收藏
下载资源

某医院信息系统等级保护安全建设整改方案

上传人:F****n 文档编号:93496230 上传时间:2019-07-23 格式:DOCX 页数:286 大小:6.13MB
返回 下载 相关 举报
某医院信息系统等级保护安全建设整改方案_第1页
第1页 / 共286页
某医院信息系统等级保护安全建设整改方案_第2页
第2页 / 共286页
某医院信息系统等级保护安全建设整改方案_第3页
第3页 / 共286页
某医院信息系统等级保护安全建设整改方案_第4页
第4页 / 共286页
某医院信息系统等级保护安全建设整改方案_第5页
第5页 / 共286页
点击查看更多>>
资源描述

《某医院信息系统等级保护安全建设整改方案》由会员分享,可在线阅读,更多相关《某医院信息系统等级保护安全建设整改方案(286页珍藏版)》请在金锄头文库上搜索。

1、某医院信息系统等级保护安全建设整改方案 XX医院信息系统等级保护安全建设整改方案2019年7月目 录1方案概述81.1背景81.2方案设计目标91.3方案设计原则91.4方案设计依据102现状分析122.1网络架构描述122.2信息系统定级情况132.3安全现状分析142.3.1安全管理现状142.3.2安全技术现状143安全需求分析293.1国家政策需求分析293.2安全指标与需求分析294信息安全体系框架设计315管理体系整改方案325.1安全制度制定解决方案325.1.1策略结构描述325.1.2安全制度制定355.1.3满足指标355.2安全制度管理解决方案365.2.1安全制度发布3

2、65.2.2安全制度修改与废止365.2.3安全制度监督和检查375.2.4安全制度管理流程375.2.5满足指标405.3安全教育与培训解决方案415.3.1信息安全培训的对象415.3.2信息安全培训的内容425.3.3信息安全培训的管理435.3.4满足指标435.4人员安全管理解决方案445.4.1普通员工安全管理445.4.2安全岗位人员管理455.4.3满足指标495.5第三方人员安全管理解决方案505.5.1第三方人员短期访问安全管理505.5.2第三方人员长期访问安全管理515.5.3第三方人员访问申请审批流程信息表535.5.4第三方人员访问申请审批流程图545.5.5满足指

3、标545.6系统建设安全管理解决方案555.6.1系统安全建设审批流程555.6.2项目立项安全管理565.6.3信息安全项目建设管理575.6.4满足指标615.7等级保护实施管理解决方案625.7.1信息系统描述645.7.2等级指标选择695.7.3安全评估与自测评725.7.4方案与规划765.7.5建设整改785.7.6运维825.7.7测评准备855.7.8外部测评875.7.9满足指标885.8软件开发安全管理解决方案895.8.1软件安全需求管理895.8.2软件设计安全管理905.8.3软件开发过程安全管理935.8.4软件维护安全管理955.8.5软件管理的安全管理965.

4、8.6软件系统安全审计管理975.8.7满足指标975.9安全事件处置与应急解决方案985.9.1安全事件预警与分级985.9.2安全事件处理1025.9.3安全事件通报1065.9.4应急响应流程1075.9.5应急预案的制定1075.9.6满足指标1165.10日常安全运维管理解决方案1175.10.1运维管理1175.10.2介质管理1185.10.3恶意代码管理1195.10.4变更管理管理1205.10.5备份与恢复管理1215.10.6设备管理管理1245.10.7网络安全管理1275.10.8系统安全管理1295.10.9满足指标1315.11安全组织机构设置解决方案1365.1

5、1.1安全组织总体架构1365.11.2满足指标1395.12安全沟通与合作解决方案1405.12.1沟通与合作的分类1405.12.2风险管理不同阶段中的沟通与合作1425.12.3满足指标1425.13定期风险评估解决方案1435.13.1评估方式1435.13.2评估内容1445.13.3评估流程1455.13.4满足指标1466技术体系整改方案1476.1总体部署说明1476.2边界访问控制解决方案1506.2.1需求分析1506.2.2方案设计1506.2.3方案效果1526.2.4满足指标1546.3边界入侵防御解决方案1556.3.1需求分析1556.3.2方案设计1566.3.

