等保测评流程

信息安全等级保护工作流程1目录目录.................................................................................................................................................1一、等级保护流程................................................................................................................21.1基本流程....................................................................................................................21.2详细流程说明............................................................................................................21.2.1定级和备案......................................................................................................21.2.1.1定级标准...............................................................................................31.2.1.2定级方法...............................................................................................41.2.1.3医院定级参考.......................................................................................51.2.2信息安全等级保护整改.................................................................................61.2.2.1信息系统安全建设整改总体框架.....................................................71.2.2.2信息系统安全建设整改工作基本流程.............................................81.2.2.3安全管理制度建设..............................................................................91.2.2.4安全技术措施建设............................................................................121.2.3信息安全等级保护测评...............................................................................141.2.4公安机关检查................................................................................................151.2.4.1检查内容.............................................................................................16二、医院信息安全等级保护工作建议.............................................................................17信息安全等级保护工作流程2一、等级保护流程1.1基本流程定级备案信息安全等级保护整改信息安全等级保护测评（测评机构每年）公安机关检查（网监）1.2详细流程说明1.2.1定级和备案相关国家政策文件——关于开展全国重要信息系统安全等级保护定级工作的通知（公安部）相关部门指导文件——卫生行业信息安全等级保护工作的指导意见（卫生部）定级及等保指南文件——卫办发〔2011〕85号（卫生部）摘要：1、各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。说明：由运营使用单位（即医院）起草报告提交网监。2、当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。说明：定级由医院自主决定，但是有主管单位的需要由主管部门同意，医院需按照卫生主管部门意见。《信息系统安全等级保护定级报告》模版在《关于开展全国重要信息系统安全等级保护定级工作的通知》内。3、信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。说明：备案由医院提交备案表给网监。信息系统安全等级保护备案表模版在《关于开展全国重要信息系统安全等级保护定级工作的通知》内。4、三级甲等医院的核心业务信息系统信息系统安全保护等级原则上不低于第三级。说明：此定级标准为卫生部印发《卫生行业信息安全等级保护工作的指导意见（卫办发〔2011〕85号）》文件中第四条明确要求。信息安全等级保护工作流程31.2.1.1定级标准信息系统定级标准（《信息安全等级保护工作的实施意见》）：针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分五级：1.第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。2.第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。3.第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。4.第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。5.第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。定级参考模型：（参考《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》）被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息安全等级保护工作流程41.2.1.2定级方法信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级可以分别确定业务信息安全保护等级和系统服务安全保护等级，并取二者中的较高者为信息系统的安全保护等级。具体定级方法如下图所示：信息安全等级保护工作流程51.2.1.3医院定级参考医疗卫生信息系统重要的系统通常有如下系统：1.HIS系统：HospitalInformationSystem，医院信息系统。是指利用计算机软硬件技术、网络通信技术等现代化手段，对医院及其所属各部门的人流、物流、财流进行综合管理，对在医疗活动各阶段产生的数据进行采集、储存、处理、提取、传输、汇总、加工生成各种信息，从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。2.HMIS系统：HospitalManagementInformationSystem，医院管理信息系统。是支持医院的行政管理与事务处理业务，减轻事务处理人员劳动强度，辅助医院管理，辅助高层领导决策，提高医院工作效率，从而使医院能够以少的投入获得更好的社会效益与经济效益，像财务管理系统、人事管理系统、住院病人管理系统、药品库存管理系统等均属于HMIS的范围。3.CIS系统：ClinicalInformationSystem，临床信息系统。是支持医院医护人员的临床活动，收集和处理病人的临床医疗信息，丰富和积累临床医学知识，并提供临床咨询、辅助诊疗、辅助临床决策，提高医护人员工作效率和诊疗质量，为病人提供更多、更快、更好的服务，像医嘱处理系统、病人床边系统、重症监护系统、移动输液系统、合理用药监测系统、医生工作站系统、实验室检验信息系统、药物咨询系统等均属于CIS范围。4.LIS系统：LaboratoryInformationSystem，实验室信息系统。将实验仪器与计算机组成网络，使病人样品登录、实验数据存取、报告审核、打印分发，实验数据统计分析等繁杂的操作过程实现了智能化、自动化和规范化管理。5.PACS系统：PictureArchivingandCommunicationSystems，影像归档和通信系统。是把日常产生的各种医学影像（包括核磁，CT，超声，各种X光机，各种红外仪、显微仪等设备产生的图像）通过各种接口（模拟，DICOM，网络）以数字化的方式海量保存起来，当需要的时候在一定的授权下能够很快的调回使用，同时增加一些辅助诊断管理功能。6.EMR系统：ElectronicMedicalRecord，电子病历。是病人在医院诊断治疗全过程的原始记录，它包含有首页、病程记录、检查检验结果、医嘱、手术记录、护理记录等等。医院信息系统定级参考模型：系统名称影响客体侵害程度拟定等级保护级别医院门户网站社会秩序、医院利益一般损害2级内部办公系统医院利益严重损害2级面向患者服务系统社会秩序严重损害3级基础支撑系统公共利益严重损害3级注：医院门户网站上无在线挂号系统等公共服务系统加载，暂时可定级为2级，后期如加载相关公共服务系统时需考虑将门户网站也纳入安全保护体系中。信息安全等级保护工作流程61.2.2信息安全等级保护整改相关国家政策文件——关于开展信息安全等级保护安全建设整改工作的指导意见（公安部）相关国家指导文件——信息系统安全等级保护基本要求：GB/T22239—2008（公安部）摘要：1、一是信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任；二是人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；三是系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；四是系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。说明：《关于开展信息安全等级保护安全建设整改工作的指导意见》根据文件要求，运营使用单位（即医院）需做以下工作：确认信息安全工作的主管领导、责任部门、人员制定人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容