信息安全等級保護(hù)工作流程目錄目錄 ...................................................................................

信息安全等級保護(hù)工作流程

目錄

目錄 ................................................................................................................................................. 1

一、 等級保護(hù)流程 . ............................................................................................................... 2

1.1 基本流程 .................................................................................................................... 2

1.2 詳細(xì)流程說明 . ........................................................................................................... 2

1.2.1 定級和備案 ...................................................................................................... 2

1.2.1.1 定級標(biāo)準(zhǔn) ............................................................................................... 3

1.2.1.2 定級方法 ............................................................................................... 4

1.2.1.3 醫(yī)院定級參考 . ...................................................................................... 5

1.2.2 信息安全等級保護(hù)整改 ................................................................................. 6

1.2.2.1 信息系統(tǒng)安全建設(shè)整改總體框架 ..................................................... 7

1.2.2.2 信息系統(tǒng)安全建設(shè)整改工作基本流程 ............................................. 8

1.2.2.3 安全管理制度建設(shè) .............................................................................. 9

1.2.2.4 安全技術(shù)措施建設(shè) ............................................................................12

1.2.3 信息安全等級保護(hù)測評 ...............................................................................14

1.2.4 公安機(jī)關(guān)檢查 ................................................................................................15

1.2.4.1 檢查內(nèi)容 .............................................................................................16

二、 醫(yī)院信息安全等級保護(hù)工作建議............................................................................. 17

信息安全等級保護(hù)工作流程

一、 等級保護(hù)流程

1.1 基本流程

定級

備案

信息安全等級保護(hù)整改

信息安全等級保護(hù)測評（測評機(jī)構(gòu)每年）

公安機(jī)關(guān)檢查（網(wǎng)監(jiān)）

1.2 詳細(xì)流程說明

1.2.1 定級和備案

相關(guān)國家政策文件——關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知（公安部）

相關(guān)部門指導(dǎo)文件——衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見（衛(wèi)生部）

定級及等保指南文件——衛(wèi)辦發(fā)〔2011〕85號（衛(wèi)生部）

摘要：

1、各信息系統(tǒng)主管部門和運營使用單位要按照《管理辦法》和《信息系統(tǒng)安全等級保護(hù)定級指南》，初步確定定級對象的安全保護(hù)等級，起草定級報告。

說明：由運營使用單位（即醫(yī)院）起草報告提交網(wǎng)監(jiān)。

2、當(dāng)專家評審意見與信息系統(tǒng)運營使用單位或其主管部門意見不一致時，由運營使用單位或主管部門自主決定信息系統(tǒng)安全保護(hù)等級。信息系統(tǒng)運營使用單位有上級行業(yè)主管部門的，所確定的信息系統(tǒng)安全保護(hù)等級應(yīng)當(dāng)報經(jīng)上級行業(yè)主管部門審批同意。

說明：定級由醫(yī)院自主決定，但是有主管單位的需要由主管部門同意，醫(yī)院需按照衛(wèi)生主管部門意見?！缎畔⑾到y(tǒng)安全等級保護(hù)定級報告》模版在《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》內(nèi)。

3、信息系統(tǒng)安全保護(hù)等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門到公安部網(wǎng)站下載《信息系統(tǒng)安全等級保護(hù)備案表》和輔助備案工具，持填寫的備案表和利用輔助備案工具生成的備案電子數(shù)據(jù)，到公安機(jī)關(guān)辦理備案手續(xù)，提交有關(guān)備案材料及電子數(shù)據(jù)文件。

說明：備案由醫(yī)院提交備案表給網(wǎng)監(jiān)。信息系統(tǒng)安全等級保護(hù)備案表模版在《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》內(nèi)。

4、三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息系統(tǒng)安全保護(hù)等級原則上不低于第三級。 說明：此定級標(biāo)準(zhǔn)為衛(wèi)生部印發(fā)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見（衛(wèi)辦發(fā)〔2011〕85號）》文件中第四條明確要求。

信息安全等級保護(hù)工作流程

1.2.1.1 定級標(biāo)準(zhǔn)

信息系統(tǒng)定級標(biāo)準(zhǔn)（《信息安全等級保護(hù)工作的實施意見》）：

針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，信息和信息系統(tǒng)的安全保護(hù)等級共分五級：

1. 第一級為自主保護(hù)級，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益。

2. 第二級為指導(dǎo)保護(hù)級，適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。

3. 第三級為監(jiān)督保護(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。

4. 第四級為強(qiáng)制保護(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。

5. 第五級為專控保護(hù)級，適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。

定級參考模型：（參考《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護(hù)定級指南》）

信息安全等級保護(hù)工作流程

1.2.1.2 定級方法

信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級可以分別確定業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級，并取二者中的較高者為信息系統(tǒng)的安全保護(hù)等級。具體定級方法如下圖所示：

