收藏
下载资源

卫生信息安全保障体系建设指导意见

上传人:F****n 文档编号:93491804 上传时间:2019-07-23 格式:DOC 页数:76 大小:1.06MB
返回 下载 相关 举报
卫生信息安全保障体系建设指导意见_第1页
第1页 / 共76页
卫生信息安全保障体系建设指导意见_第2页
第2页 / 共76页
卫生信息安全保障体系建设指导意见_第3页
第3页 / 共76页
卫生信息安全保障体系建设指导意见_第4页
第4页 / 共76页
卫生信息安全保障体系建设指导意见_第5页
第5页 / 共76页
点击查看更多>>
资源描述

《卫生信息安全保障体系建设指导意见》由会员分享,可在线阅读,更多相关《卫生信息安全保障体系建设指导意见(76页珍藏版)》请在金锄头文库上搜索。

1、河南省卫生信息安全保障体系建设指导意见 河南省卫生厅信息中心2013年8月目 录第1章 概述51.1 建设背景51.2 建设依据51.3 建设原则51.4 建设目标6第2章 安全风险分析82.1 技术层面威胁与风险82.2 管理层面威胁与风险9第3章 信息安全等级保护113.1 定级原理113.1.1 信息系统安全保护等级113.1.2 信息系统安全保护等级的定级要素113.1.3 定级要素与等级的关系123.1.4 确定定级对象的安全保护等级123.2 系统定级建议133.3 系统备案143.4 宣传培训163.5 监督检查16第4章 技术安全体系建设要求174.1 物理安全防护174.1.

2、1 第二级建设要求174.1.1.1 环境安全174.1.1.2 设备安全204.1.1.3 记录介质安全204.1.2 第三级建设要求204.1.2.1 环境安全204.1.2.2 设备安全214.1.2.3 记录介质安全224.2 计算机环境安全防护224.2.1 第二级建设要求234.2.1.1 用户身份鉴别234.2.1.2 自主访问控制234.2.1.3 系统安全审计244.2.1.4 客体安全重用244.2.1.5 恶意代码防范244.2.1.6 备份与恢复254.2.2 第三级建设要求254.2.2.1 用户身份鉴别254.2.2.2 自主访问控制254.2.2.3 标记和强制访

3、问控制254.2.2.4 系统安全审计264.2.2.5 用户数据完整性保护264.2.2.6 用户数据保密性保护264.2.2.7 客体安全重用274.2.2.8 恶意代码防范274.2.2.9 备份和恢复274.3 区域边界安全防护274.3.1 第二级建设要求274.3.1.1 区域边界协议过滤274.3.1.2 区域边界恶意代码防范274.3.1.3 区域边界安全审计284.3.1.4 区域边界完整性保护284.3.2 第三级建设要求284.3.2.1 区域边界访问控制284.3.2.2 区域边界协议过滤294.3.2.3 区域边界安全审计294.3.2.4 区域边界恶意代码防范294

4、.3.2.5 区域边界完整性保护294.4 通信网络安全防护304.4.1 第二级建设要求304.4.1.1 通信网络安全审计304.4.1.2 通信网络数据传输完整性保护304.4.2 第三级建设要求304.4.2.1 通信网络安全审计304.4.2.2 通信网络数据传输完整性保护304.4.2.3 通信网络数据传输保密性保护314.5 安全管理中心314.5.1 第二级建设要求324.5.1.1 系统管理要求324.5.1.2 审计管理要求324.5.2 第三级建设要求324.5.2.1 系统管理中心要求324.5.2.2 安全管理中心要求324.5.2.3 审计管理中心要求334.6 数

5、据安全与容灾344.7 终端安全建设要求344.7.1 第二级建设要求344.7.2 第三级建设要求344.8 应用安全建设要求354.8.1 第二级建设要求354.8.1.1 身份鉴别354.8.1.2 访问控制354.8.1.3 安全审计364.8.1.4 软件容错364.8.1.5 资源控制364.8.2 第三级建设要求364.8.2.1 身份鉴别364.8.2.2 访问控制364.8.2.3 安全审计374.8.2.4 客体安全重用374.8.2.5 抗抵赖374.8.2.6 软件容错374.8.2.7 资源控制37第5章 安全管理方案设计385.1 安全管理制度385.1.1 管理制

6、度385.1.2 制定和发布405.1.3 评审和修订405.2 安全管理机构405.2.1 岗位设置405.2.2 人员配备415.2.3 授权和审批415.2.4 沟通和合作415.2.5 审核和检查425.3 人员安全管理425.3.1 信息系统管理人员录用425.3.2 信息系统管理人员离岗435.3.3 信息系统管理人员考核435.3.4 安全意识教育和培训435.3.5 外部人员访问管理455.4 系统建设管理455.4.1 安全方案设计455.4.2 产品采购和使用465.4.3 自行软件开发465.4.4 外包软件开发475.4.5 工程实施475.4.6 测试验收475.4.

