医疗卫生信息安全等级保护的体系化实施流程
为确保医疗卫生行业信息系统等级保护工作的有序开展,实现等级保护工作的总体目标,持续满足国家相关要求,医疗卫生各单位在实施等级保护工作时,可从过程和PDCA模型的角度组织各项等级保护工作,如图2所示。
医疗卫生行业信息系统等级保护工作作为一个大的过程,其目标,即输出是满足我国等级保护制度的相关要求,而输入则是国家的相关等级保护要求。在信息系统定级、备案之后,便进入规划阶段,需要根据要求,对运营、使用单位的所有信息系统进行统一安全规划和设计,考虑每个系统的安全级别和不同系统安全级别的差异;安全规划阶段之后,是实施与运行阶段,需要按照规划阶段的结果,实施系统的建设和改建工作,使其满足相应级别的要求,实施完成后的运行阶段,单位安全管理人员应严格履行管理职责,投入足够的资源来确保各项安全策略按预期运行;检查阶段最重要的工作是我们等级保护工作中的系统测评、自查和检查;针对检查阶段发现的任何问题,必须采用纠正和预防措施,实现信息安全工作的持续改进。
图2所体现的以过程为基础的信息安全等级保护实施模式展示了实施环节过程之间的联系。为确保等级保护工作实施整体过程的输入转换为预期的输出,具体实施过程按PDCA模型组织如下:
P阶段
信息系统定级备案后,就进入了系统安全规划阶段。在该阶段,各单位最高管理者应首先建立人员队伍,即实施等级保护的组织结构,指定人员角色,分配相应职责,确保人力资源的投入。各单位可通过测评等手段掌握系统现状与标准要求的差距,并据此确立应实现的总体目标,以及等级保护的实施范围。在该范围内,按照目标,对需要实施的各项工作进行统一规划,技术方面形成安全解决方案以及实施计划,管理方面则应制定相应的安全管理制度。整个规划阶段应满足过程实施所需的所有要素,并为下一过程,实施阶段,提供完整准确的输入。
D阶段
实施与运行阶段的主要任务是按照规划阶段所产生的结果,落实各项措施,其中涉及到管理职责落实、责任人员落实、资源落实、流程落实,无论哪一个方面都关系到总体的实施运行结果。
技术方面,针对P阶段产生的安全解决方案,根据安全要求,可能需要进一步的细化,设计详细安全机制。涉及到供应商的项目,要对供应商的安全资质和安全实施能力进行评价。系统进入运行与维护阶段后,落实相关的监控手段,及时发现问题,迅速响应,确保系统安全、稳定的运行。管理方面,应对所有员工实施管理制度的培训,提高员工的信息安全意识,使其掌握文件要求,知道自己应该做什么?怎么做?才能确保单位整体信息安全工作的顺利实施,达到预期目标。各方面工作都需要持续改进,不断满足新的要求,这通过下面两个阶段的工作加以实现。
C阶段
安全检查阶段的主要工作是对信息安全技术和管理两方面的工作进行分析和评价,判断其与标准要求的符合性,进而分析整体信息安全工作的有效性、充分性和适宜性。为确保安全检查的效果和满足国家相关要求,安全检查阶段的检查工作划分为自查、等级测评、检查三个层次。
A阶段
处置阶段,也可称之为改进阶段,其工作主要是针对检查阶段各项活动的结果,如果信息系统安全状况未达到安全保护等级要求的,运营、使用单位要对不符合的事项进行处理,查找不符合的原因,针对该原因,采取纠正措施,制定解决方案加以实施,以确保不符合的事项不会再次发生。
内容预告:【HIT180等保专栏(四)】医疗卫生信息安全等级保护实施
HIT专家网系列丛书的第一部著作、由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)已于2014年9月正式出版,同时HIT专家网推出【HIT180等保专栏】,摘编书中精彩内容以及业界投稿内容与读者分享,欢迎大家订阅!
版次:2014年9月第1版
印次:2014年9月第1次印刷
开本:889mm * 1194mm
印张:21
原价:48.00元 现在网上微店直接下单即可享受大幅折扣优惠。
咨询热线:010-82373062
评论前必须登录!
注册