2023醫(yī)療機(jī)構(gòu)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指南

醫(yī)療機(jī)構(gòu)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指南目 錄前 言 III醫(yī)療機(jī)構(gòu)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指南 1范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 1網(wǎng)絡(luò)安全（cybersecurity） 1等級(jí)保護(hù)對(duì)象（targetofclassifiedprotection） 1受侵害的客體（objectofinfringement） 2基本原則 2定級(jí)原理及流程 2定級(jí)原理 2定級(jí)過(guò)程 35.2.1確定定級(jí)對(duì)象 35.2.2確定受侵害客體 45.2.3對(duì)客體的侵害程度 55.2.4初步確定等級(jí) 55.2.1外部專家評(píng)審 65.2.1主管部門審核 6附5.2.2錄A公安機(jī)關(guān)備案 6（資料性）定級(jí)對(duì)象表 7附錄B（規(guī)范性）信息系統(tǒng)定級(jí)指引 9附錄C（資料性）信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告模板 11IIPAGEPAGE11PAGEPAGE10醫(yī)療機(jī)構(gòu)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指南范圍本標(biāo)準(zhǔn)給出了廣東省各級(jí)各類醫(yī)療機(jī)構(gòu)非涉及國(guó)家秘密的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)定級(jí)方法和定級(jí)流程。本標(biāo)準(zhǔn)適用于指導(dǎo)各級(jí)各類醫(yī)療機(jī)構(gòu)開展非涉及國(guó)家秘密的等級(jí)保護(hù)對(duì)象的定級(jí)工作。規(guī)范性引用文件GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》GB/T25058-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》《醫(yī)院信息化建設(shè)應(yīng)用技術(shù)指引》《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》《醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測(cè)方案》《醫(yī)院分級(jí)管理標(biāo)準(zhǔn)》術(shù)語(yǔ)和定義GB/T25069-2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。網(wǎng)絡(luò)安全（cybersecurity）通過(guò)采取必要的措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。等級(jí)保護(hù)對(duì)象（targetofclassifiedprotection）（受侵害的客體（objectofinfringement）受法律保護(hù)的等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的社會(huì)關(guān)系。（本標(biāo)準(zhǔn)中簡(jiǎn)稱“客體”）?；驹瓌t法規(guī)遵從原則適時(shí)調(diào)整原則重點(diǎn)保護(hù)原則分域保護(hù)原則定級(jí)原理及流程定級(jí)原理根據(jù)國(guó)家GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》的規(guī)定，醫(yī)療機(jī)構(gòu)信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益；第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。定級(jí)過(guò)程醫(yī)療機(jī)構(gòu)信息系統(tǒng)定級(jí)工作的一般流程如圖1定級(jí)流程圖所示：圖1定級(jí)流程圖確定定級(jí)對(duì)象（科醫(yī)院患A《定級(jí)對(duì)象表》。確定受侵害客體侵害國(guó)家安全的事項(xiàng)包括以下方面：影響國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力；影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定；影響國(guó)家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益；影響國(guó)家重要的安全保衛(wèi)工作；影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力；其他影響國(guó)家安全的事項(xiàng)。侵害社會(huì)秩序的事項(xiàng)包括以下方面：影響醫(yī)療機(jī)構(gòu)社會(huì)管理和公共服務(wù)的工作秩序；影響醫(yī)療機(jī)構(gòu)類型的經(jīng)濟(jì)活動(dòng)秩序；影響醫(yī)療機(jī)構(gòu)的科研、生產(chǎn)秩序；影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；其他影響社會(huì)秩序的事項(xiàng)。