收藏
下载资源

医疗机构信息系统安全等级保护基本要求2

上传人:桔**** 文档编号:491014530 上传时间:2023-03-15 格式:DOC 页数:70 大小:1.30MB
返回 下载 相关 举报
医疗机构信息系统安全等级保护基本要求2_第1页
第1页 / 共70页
医疗机构信息系统安全等级保护基本要求2_第2页
第2页 / 共70页
医疗机构信息系统安全等级保护基本要求2_第3页
第3页 / 共70页
医疗机构信息系统安全等级保护基本要求2_第4页
第4页 / 共70页
医疗机构信息系统安全等级保护基本要求2_第5页
第5页 / 共70页
点击查看更多>>
资源描述

《医疗机构信息系统安全等级保护基本要求2》由会员分享,可在线阅读,更多相关《医疗机构信息系统安全等级保护基本要求2(70页珍藏版)》请在金锄头文库上搜索。

1、医疗机构信息系统安全等级保护基本要求上海市卫生局信息中心上海市信息安全测评认证中心二八年十月目 录1前言72范围73一般模型73.1技术模型83.2管理模型93.3应用模型104定级指导155威胁分析156安全目标186.1技术目标186.2管理目标217安全要求(要素表)238安全基本要求288.1二级(一般)安全要求288.1.1技术要求288.1.1.1物理安全288.1.1.1.1物理位置的选择288.1.1.1.2物理访问控制288.1.1.1.3防盗窃和防破坏298.1.1.1.4防雷击298.1.1.1.5防火298.1.1.1.6防水和防潮298.1.1.1.7防静电308.1

2、.1.1.8温湿度控制308.1.1.1.9电力供应308.1.1.1.10电磁防护308.1.1.2网络安全318.1.1.2.1结构安全318.1.1.2.2访问控制318.1.1.2.3边界完整性检查318.1.1.2.4网络设备防护318.1.1.2.5网络可用性328.1.1.3主机系统安全328.1.1.3.1身份鉴别328.1.1.3.2访问控制328.1.1.3.3安全审计338.1.1.3.4恶意代码防范338.1.1.3.5资源控制338.1.1.3.6主机可用性338.1.1.4应用安全338.1.1.4.1身份鉴别338.1.1.4.2访问控制348.1.1.4.3安全

3、审计348.1.1.4.4通信完整性358.1.1.4.5通信保密性358.1.1.4.6软件容错358.1.1.4.7资源控制358.1.1.5数据安全358.1.1.5.1完整性358.1.1.5.2数据保密性358.1.1.5.3备份和恢复368.1.2管理要求368.1.2.1安全管理制度368.1.2.1.1管理制度368.1.2.1.2制定和发布368.1.2.1.3评审和修订378.1.2.2安全管理机构378.1.2.2.1岗位设置378.1.2.2.2人员配备378.1.2.2.3授权和审批378.1.2.2.4沟通和合作378.1.2.2.5审核和检查388.1.2.3人员

4、安全管理388.1.2.3.1人员录用388.1.2.3.2人员离岗388.1.2.3.3人员考核388.1.2.3.4安全意识教育和培训388.1.2.3.5外部人员访问管理398.1.2.4系统建设管理398.1.2.4.1系统定级398.1.2.4.2安全方案设计398.1.2.4.3产品采购408.1.2.4.4自行软件开发408.1.2.4.5外包软件开发408.1.2.4.6工程实施408.1.2.4.7测试验收418.1.2.4.8系统交付418.1.2.4.9安全服务商选择418.1.2.5系统运维管理418.1.2.5.1环境管理418.1.2.5.2资产管理428.1.2.

5、5.3介质管理428.1.2.5.4设备管理428.1.2.5.5监控管理438.1.2.5.6网络安全管理438.1.2.5.7系统安全管理438.1.2.5.8恶意代码防范管理448.1.2.5.9密码管理448.1.2.5.10变更管理448.1.2.5.11备份与恢复管理448.1.2.5.12安全事件处置458.1.2.5.13应急预案管理458.2二级(增强)安全要求468.2.1技术要求468.2.1.1物理安全468.2.1.1.1物理位置的选择468.2.1.1.2物理访问控制468.2.1.1.3防盗窃和防破坏468.2.1.1.4防雷击478.2.1.1.5防火478.2

6、.1.1.6防水和防潮478.2.1.1.7防静电478.2.1.1.8温湿度控制478.2.1.1.9电力供应488.2.1.1.10电磁防护488.2.1.2网络安全488.2.1.2.1结构安全488.2.1.2.2访问控制498.2.1.2.3安全审计498.2.1.2.4边界完整性检查498.2.1.2.5入侵防范498.2.1.2.6网络设备防护498.2.1.2.7网络可用性508.2.1.3主机系统安全508.2.1.3.1身份鉴别508.2.1.3.2访问控制508.2.1.3.3安全审计518.2.1.3.4入侵防范518.2.1.3.5恶意代码防范518.2.1.3.6资

