HIT专家网
来源:HIT专家网 编辑:小 虫
目前,医疗设备数字化程度越来越高,其信息安全问题已成为急需关注的问题,它除了关系到医疗设备能否正常工作、能否工作在最佳状态、能否发挥最大效益的大问题,还影响医院信息系统的整体安全防护。医疗设备信息安全是安全等保的一项重要内容,医疗卫生行业应从技术和管理方面,加强医疗设备信息安全的安全防护,进而实现医院信息系统的整体安全防护能力的提升。作为HIT专家网系列丛书的第一部著作,由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)从等保政策,到等保实施做了系统的阐述,欢迎大家登录HIT专家网微店订购。。
等级保护制度的提出
2004 年9 月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合出台了《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66 号)。《意见》明确了等级保护原则、内容、要求,等级保护工作的部门分工和实施计划,标志着信息安全等级保护在我国开始实施。
2007年6 月,公安部等四部门联合正式出台《信息安全等级保护管理办法》(公通字〔2007〕43号,明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
2010年4月,公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔2010〕303号),要求2010年底前完成等级测评体系建设工作,2011年底前完成三级以上信息系统的等级测评工作,2012年底前完成三级以上信息系统的建设整改工作。
2011年,原卫生部发布了《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126 号文)和《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85 号),同时要求在定级、整改、测评过程中贯彻执行国家相关标准。
等级保护工作现状
目前等级保护工作发展状况主要集中在以下几个方面:
1、信息系统定级工作
根据原卫生部于2011年11月发布的《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)要求,各省级卫生计生行政部门确定信息安全等级保护工作联络员,建立健全信息安全技术专家委员会,于2011年12月30日前完成本地区已定级备案的卫生信息系统情况报送。要求于2012年5月30日前各级各类医疗卫生机构完成本单位信息系统的定级备案工作。
国家相关标准:
GB 17859-1999《计算机信息系统安全等级保护划分准则》
GB/T 22240-2008《信息系统安全保护等级定级指南》
2、系统建设整改工作
2009年,在全国信息系统安全等级保护定级工作基础上,公安部又印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》,开始部署开展信息系统等级保护安全建设整改工作。
原卫生部要求医疗卫生行业全面开展等级保护建设,其中明确要求“要根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案。要于2015年12月30日前完成信息安全等级保护建设整改工作。
国家相关标准:
GB/T 22239-2008《信息系统安全等级保护基本要求》
GB/T 25058-2010《信息系统安全等级保护实施指南》
GB/T 25070-2010《信息系统等级保护安全设计技术要求》
3、信息系统测评工作
《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号)提到:系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。测评合格后,应当将测评报告报属地公安机关及卫生计生行政部门备案。应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。
2011年10月,卫生部卫生监督中心顺利通过信息安全等级保护第三级测评,成为全国卫生领域第一家通过第三级测评的卫生机构,2012年11月,北京阜外心血管病医院顺利通过信息安全等级保护第三级测评,成为全国卫生领域第一家通过第三级测评的医院。
国家相关标准:
GB/T 28448-2012《信息系统安全等级保护测评要求》
GB/T 28449-2012《信息系统安全等级保护测评过程指南》
评论前必须登录!
注册