搜索
中国科学技术大学信息安全测评中心1/44开展我省医疗卫生行业等级保护工作的思考蒋凡中国科学技术大学信息安全测评中心中国科学技术大学信息安全测评中心2/44主要内容信息安全等级保护制度医疗信息系统特点医疗机构等保备案定级测评总结中国科学技术大学信息安全测评中心3/442信息安全等级保护现状信息安全等级保护制度3信息安全等级保护体系1信息安全等级保护制度的提出中国科学技术大学信息安全测评中心4/44信息安全等级保护制度的提出1994年国务院发布了《中华人民共和国计算机信息系统安全保护条例》(147号令)第9条明确规定“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日,《计算机信息系统安全保护等级划分准则》(GB17859-1999)发布,是我国计算机信息系统安全保护等级工作的基础。中国科学技术大学信息安全测评中心5/442信息安全等级保护现状信息安全等级保护制度3信息安全等级保护体系1信息安全等级保护制度的提出中国科学技术大学信息安全测评中心6/44信息安全等级保护制度的提出2004年公安部、保密局、密码管理局、国新办联合印发了《关于信息安全等级保护工作的实施意见》(66号文件),明确了等级保护的原则、内容、要求以及部门分工和实施计划。2007年公安部、保密局、密码管理局、国新办联合制定了《信息安全等级保护管理办法》,标志着我国等级保护制度的初步形成。2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(27号)明确指出“实行信息安全等级保护”。中国科学技术大学信息安全测评中心7/44信息安全等级保护标准体系标准体系GB/T22240-2008《信息安全保护等级定级指南》GB/T20269-2006《信息安全技术信息系统管理要求》GB/T20271-2006《信息安全技术信息系统通用技术要求》GB/T22239-2008《信息安全保护等级保护基本要求》标准体系标准体系标准体系GB/T20282-2006《信息安全技术信息系统安全工程管理要求》中国科学技术大学信息安全测评中心8/44定级要素与安全保护等级的关系受侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序第二级第三级第四级国家安全第三级第四级第五级中国科学技术大学信息安全测评中心9/44定级流程确定定级对象确定业务信息安全受到破坏时所侵害的客体确定系统服务安全受到破坏时所侵害的客体综合评定对客体的侵害程度业务信息安全等级综合评定对客体的侵害程度系统服务安全等级定级对象的安全保护等级中国科学技术大学信息安全测评中心10/442信息安全等级保护现状3信息安全等级保护体系1信息安全等级保护制度的提出信息安全等级保护制度中国科学技术大学信息安全测评中心11/44体系化管理方法-管理的体系化要素1系统地识别和管理组织所应用的过程,特别是过程间的相互作用。2PDCA模型又称戴明环,是持续改进的优秀方法。3管理职责管理活动中,管理者应该具备的职责要求。4包含人员分配、资金保证、物品配备等方面。5不断对管理活动进行检查,发现问题及时采取改进措施,从而实现持续改进。中国科学技术大学信息安全测评中心12/44PDCA模型中国科学技术大学信息安全测评中心13/44体系化需求•构建等级保护的体系化实施模型•在原有等级保护工作的基础上,使过程方法和PDCA模型更加完善和清晰化•补充其他体系化要素,形成完整的信息安全等级保护体系化实施方法中国科学技术大学信息安全测评中心14/44体系化实施流程1、实施指南建设思路2、等保二、三级系统建设4、等级保护持续改进3、等保自查与测评中国科学技术大学信息安全测评中心15/44实施指南—基本实施过程系统定级安全规划设计安全实施/实现安全运行管理系统终止局部调整重大变更中国科学技术大学信息安全测评中心16/44主要内容信息安全等级保护制度医疗信息系统特点医疗机构等保备案定级测评总结中国科学技术大学信息安全测评中心17/44医院的业务内网拓朴图©2008CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID1萝岗分院异地备份中心门诊楼中心机房住院楼医技楼门诊楼接入交换机肝病大楼急诊楼科学楼…门诊楼后座……磁盘阵列数据中心PACS以及HIS等服务器群高清视频通讯系统(与罗岗园区进行视频通讯)磁盘阵列或磁带库IT运营维护系统入侵防御防火墙……………卫生局社保银行外联单位中国科学技术大学信息安全测评中心18/44医疗信息系统特点作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。医院的网络系统连接着Internet、医保网和高校等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。中国科学技术大学信息安全测评中心19/44卫生部、中央编办、国家发展改革委、财政部和人力资源社会保障部制定的《关于公立医院改革试点的指导意见》,在加强公立医院管理一款中强调:“......,充分利用现有资源逐步建立医院之间、上级医院和基层医疗卫生服务机构之间、医院和公共卫生机构、医保经办机构之间的互联互通机制,构建便捷、高效的医院信息平台。”中国科学技术大学信息安全测评中心20/44医疗信息系统特点国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医院信息系统构筑至少应达到二级或以上防护要求。中国科学技术大学信息安全测评中心21/44医疗系统应重点关注的安全问题业务连续保障隐私保护与责任认定行为事件追溯信息安全管理36%23%19%15%7%物理环境保护中国科学技术大学信息安全测评中心22/44医疗卫生等级保护实施流程规划第一步:“评估定级,定义安全需求”。