醫(yī)院信息系統(tǒng)安全等級保護(hù)工作實施方案

醫(yī)院信息系統(tǒng)安全等級保護(hù)工作實施方案醫(yī)院信息系統(tǒng)安全等級保護(hù)工作實施方案醫(yī)院信息系統(tǒng)安全等級保護(hù)工作實施方案資料僅供參考文件編號：2022年4月醫(yī)院信息系統(tǒng)安全等級保護(hù)工作實施方案版本號：A修改號：1頁次：1.0審核：批準(zhǔn):發(fā)布日期：關(guān)于做好信息安全等級保護(hù)工作的通知各科室：醫(yī)院信息系統(tǒng)是醫(yī)療服務(wù)的重要支撐體系。為貫徹落實國家信息安全等級保護(hù)制度，確保我院信息系統(tǒng)安全可靠運行，根據(jù)《湖北省衛(wèi)生廳湖北省公安廳關(guān)于開展全省衛(wèi)生行業(yè)信息安全等級保護(hù)工作通知》（鄂衛(wèi)發(fā)〔2012〕14號）精神，并結(jié)合我院信息系統(tǒng)應(yīng)用的特點，就相關(guān)事項通知如下。一、組織領(lǐng)導(dǎo)組長：副組長：組員：領(lǐng)導(dǎo)小組辦公室設(shè)在XX科，由XX同志兼任主任，ＸＸＸ等同志負(fù)責(zé)具體工作。二、工作任務(wù)1、做好系統(tǒng)定級工作。定級系統(tǒng)包括基礎(chǔ)支撐系統(tǒng)，面向患者服務(wù)信息系統(tǒng)，內(nèi)部行政管理信息系統(tǒng)、網(wǎng)絡(luò)直報系統(tǒng)及門戶網(wǎng)站，定級方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關(guān)部門協(xié)商。2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級保護(hù)劃分定級要求，對信息系統(tǒng)進(jìn)行定級后，將本單位《信息系統(tǒng)安全等級保護(hù)備案表》《信息系統(tǒng)定級報告》和備案電子數(shù)據(jù)報衛(wèi)生局，由衛(wèi)生局報屬地公安機關(guān)辦理備案手續(xù)。3、做好系統(tǒng)等級測評工作。完成定級備案后，選擇市衛(wèi)生局推薦的等級測評機構(gòu)，對已確定安全保護(hù)等級信息系統(tǒng)，按照國家信息安全等級保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》等國家標(biāo)準(zhǔn)開展等級測評，信息系統(tǒng)測評后，及時將測評機構(gòu)出具的《信息系統(tǒng)等級測評報告》向?qū)俚毓矙C關(guān)報備。4、完善等級保護(hù)體系建設(shè)做好整改工作。按照測評報告評測結(jié)果，對照《信息系統(tǒng)安全等級保護(hù)基本要求》等有關(guān)標(biāo)準(zhǔn)，組織開展等級保護(hù)安全建設(shè)整改工作，具體要求如下：

安全類別控制項主要安全措施二級保護(hù)措施三級保護(hù)措施物理安全物理訪問控制機房安排專人負(fù)責(zé)，來訪人員須審批和陪同√√重要區(qū)域配置門禁系統(tǒng)

√防盜竊和防破壞暴露在公共場所的網(wǎng)絡(luò)設(shè)備須具備安全保護(hù)措施√√主機房安裝監(jiān)控報警系統(tǒng)

√防雷擊機房計算機系統(tǒng)接地符合GB50057－1994《建筑物防雷設(shè)計規(guī)范》中的計算機機房防雷要求√√機房電源、網(wǎng)絡(luò)信號線、重要設(shè)備安裝有資質(zhì)的防雷裝置

√防火機房設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)√√機房配置自動滅火裝置

√電力供應(yīng)機房及關(guān)鍵設(shè)備應(yīng)配置UPS備用電力供應(yīng)√√醫(yī)院重要科室應(yīng)采用雙回路電源供電√√環(huán)境監(jiān)控機房設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施√√機房設(shè)置防水檢測和報警設(shè)施

√對機房關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽

√網(wǎng)絡(luò)安全結(jié)構(gòu)安全網(wǎng)絡(luò)應(yīng)按職能和重要程度不同劃分網(wǎng)段√√重要網(wǎng)段之間應(yīng)采用防火墻進(jìn)行隔離

√訪問控制網(wǎng)絡(luò)邊界部署防火墻或網(wǎng)閘√√安全審計網(wǎng)絡(luò)日志審計、網(wǎng)絡(luò)運維管理安全審計√√邊界完整性檢查采用準(zhǔn)入控制系統(tǒng)，實現(xiàn)準(zhǔn)入控制、非法外聯(lián)檢查√√采用準(zhǔn)入控制系統(tǒng)，實現(xiàn)準(zhǔn)入控制及非法外聯(lián)可阻斷

√入侵防范入侵檢測系統(tǒng)/入侵防御系統(tǒng)√√惡意代碼防范防病毒網(wǎng)關(guān)

√主機安全入侵防范采用服務(wù)器安全加固√√安全審計采用終端管理系統(tǒng)實現(xiàn)安全審計√√惡意代碼防范防病毒軟件√√應(yīng)用安全身份鑒別采用電子認(rèn)證措施√√安全審計數(shù)據(jù)庫安全審計系統(tǒng)√√數(shù)據(jù)安全與備份恢復(fù)備份和恢復(fù)本地數(shù)據(jù)備份與恢復(fù)√√硬件冗余關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路和服務(wù)器硬件冗余√√異地備份異地數(shù)據(jù)備份

√三、工作要求1、切實加強組織領(lǐng)導(dǎo)。擬定實施醫(yī)院信息系統(tǒng)安全等級保護(hù)的具體方案，并制定相應(yīng)的崗位責(zé)任制，召開專題會議，確保信息安全等級保護(hù)工作順利實施。2、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級保護(hù)的要求，制定各項信息系統(tǒng)安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操