影響公共利益的事項(xiàng)包括以下方面：影響社會(huì)成員使用醫(yī)療機(jī)構(gòu)；影響社會(huì)成員獲取公開信息資源；影響社會(huì)成員接受公共服務(wù)等方面；其他影響公共利益的事項(xiàng)。影響公民、法人和其他組織的合法權(quán)益：對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害初步確定等級(jí)1BC.1定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系表受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)5.2.1 外部專家評(píng)審主管部門審核各級(jí)醫(yī)療機(jī)構(gòu)根據(jù)專家評(píng)審意見，報(bào)送各級(jí)衛(wèi)生健康委員會(huì)（局）；公安機(jī)關(guān)備案（市附 錄 A（資料性）定級(jí)對(duì)象表序號(hào)信息系統(tǒng)分類定義1臨床服務(wù)系統(tǒng)門急診掛號(hào)系統(tǒng)、門診醫(yī)生工作站、分診管理系統(tǒng)、住院病人入出轉(zhuǎn)系統(tǒng)、住院醫(yī)生工作站、住院護(hù)士工作站、電子化病歷書寫與管理系統(tǒng)、統(tǒng)、康復(fù)治療系統(tǒng)、?？齐娮硬v系統(tǒng)（眼科、產(chǎn)科、口腔等）2醫(yī)療管理系統(tǒng)/傳染病管理系統(tǒng)、科研管理系統(tǒng)、病案管理系統(tǒng)、導(dǎo)診管理系統(tǒng)、危急GCP不良事件報(bào)告系統(tǒng)3運(yùn)營(yíng)管理系統(tǒng)DRG理系統(tǒng)、OA、辦公系統(tǒng)、投訴管理系統(tǒng)、客戶服務(wù)管理系統(tǒng)4集成平臺(tái)3605上級(jí)和醫(yī)院間的信息共享、區(qū)域一卡通、區(qū)域遠(yuǎn)程醫(yī)療、區(qū)域醫(yī)療公眾服務(wù)、雙向轉(zhuǎn)診、區(qū)域病理共享、區(qū)域檢驗(yàn)共享、區(qū)域影像共享6接入外部機(jī)構(gòu)的系統(tǒng)CDC（疾控中心上報(bào)平臺(tái)或監(jiān)管平臺(tái)注：為方便管理，上述對(duì)象可合并管理的，建議合并定級(jí)。附 錄 B（規(guī)范性）受侵害客體業(yè)務(wù)信息安全賦值表B.1受侵害客體業(yè)務(wù)信息安全賦值表受侵害客體損害程度賦值國(guó)家安全不適用-社會(huì)秩序、公共利益一般2嚴(yán)重3特別嚴(yán)重4公民、法人和其他組織的合法權(quán)益一般、嚴(yán)重、特別嚴(yán)重1各醫(yī)療機(jī)構(gòu)結(jié)合定級(jí)對(duì)象被侵害后影響的受侵害客體進(jìn)行賦值。受侵害客體系統(tǒng)服務(wù)安全賦值B.2。表B.2系統(tǒng)服務(wù)安全賦值表服務(wù)對(duì)象影響范圍醫(yī)院級(jí)別賦值公共服務(wù)臨床服務(wù)系統(tǒng)、集成平臺(tái)一級(jí)1二級(jí)2三級(jí)3公共服務(wù)系統(tǒng)一級(jí)1二級(jí)2三級(jí)2組織內(nèi)部全院級(jí)運(yùn)營(yíng)管理系統(tǒng)、接入上級(jí)信息平臺(tái)一級(jí)1二級(jí)1三級(jí)2科室級(jí)運(yùn)營(yíng)管理系統(tǒng)一級(jí)1二級(jí)1三級(jí)1（市（一級(jí)及二級(jí)運(yùn)行的集中部署信息系統(tǒng)，應(yīng)參照三級(jí)醫(yī)院級(jí)別按不同影響范圍進(jìn)行取值。初步確定等級(jí)根據(jù)受侵害客體業(yè)務(wù)信息安全數(shù)值與受侵害客體系統(tǒng)服務(wù)安全數(shù)值情況，取最高值確定保護(hù)對(duì)象等級(jí)。定級(jí)對(duì)象取值=max{受侵害客體業(yè)務(wù)信息安全數(shù)值,受侵害客體系統(tǒng)服務(wù)安全數(shù)值}。最終根據(jù)表B.3初步確定定級(jí)對(duì)象等級(jí)。表B.3定級(jí)對(duì)象值與定級(jí)對(duì)象等級(jí)關(guān)系表定級(jí)對(duì)象數(shù)值定級(jí)對(duì)象等級(jí)4第四級(jí)3第三級(jí)2第二級(jí)1第一級(jí)附 錄 C（資料性）信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告模板B.1信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告一、XXX信息系統(tǒng)描述IP）XXX（（一）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定1、業(yè)務(wù)信息描述描述信息系統(tǒng)處理的主要業(yè)務(wù)信息等。2、業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定說(shuō)明信息受到破壞時(shí)侵害的客體是什么，即對(duì)三個(gè)客體（國(guó)家安全；社會(huì)秩序和公眾利益；公民、法人和其他組織的合法權(quán)益）中的哪些客體造成侵害。3、信息受到破壞后對(duì)侵害客體的侵害程度的確定4、業(yè)務(wù)信息安全等級(jí)的確定依據(jù)信息受到破壞時(shí)所侵害的客體以及侵害程度，確定業(yè)務(wù)信息安全等級(jí)。（二）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定1、系統(tǒng)服務(wù)描述描述信息系統(tǒng)的服務(wù)范圍、服務(wù)對(duì)象等。2、系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定（3、系統(tǒng)服務(wù)受到破壞后