通过风险评估、系统定级、等级评估等服务组件识别系统的安全风险,确定系统的安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。第二步:“体系建设,定义安全需求”。通过体系设计制定等级方案,进行安全策略体系、安全组织体系、安全技术体系和安全运维体系建设,满足评估定级阶段形成的安全需求,实现按需防御。第三步:“安全运维,确保持续安全”。通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。中国科学技术大学信息安全测评中心23/442体系建设,定义安全需求医疗卫生等级保护实施流程规划3安全运维,确保持续安全1评估定级,定义安全需求中国科学技术大学信息安全测评中心24/44系统划分及定级建议原则上,卫生行业信息安全保护等级不超三级,以下重要信息系统保护等级不低于第三级:(1)跨市全省联网运行的信息系统;(2)省、市卫生信息平台,新农合、血液管理、社区妇幼管理、卫生监督、药品招标采购等省级应用系统和数据中心。(3)三级医院的核心业务信息系统;(4)其他经过信息安全技术专家委员会评定为三级的系统。中国科学技术大学信息安全测评中心25/44卫生行业信息系统分类建议公共卫生管理单位序号信息系统类别说明1网站2面向内部管理的信息系统如:内部电子政务信息系统等3面向公众服务的信息系统如:居民健康档案、卫生监督等核心业务系统4基础支撑系统如:机房、网络等医院序号信息系统类别说明1网站2面向内部管理的信息系统如:协同办公、医院资源管理等3面向公众服务的信息系统如:门诊系统、住院系统、以电子病历为核心的诊疗系统、LIS、RIS、PACS等4基础支撑系统如:医院平台、机房、基础网络等中国科学技术大学信息安全测评中心26/44卫生行业信息系统定级建议公共卫生管理单位序号信息系统类别建议定级省级单位市级单位县级单位1网站二级二级一级2面向内部管理的信息系统二级一级一级3面向公众服务的信息系统三级二级一级4基础支撑系统三级二级一级医院序号信息系统类别建议定级三级医院二级医院1网站二级一级2面向内部管理的信息系统二级一级3面向公众服务的信息系统三级二级4基础支撑系统三级二级中国科学技术大学信息安全测评中心27/44定级建议系统类别系统名称范围建议等级公共卫生信息系统卫生监督管理系统全市三级血液信息管理系统精神卫生管理信息系统医疗机构信息系统HIS系统(门急诊,电子病历)本单位二级LIS系统二级PACS系统二级医院网站一级OA系统一级中国科学技术大学信息安全测评中心28/44备案方法信息系统安全保护等级为第二级(含)以上的,由信息系统运营使用单位,在系统投入运行后(新建系统)或确定等级后(已运行的系统)30日内,填写《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》办理备案手续。已完成定级备案单位要参照本实施指南动态调整安全等级,未完成定级备案单位要抓紧到属地公安部门备案。省直医疗卫生单位信息系统和全省统一联网或跨市联网运行的信息系统,经省卫生厅审核后,统一报省公安厅备案;各市卫生局及下属单位、辖区内医疗卫生单位报属地市级公安机关备案。各市卫生局应将辖区内信息系统备案情况于每年末汇总后向卫生厅报备。中国科学技术大学信息安全测评中心29/442体系建设,定义安全需求医疗卫生等级保护实施流程规划3安全运维,确保持续安全1评估定级,定义安全需求中国科学技术大学信息安全测评中心30/44中国科学技术大学信息安全测评中心31/44P阶段-安全规划阶段等级保护制度基本要求项目统计基本要求二级三级技术要求物理1932网络1833主机1932应用1931数据48管理要求安全管理制度711安全管理机构920人员安全管理1116系统建设管理2845系统运维管理4162合计175490中国科学技术大学信息安全测评中心32/44D阶段-实施运行阶段-现状中国科学技术大学信息安全测评中心33/44D阶段-实施运行阶段-安全保障体系方案中国科学技术大学信息安全测评中心34/44在医疗机构信息系统中除了具有HIS系统、LIS系统、PACS系统等二级系统外,还有医院网站、OA系统的一级系统,那么在不同等级互联时,我们可采用的策略有:策略一:将所有系统放在一个安全域中,按照最高级别(三级和二级共存的情况,按照高级别的三级防护)进行防护;这样做的好处是所有系统都满足各自系统的防护需求;策略二:将所有三级系统放在一个安全域中,利用访问控制手段与其他系统进行隔离,并按照三级要求进行防护;将所有二级和一级系统分别放在一个安全域中,利用访问控制手段与其他系统进行隔离,并按照要求进行防护。两种策略各有优劣,根据医疗机构信息系统建设发展的具体情况进行选择。中国科学技术大学信息安全测评中心35/44C阶段-安全检查接受来自公安机关的检查,三级系统每年至少检查一次。选择认证的等级保护测评机构,三级系统每年至少测评一次。三级系统至少每年自查一次。信息系统安全状况、安全保护制度及措施的落实情况。自查等级测评检查中国科学技术大学信息安全测评中心36/44A阶段-处置改进阶段开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。1.查找差距根据信息系统安全保护现状分析结果,按照《信息系统安全等级保护基本要求》、《信息系统等级保护安全设计技术要求》等国家标准,制定信息安全等级保护建设整改方案。第三级(含)以上的安全建设整改方案须经省信息安全等级保护专家技术委员会论证。2.制定方案各单位应按照安全建设整改方案,完善安全保护措施,配备符合标准规范的安全产品,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体