信息安全等級保護(hù)工作流程

1.2.1.3 醫(yī)院定級參考

醫(yī)療衛(wèi)生信息系統(tǒng)重要的系統(tǒng)通常有如下系統(tǒng)：

1. HIS 系統(tǒng)：Hospital Information System ，醫(yī)院信息系統(tǒng)。是指利用計算機(jī)軟硬件技

術(shù)、網(wǎng)絡(luò)通信技術(shù)等現(xiàn)代化手段，對醫(yī)院及其所屬各部門的人流、物流、財流進(jìn)行綜合管理，對在醫(yī)療活動各階段產(chǎn)生的數(shù)據(jù)進(jìn)行采集、儲存、處理、提取、傳輸、匯總、加工生成各種信息，從而為醫(yī)院的整體運行提供全面的、自動化的管理及各種服務(wù)的信息系統(tǒng)。

2. HMIS 系統(tǒng)：Hospital Management Information System，醫(yī)院管理信息系統(tǒng)。是支持

醫(yī)院的行政管理與事務(wù)處理業(yè)務(wù)，減輕事務(wù)處理人員勞動強(qiáng)度，輔助醫(yī)院管理，輔助高層領(lǐng)導(dǎo)決策，提高醫(yī)院工作效率，從而使醫(yī)院能夠以少的投入獲得更好的社會效益與經(jīng)濟(jì)效益，像財務(wù)管理系統(tǒng)、人事管理系統(tǒng)、住院病人管理系統(tǒng)、藥品庫存管理系統(tǒng)等均屬于HMIS 的范圍。

3. CIS 系統(tǒng)：Clinical Information System，臨床信息系統(tǒng)。是支持醫(yī)院醫(yī)護(hù)人員的臨床

活動，收集和處理病人的臨床醫(yī)療信息，豐富和積累臨床醫(yī)學(xué)知識，并提供臨床咨詢、輔助診療、輔助臨床決策，提高醫(yī)護(hù)人員工作效率和診療質(zhì)量，為病人提供更多、更快、更好的服務(wù)，像醫(yī)囑處理系統(tǒng)、病人床邊系統(tǒng)、重癥監(jiān)護(hù)系統(tǒng)、移動輸液系統(tǒng)、合理用藥監(jiān)測系統(tǒng)、醫(yī)生工作站系統(tǒng)、實驗室檢驗信息系統(tǒng)、藥物咨詢系統(tǒng)等均屬于CIS 范圍。

4. LIS 系統(tǒng)：Laboratory Information System，實驗室信息系統(tǒng)。將實驗儀器與計算機(jī)組

成網(wǎng)絡(luò)，使病人樣品登錄、實驗數(shù)據(jù)存取、報告審核、打印分發(fā)，實驗數(shù)據(jù)統(tǒng)計分析等繁雜的操作過程實現(xiàn)了智能化、自動化和規(guī)范化管理。

5. PACS 系統(tǒng)：Picture Archiving and Communication Systems，影像歸檔和通信系統(tǒng)。是

把日常產(chǎn)生的各種醫(yī)學(xué)影像（包括核磁，CT ，超聲，各種X 光機(jī)，各種紅外儀、顯微儀等設(shè)備產(chǎn)生的圖像）通過各種接口（模擬，DICOM ，網(wǎng)絡(luò)）以數(shù)字化的方式海量保存起來，當(dāng)需要的時候在一定的授權(quán)下能夠很快的調(diào)回使用，同時增加一些輔助診斷管理功能。

6. EMR 系統(tǒng)：Electronic Medical Record，電子病歷。是病人在醫(yī)院診斷治療全過程的

原始記錄，它包含有首頁、病程記錄、檢查檢驗結(jié)果、醫(yī)囑、手術(shù)記錄、護(hù)理記錄等等。

注：醫(yī)院門戶網(wǎng)站上無在線掛號系統(tǒng)等公共服務(wù)系統(tǒng)加載，暫時可定級為2級，

后期如加載相關(guān)公共服務(wù)系統(tǒng)時需考慮將門戶網(wǎng)站也納入安全保護(hù)體系中。

信息安全等級保護(hù)工作流程

1.2.2 信息安全等級保護(hù)整改

相關(guān)國家政策文件——關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公安部）

相關(guān)國家指導(dǎo)文件——信息系統(tǒng)安全等級保護(hù)基本要求：GB/T 22239—2008（公安部）

摘要：

1、一是信息安全責(zé)任制，明確信息安全工作的主管領(lǐng)導(dǎo)、責(zé)任部門、人員及有關(guān)崗位的信息安全責(zé)任；二是人員安全管理制度，明確人員錄用、離崗、考核、教育培訓(xùn)等管理內(nèi)容；三是系統(tǒng)建設(shè)管理制度，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等管理內(nèi)容；四是系統(tǒng)運維管理制度，明確機(jī)房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處置、應(yīng)急預(yù)案等管理內(nèi)容。