7、7 系统交付485.4.8 系统备案485.4.9 安全服务商选择485.5 系统运维管理485.5.1 环境管理485.5.2 信息资产管理495.5.3 介质管理495.5.4 设备管理505.5.5 监控管理505.5.6 网络安全管理515.5.7 系统安全管理525.5.8 恶意代码防范管理525.5.9 密码管理535.5.10 变更管理535.5.11 备份与恢复管理545.5.12 安全事件处置545.5.13 应急预案管理55第6章 技术改进建议566.1 总体要求566.2 三甲医院信息系统安全建设指导576.2.1 安全域划分及边界整合576.2.2 三甲医院信息系统改进

8、拓扑示意图576.2.3 安全建设内容586.3 市级卫生信息系统安全建设指导606.3.1 市级卫生信息系统扑示意图606.3.2 安全建设内容606.4 病控中心信息系统安全建设指导636.4.1 疾控中心信息系统拓扑示意图636.4.2 安全建设内容636.5 二级机构信息系统安全建设指导666.5.1 二级机构信息系统拓扑示意图666.5.2 安全建设内容66第7章 总 结68附件1:信息系统安全等级保护备案表69附件2:信息系统安全等级保护定级报告模板73第 75 页 共 76 页第1章 概述1.1 建设背景随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日

9、益重要的作用。为探索全省卫生信息安全保障体系建设的思路和方法,2012年,河南省卫生厅结合全省卫生信息化现状、紧扣卫生业务信息化实际需要,依据卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185号)和国家信息安全相关政策法规,结合信息系统安全等级保护相关要求,开始启动全省卫生系统“信息系统安全等级保护”建设工作。1.2 建设依据本文参考的国家信息安全政策法规、信息安全标准以及相关规范。信息安全等级保护管理办法(公通字 200743号)计算机信息系统安全保护等级划分准则(GB17859-1999)信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008

10、)信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008)信息安全技术 信息系统安全等级保护实施指南(GBT25058-2010)信息安全技术 信息系统等级保护安全设计技术要求(GB/T25070-2010)信息安全技术 信息系统安全等级保护测评要求(GB/T 28448-2012)卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185号)1.3 建设原则我省卫生信息安全建设主要遵循以下原则:整体性:从全省卫生行业信息化建设整体出发、全面考虑各方面的安全问题,综合运用技术手段和管理手段进行安全防护。合规性:符合国家信息安全保障体系的总体要求,符合国家

11、信息安全等级保护和国家密码管理等相关制度、标准的要求。针对性:根据河南省卫生行业的组织结构特点、网络特点和业务特点,有针对性地提供安全防护措施,对信息系统进行有效、适度的防护。可持续性:安全体系的设计和建设应当满足河南省卫生行业信息系统生命周期的持续安全保障,并可根据发展需要进行持续性建设。可操作性:安全体系要符合河南卫生系统业务特点和安全现状,提供可行的整体规划和实施方案,方案应具有可操作性和可落实性。先进性:安全体系的设计应具有一定的前瞻性,要考虑安全技术的发展趋势,满足业务未来发展的需求。实用性:安全保障体系的设计和建设,要从实际需求出发,既要统筹规划,考虑全局,同时要注重投入与产出的效

12、果,避免过度追求“大而全”,在阶段性建设中要做到“小而精”,注重系统的实用性。1.4 建设目标 遵循国家相关政策法规要求,建立符合省情的卫生信息安全保障体系。根据2003年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见和公安部2005年发布的关于信息安全等级保护的实施意见(公通字 2004 66号),并参照卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185号)要求,在大力推进我省卫生行业信息化建设的同时,加强对信息系统分级实施信息安全保护工作的管理,优化全省卫生信息安全资源配置,加强卫生行业信息安全管理,为卫生信息系统安全建设和管理提

13、供系统性、针对性、可行性的指导服务,探索适应我省实际的信息安全模式,全面提升河南省卫生信息系统安全建设水平。 加强信息安全日常管理,建立信息安全保障长效机制。通过推进本次河南省卫生系统信息安全等级保护建设工作,建立信息安全管理机构,完善信息安全管理制度,落实信息安全防护职责,提高信息安全意识,提高系统建设和维护的规范性。并形成长效机制,将安全管理工作落实到具体日常管理中,切实提高我省卫生行业信息安全防护能力、隐患发现能力和应急处置能力,为推进全省卫生信息化工作健康发展提供可靠保障。 完善信息系统安全等级防护,提高我省卫生信息化的建设发展水平通过本次等级保护建设工作的逐步开展,进一步明确各业务部

14、门信息安全责任,保证各项信息安全管理措施的落实。通过系统、规范、科学的管理和技术保障,加强对关键基础信息网络和关键信息系统的安全保护和管理监督;通过对重点卫生业务信息系统实行安全定级备案,推动网络安全保护机制的建立和完善,整体提高我省卫生信息系统的安全防护能力,全面保障信息系统安全正常运行,从而加快卫生信息化的发展速度,提高卫生信息化对深化医药卫生体制改革的促进和保障作用。第2章 安全风险分析根据GBT 22239-2008信息安全技术 信息系统安全等级保护基本要求,河南卫生信息系统等级保护将从技术和管理两个方面进行分析,分析框架如下图所示:2.1 技术层面威胁与风险威胁是指可能对信息系统资产或所在组织造成损害事故的潜在原因;威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏,影响信息系统的正常运行,破坏提供服务的有效性、可靠性和权威性。任何可能对信息系统造成危害的因素,都是对系统的安全威胁。威胁不仅来自人为的破坏,也来自自然环境,包括各种人员、机构出于

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号