6、3方案效果1596.3.4满足指标1606.4网关防病毒解决方案1616.4.1需求分析1616.4.2方案设计1616.4.3方案效果1636.4.4满足指标1636.5网络安全检测解决方案1656.5.1需求分析1656.5.2方案设计1666.5.3方案效果1686.5.4满足指标1696.6网络安全审计解决方案1716.6.1需求分析1716.6.2方案设计1726.6.3方案效果1786.6.4满足指标1816.7WAF解决方案1836.7.1需求分析1836.7.2方案设计1846.7.3方案效果1856.7.4满足指标1866.8恶意代码防护解决方案1876.8.1需求分析187

7、6.8.2方案设计1886.8.3方案效果1906.8.4满足指标1926.9终端安全管理解决方案1936.9.1需求分析1936.9.2方案设计1946.9.3方案效果2026.9.4满足指标2056.10漏洞扫描解决方案2066.10.1需求分析2066.10.2方案设计2086.10.3方案效果2116.10.4满足指标2166.11应用监控解决方案2176.11.1需求分析2176.11.2方案设计2176.11.3方案效果2196.11.4满足指标2206.12数据备份与恢复解决方案2226.12.1需求分析2226.12.2方案设计2226.12.3满足指标2296.13PKI/C

8、A身份认证解决方案2316.13.1需求分析2316.13.2方案设计2316.13.3方案效果2376.13.4满足指标2376.14安全加固解决方案2406.14.1安全加固范围及方法确定2406.14.2安全加固流程2406.14.3安全加固步骤2436.14.4安全加固内容2446.14.5采用安全操作系统2496.14.6采用安全数据库管理系统2526.14.7采用操作系统核心加固系统2556.14.8应用系统开发优化2566.14.9满足指标2586.15安全管理中心解决方案2666.15.1需求分析2666.15.2方案设计2686.15.3方案效果2836.15.4满足指标28

9、57技术体系符合性分析2877.1物理安全2877.2网络安全2907.3主机安全2947.4应用安全2987.5数据安全与备份恢复3022901 方案概述1.1 背景医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和高校等,访问人员比较复杂

10、,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速信息传达的现代化医院,如果遭到致命攻击,会给社会造成多大的影响。为了保障我国关键基础设施和信息的安全,结合我国的基本国情,制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策,促进信息化、维护国家信息安全的根本保

11、障。而针对医疗卫生行业,卫生部于2011年11月分别发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(卫办综函20111126号),卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发201185号),85号文规定了主要工作内容:1.定级备案(规定了定级范围及级别)2.建设与整改(规定了二级(含)以上系统需进行差距分析与整改)3.等级测评(规定了三级(含)以上需进行等保测评)4.宣传培训(规定了各类卫生机构需进行信息安全培训,提高安全意识)5. 监督检查(规定了信息化工作领导小组对各医疗机构等级保护工作进行督导)全面开展等级保护建设,对医院特别是三级甲等医院的信息化

12、建设提出了更高的要求,其核心业务信息系统的建设应按照不低于等级保护三级的标准进行。XX医院是北京市卫生局直属三级甲等医院、北京大学教学医院、中法友好合作医院、中国科学院心理研究所临床心理学教学医院、北京市心理危机研究与干预中心、北京市心理援助热线、世界卫生组织心理危机预防研究与培训合作中心、北京市专科医师培训基地、国家药物临床试验机构,作为北京三级甲等医疗机构,其核心HIS系统和EMR系统的正常运行至关重要,因此在信息安全建设过程中参照国家等级保护相关标准,利于医院自身进行安全体系化建设,并最终利于业务的开展。1.2 方案设计目标本次XX医院核心业务系统等级保护安全建设的主要目标是:按照等级保

13、护要求,结合实际业务系统,对XX医院核心业务系统进行充分调研及详细分析,将XX医院核心业务系统系统建设成为一个及满足业务需要,又符合等级保护三级系统要求的业务平台。建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系,达到国内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容,符合信息系统的业务特性和发展战略,满足XX医院信息安全要求。1.3 方案设计原则“全面保障”原则:信息安全风险的控制需要多角度、多层次,从各个环节入手,全面的保障。 “整体规划,分步实施”原则:对信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。“内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和访问控制、监控和审计能力。“标准化”原则:管理要规范化、标准化,以保证在能源行业庞大而多层次的组织体系中有效的控制风险。“技术与管理并重”原则:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号