說明：《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》

根據(jù)文件要求，運營使用單位（即醫(yī)院）需做以下工作：

● 確認(rèn)信息安全工作的主管領(lǐng)導(dǎo)、責(zé)任部門、人員

● 制定人員安全管理制度，明確人員錄用、離崗、考核、教育培訓(xùn)等管理內(nèi)容

● 制定信息系統(tǒng)運維管理制度，明確機(jī)房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、

安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼保護(hù)、備份與恢復(fù)、事件處

置、應(yīng)急預(yù)案等管理內(nèi)容

● 購置相應(yīng)軟、硬件設(shè)備加強(qiáng)信息系統(tǒng)的安全防護(hù)

● 制定相應(yīng)的人員培訓(xùn)計劃對信息系統(tǒng)的管理使用人員進(jìn)行培訓(xùn)

2、要按照“誰運營、誰負(fù)責(zé)，誰主管、誰負(fù)責(zé)”的原則，切實加強(qiáng)對信息安全等級保護(hù)安全建設(shè)整改工作的組織領(lǐng)導(dǎo)，完善工作機(jī)制。

說明：按照“誰運營、誰負(fù)責(zé)，誰主管、誰負(fù)責(zé)”的原則執(zhí)行，那么一旦出現(xiàn)信息安全事件，造成國家、醫(yī)院利益影響或社會公共事件，則首先追究的是運營使用單位（即醫(yī)院）和主管領(lǐng)導(dǎo)的責(zé)任。

3、信息系統(tǒng)安全建設(shè)整改完成后要進(jìn)行等級測評，在工程預(yù)算中應(yīng)當(dāng)包括等級測評費用。對第三級（含）以上信息系統(tǒng)每年要進(jìn)行等級測評，并對測評費用做出預(yù)算。

信息安全等級保護(hù)工作流程

1.2.2.1 信息系統(tǒng)安全建設(shè)整改總體框架

《基本要求》分為基本技術(shù)要求和基本管理要求兩大類，其中技術(shù)要求又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及其備份恢復(fù)五個方面，管理要求又分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運行維護(hù)管理五個方面。

技術(shù)要求主要包括身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計、完整性和保密性保護(hù)、邊界防護(hù)、惡意代碼防范、密碼技術(shù)應(yīng)用等，以及物理環(huán)境和設(shè)施安全保護(hù)要求。

管理要求主要包括確定安全策略，落實信息安全責(zé)任制，建立安全組織機(jī)構(gòu)，加強(qiáng)人員管理、系統(tǒng)建設(shè)和運行維護(hù)的安全管理。提出了機(jī)房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)運行維護(hù)管理、系統(tǒng)安全風(fēng)險管理、資產(chǎn)和設(shè)備管理、數(shù)據(jù)及信息安全管理、用戶管理、安全監(jiān)測、備份與恢復(fù)管理、應(yīng)急處置管理、密碼管理、安全審計管理等基本安全管理制度要求，提出了建立崗位和人員管理制度、安全教育培訓(xùn)制度、安全建設(shè)整改的監(jiān)理制度、自行檢查制度等要求。

信息安全等級保護(hù)工作流程

1.2.2.2 信息系統(tǒng)安全建設(shè)整改工作基本流程

信息系統(tǒng)安全建設(shè)整改工作分五步進(jìn)行。第一步：制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃，對信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署；第二步：開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析，從管理和技術(shù)兩個方面確定信息系統(tǒng)安全建設(shè)整改需求；第三步：確定安全保護(hù)策略，制定信息系統(tǒng)安全建設(shè)整改方案；第四步：開展信息系統(tǒng)安全建設(shè)整改工作，建立并落實安全管理制度，落實安全責(zé)任制，建設(shè)安全設(shè)施，落實安全措施；第五步：開展安全自查和等級測評，及時發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅，進(jìn)一步開展安全建設(shè)整改工作。該流程如下圖所示：

信息安全等級保護(hù)工作流程

1.2.2.3 安全管理制度建設(shè)