7、源控制518.2.1.3.7主机可用性518.2.1.4应用安全528.2.1.4.1身份鉴别528.2.1.4.2访问控制528.2.1.4.3安全审计538.2.1.4.4剩余信息保护538.2.1.4.5通信完整性538.2.1.4.6通信保密性538.2.1.4.7软件容错538.2.1.4.8资源控制548.2.1.5数据安全548.2.1.5.1完整性548.2.1.5.2数据保密性548.2.1.5.3备份和恢复548.2.2管理要求558.2.2.1安全管理制度558.2.2.1.1管理制度558.2.2.1.2制定和发布558.2.2.1.3评审和修订558.2.2.2安全管

8、理机构568.2.2.2.1岗位设置568.2.2.2.2人员配备568.2.2.2.3授权和审批568.2.2.2.4沟通和合作568.2.2.2.5审核和检查568.2.2.3人员安全管理578.2.2.3.1人员录用578.2.2.3.2人员离岗578.2.2.3.3人员考核578.2.2.3.4安全意识教育和培训578.2.2.3.5外部人员访问管理588.2.2.4系统建设管理588.2.2.4.1系统定级588.2.2.4.2安全方案设计588.2.2.4.3产品采购598.2.2.4.4自行软件开发598.2.2.4.5外包软件开发598.2.2.4.6工程实施598.2.2.4

9、.7测试验收598.2.2.4.8系统交付608.2.2.4.9安全服务商选择608.2.2.5系统运维管理608.2.2.5.1环境管理608.2.2.5.2资产管理608.2.2.5.3介质管理618.2.2.5.4设备管理618.2.2.5.5监控管理618.2.2.5.6网络安全管理628.2.2.5.7系统安全管理628.2.2.5.8恶意代码防范管理638.2.2.5.9密码管理638.2.2.5.10变更管理638.2.2.5.11备份与恢复管理638.2.2.5.12安全事件处置648.2.2.5.13应急预案管理64附录A基本要求的选择和使用651、判断医疗机构的信息系统是否

10、具备定级的基本条件652、根据医疗机构的分级选择不同级别的基本要求663、部分区县中心(含)以上医疗机构可对二级(增强)要求进行选择使用66附录B基本要求的应用注释67B1. 物理环境的应用注释67B2.网络隔离的应用注释67B3. 版本变更的应用注释69B4. 数据加密的应用说明69B5. 其他691 前言国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年9月发布的关于信息安全等级保护工作的实施意见(公通字200

11、466号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。医疗机构作为涉及国计民生的重要组成部分,其安全保障事关社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。因此,组织编制医疗机构信息系统安全等级保护基本要求,提出针对医疗机构信息安全等级保护工作的基本思路和具体要求,指导上海市医疗机构的信息安全保障工作

12、。2 范围本标准规定了医疗机构信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导本市医疗机构分等级的信息系统的安全建设和监督管理。3 一般模型医疗机构信息系统(以下简称HIS系统)模型的构造是对HIS系统进行威胁分析,从而确定安全保障目标的基础。HIS系统基本要求将分别从技术、管理和业务应用三个层面提出各自的参考模型,具体如下。技术模型、管理模型和应用模型既是三个相对独立的体系,又是两两相互作用,存在密切关系的有机耦合体。技术模型支持应用模型的实现,管理模型是技术模型正常工作的保障,应用模型又是技术模型和管理模型支持和管理的核心。3.1 技术模型参考国际标准化组织(ISO)制定

13、的开放系统互联标准(OSI)标准和TCP/IP标准对信息系统技术组成的构造方法,结合HIS系统业务应用分类,给出HIS系统的技术模型,如下图所示。HIS系统的技术参考模型描述主要从物理环境、网络系统、主机系统、应用系统4个层面进行描述。a.物理环境包括机房、场地、布线、设备、存储媒体等内容。b.网络系统指HIS系统所基于的网络标准和网络结构;网络标准主要基于TCP/IP协议、IPX/SPX的网络标准,网络结构主要采用LAN、WAN的结构。c.主机系统主机系统指服务器操作系统平台及公共应用平台。服务器操作系统主要采用服务器版的操作系统,通常有Windows、Unix 等类型;公共应用平台主要有数据库平台和WEB、Mail、中间件等。数据库平台一般采用可提供多个事务共享数据的网络数据库系统,常用的数据系统 SQLSERVER, ORACLE, DB2, SYBASE 等,数据访问通常采用两层或三层中间件结构。d.应用系统医院信息系统目前主要可分为综合业务、临床业务、行政管理三种类型。3.2 管理模型参考国家标准GB/T 19716信息技术 信息安全管理实用规则和ISO/IEC 17799Informati

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号