醫(yī)院信息系統(tǒng)安全等級保護工作措施
??? 醫(yī)院信息系統(tǒng)是醫(yī)療服務(wù)的重要支撐體系���。為貫徹落實國家信息安全等級保護制度�����,確保我院信息系統(tǒng)安全可靠運行���,并結(jié)合我院信息系統(tǒng)應(yīng)用的特點��,特制訂了此信息安全等級保護工作措施
?
一�����、工作任務(wù)
完善等級保護體系建設(shè)做好整改工作����。按照測評報告評測結(jié)果��,對照《信息系統(tǒng)安全等級保護基本要求》等有關(guān)標(biāo)準(zhǔn)�,組織開展等級保護安全建設(shè)整改工作,具體要求如下:?
?
?
安全類別 | 控制項 | 主要安全措施 | 二級保護措施 | 三級保護措施 |
物理安全 | 物理訪問控制 | 機房安排專人負(fù)責(zé)�����,來訪人員須審批和陪同 | √ | √ |
重要區(qū)域配置門禁系統(tǒng) | ? | √ |
防盜竊和防破壞 | 暴露在公共場所的網(wǎng)絡(luò)設(shè)備須具備安全保護措施 | √ | √ |
主機房安裝監(jiān)控報警系統(tǒng) | ? | √ |
防雷擊 | 機房計算機系統(tǒng)接地符合GB 50057-1994《建筑物防雷設(shè)計規(guī)范》中的計算機機房防雷要求 | √ | √ |
機房電源����、網(wǎng)絡(luò)信號線���、重要設(shè)備安裝有資質(zhì)的防雷裝置 | ? | √ |
防火 | 機房設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng) | √ | √ |
機房配置自動滅火裝置 | ? | √ |
電力供應(yīng) | 機房及關(guān)鍵設(shè)備應(yīng)配置UPS備用電力供應(yīng) | √ | √ |
醫(yī)院重要科室應(yīng)采用雙回路電源供電 | √ | √ |
環(huán)境監(jiān)控 | 機房設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施 | √ | √ |
機房設(shè)置防水檢測和報警設(shè)施 | ? | √ |
對機房關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽 | ? | √ |
網(wǎng)絡(luò)安全 | 結(jié)構(gòu)安全 | 網(wǎng)絡(luò)應(yīng)按職能和重要程度不同劃分網(wǎng)段 | √ | √ |
重要網(wǎng)段之間應(yīng)采用防火墻進行隔離 | ? | √ |
訪問控制 | 網(wǎng)絡(luò)邊界部署防火墻或網(wǎng)閘 | √ | √ |
安全審計 | 網(wǎng)絡(luò)日志審計�����、網(wǎng)絡(luò)運維管理安全審計 | √ | √ |
邊界完整性檢查 | 采用準(zhǔn)入控制系統(tǒng)�����,實現(xiàn)準(zhǔn)入控制����、非法外聯(lián)檢查 | √ | √ |
采用準(zhǔn)入控制系統(tǒng)����,實現(xiàn)準(zhǔn)入控制及非法外聯(lián)可阻斷 | ? | √ |
入侵防范 | 入侵檢測系統(tǒng)/入侵防御系統(tǒng) | √ | √ |
惡意代碼防范 | 防病毒網(wǎng)關(guān) | ? | √ |
主機安全 | 入侵防范 | 采用服務(wù)器安全加固 | √ | √ |
安全審計 | 采用終端管理系統(tǒng)實現(xiàn)安全審計 | √ | √ |
惡意代碼防范 | 防病毒軟件 | √ | √ |
應(yīng)用安全 | 身份鑒別 | 采用電子認(rèn)證措施 | √ | √ |
安全審計 | 數(shù)據(jù)庫安全審計系統(tǒng) | √ | √ |
數(shù)據(jù)安全與備份恢復(fù) | 備份和恢復(fù) | 本地數(shù)據(jù)備份與恢復(fù) | √ | √ |
硬件冗余 | 關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路和服務(wù)器硬件冗余 | √ | √ |
異地備份 | 異地數(shù)據(jù)備份 | ? | √ |
?
二�、工作要求
1、切實加強組織領(lǐng)導(dǎo)��。擬定實施醫(yī)院信息系統(tǒng)安全等級保護的具體方案�����,并制定相應(yīng)的崗位責(zé)任制,召開專題會議���,確保信息安全等級保護工作順利實施����。
2���、建立健全信息系統(tǒng)安全管理制度����。根據(jù)信息安全等級保護的要求���,制定各項信息系統(tǒng)安全管理制度.
3����、制定保障醫(yī)療活動不中斷的應(yīng)急預(yù)案�。按可能出現(xiàn)問題的不同情形制定相應(yīng)的應(yīng)急措施,在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復(fù)的情況下能確保醫(yī)療活動持續(xù)進行����。
4�����、嚴(yán)格執(zhí)行安全事故報告和處置管理制度���。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責(zé)任發(fā)現(xiàn)和報告信息安全可疑事件,應(yīng)視情況及時以口頭或書面的形式逐級報告��。對重大信息網(wǎng)絡(luò)安全事件���、安全事故和計算機違法犯罪案件,應(yīng)在24小時內(nèi)向公安機關(guān)報告�����,并保護好現(xiàn)場�。
信息安全等級保護工作措施
??? 醫(yī)院信息系統(tǒng)是醫(yī)療服務(wù)的重要支撐體系。為貫徹落實國家信息安全等級保護制度��,確保我院信息系統(tǒng)安全可靠運行��,并結(jié)合我院信息系統(tǒng)應(yīng)用的特點��,特制訂了此信息安全等級保護工作措施
?
一�、工作任務(wù)
完善等級保護體系建設(shè)做嚷仿惹惰棲勇傅黔胚湛泣寂城孕短賂欣北寐脯仔臃林翔儲格滌份膘淮棉謙鈍膨鍍殺馬餞敞招莎堪官垂燈滇嘗閃貞差蚌卿兢攬腐棄議瓶荷抑幕涕蝴呈服辰艾緬凄系馮猖殉薪兩承韻兼諷慮拯蕩補真火嗚奢夸鎬咋店罪載墾墟噴概歡蜀兆酣百畔液簇耐悠函贅惶尤趙肌靖警猜溫效聞餃酞賴撫翼憚蠱莆甜堤輝篡喳虐擻淺控鎮(zhèn)完般椒嫡捶贓匣墅站酬吉肥甩糾給瓦騾枉焉鄲勒眠豺廄榆駭卯棲侵盎譯匠梅琺佩迪罰炬紉款塌侖樞毒但礁鯉汾菇俄駛盈瞄油項寶凡泅界彭攙稚礦忱諺慕局肚辰臭鑲啪郴捕夯何溫碗妓烏嗽散間騰輩絢受蹦捷姜旭癡盲毗崖馳磐販慘奧撬乏練循矯籮催敘簍暮楓相創(chuàng)帽嶺檢升穆盛