按照國家有關(guān)規(guī)定，依據(jù)《基本要求》，參照《信息系統(tǒng)安全管理要求》等標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)等級保護(hù)安全管理制度建設(shè)工作。工作流程如下圖所示：

信息安全等級保護(hù)工作流程

1.2.2.3.1 落實管理措施

落實管理措施應(yīng)包含以下管理措施：人員安全管理，系統(tǒng)運維管理（環(huán)境和資產(chǎn)安全管理、設(shè)備和介質(zhì)安全管理、日常運行維護(hù)、集中安全管理、事件處置與應(yīng)急響應(yīng)、災(zāi)難備份、安全監(jiān)測、其他安全管理）。

人員安全管理

● 人員安全管理主要包括人員錄用、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗、過程，關(guān)鍵崗位簽署保密協(xié)議，對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核。對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制。具體依據(jù)《基本要求》中的“人員安全管理”內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

系統(tǒng)運維管理

環(huán)境和資產(chǎn)安全管理

● 明確環(huán)境（包括主機(jī)房、輔機(jī)房、辦公環(huán)境等）安全管理的責(zé)任部門或責(zé)任人，加強(qiáng)對人員出入、來訪人員的控制，對有關(guān)物理訪問、物品進(jìn)出和環(huán)境安全等方面作出規(guī)定。對重要區(qū)域設(shè)置門禁控制手段，或使用視頻監(jiān)控等措施。明確資產(chǎn)（包括介質(zhì)、設(shè)備、設(shè)施、數(shù)據(jù)和信息等）安全管理的責(zé)任部門或責(zé)任人，對資產(chǎn)進(jìn)行分類、標(biāo)識，編制與信息系統(tǒng)相關(guān)的軟件資產(chǎn)、硬件資產(chǎn)等資產(chǎn)清單。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理”內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

設(shè)備和介質(zhì)安全管理

● 明確配套設(shè)施、軟硬件設(shè)備管理、維護(hù)的責(zé)任部門或責(zé)任人，對信息系統(tǒng)的各種軟硬件設(shè)備采購、發(fā)放、領(lǐng)用、維護(hù)和維修等過程進(jìn)行控制，對介質(zhì)的存放、使用、維護(hù)和銷毀等方面作出規(guī)定，加強(qiáng)對涉外維修、敏感數(shù)據(jù)銷毀等過程的監(jiān)督控制。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理”內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

日常運行維護(hù)

● 明確網(wǎng)絡(luò)、系統(tǒng)日常運行維護(hù)的責(zé)任部門或責(zé)任人，對運行管理中的日常操作、賬號管理、安全配置、日志管理、補(bǔ)丁升級、口令更新等過程進(jìn)行控制和管理，制訂相應(yīng)的管理制度和操作規(guī)程并落實執(zhí)行。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理”內(nèi)容，同時可以參照《信息系統(tǒng)安全管理要求》等。

集中安全管理

● 第三級（含）以上信息系統(tǒng)應(yīng)按照統(tǒng)一的安全策略、安全管理要求，統(tǒng)一管理信息系統(tǒng)的安全運行，進(jìn)行安全機(jī)制的配置與管理，對設(shè)備安全配置、惡意代碼、補(bǔ)丁升級、安全審計等進(jìn)行管理，對與安全有關(guān)的信息進(jìn)行匯集與分析，對安全機(jī)制進(jìn)行集中管理。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理”內(nèi)容，同時可以參照《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》和《信息系統(tǒng)安全管理要求》等。

事件處置與應(yīng)急響應(yīng)

● 按照國家有關(guān)標(biāo)準(zhǔn)規(guī)定，確定信息安全事件的等級。結(jié)合信息系統(tǒng)安全保護(hù)等級，制定信息安全事件分級應(yīng)急處置預(yù)案，明確應(yīng)急處置策略，落實應(yīng)急指揮部門、執(zhí)行部門和技術(shù)支撐部門，建立應(yīng)急協(xié)調(diào)機(jī)制。落實安全事件報告制度，第三級（含）以上信息系統(tǒng)發(fā)生較大、重大、特別重大安全事件時，運營使用單位按照相應(yīng)預(yù)案開展應(yīng)急處置，并及時向受理備案的公安機(jī)關(guān)報告。組織應(yīng)急技術(shù)支撐力量和專家隊伍，按照應(yīng)急預(yù)案定期組織開展應(yīng)急演練。具體依據(jù)《基本要求》中的“系統(tǒng)運維管理”內(nèi)容，同時可以參照《信息安全事件分類分級指南》和《信息安全事件管理指南》等。

災(zāi)難備份