檢查 指導。國家保密工作部門負責等級保護工作中有關保密工作的監督 檢查 指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督 檢查 指導。在資訊保安等級保護工作中,涉及其他職能部門管轄範圍的事項,由有關職能部門依照國家法律...