专业咨询
致力推进中国医疗卫生信息化

【HIT180等保专栏(五)】医疗卫生信息安全等级保护实施

来源:HIT专家网     编辑:小虫

   原卫生部要求医疗卫生行业全面开展等级保护建设,其中明确要求“要根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案。要于2015年12月30日前完成信息安全等级保护建设整改工作。作为HIT专家网系列丛书的第一部著作,由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)从等保政策,到等保实施做了系统的阐述,欢迎大家登录HIT专家网微店订购。

前面几期【HIT180等保专栏】已经描述过医疗卫生行业信息系统的信息安全需求以及实施要求,接下来将进入到实战环节,即信息安全等级保护的实施。

等级保护实施流程

在医疗卫生行业的等级保护工作中,医疗信息系统(例如定级为等级保护第三级的三级甲等医院的HIS系统)以及公共卫生信息系统(部分定级为等级保护第三级的系统)成为了医疗卫生行业等级保护建设中核心的系统,完成等级保护体系化建设首先要保障定级系统能够按照等级保护要求进行防护,之后通过多个层面的共同建设完成医疗卫生行业信息安全等级保护工作。信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。

医疗卫生行业“按需防御”的等级保护安全体系是依据国家信息安全等级保护制度,根据医疗卫生行业系统在不同阶段的需求、业务特性及应用重点,采用过程方法、PDCA模型以及等级化的安全体系设计方法,构建本行业的一套覆盖全面、重点突出、节约成本、持续运行的等级化安全防御体系。构建按需防御的等级保护安全体系包括三个步骤:评估定级,定义安全需求;体系建设,实现按需防御;安全运维,确保持续安全。

信息系统建设等级保护实施流程示意图

信息系统建设等级保护实施流程示意图

通过如上步骤,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。

定级与备案

卫生行业各单位在确定信息系统安全等级保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生计生行政部门备案。针对三级甲等医院,因门诊量普遍较大,当在早间挂号、就诊等高峰时期会有大量患者排队挂号与就诊,当发生信息系统瘫痪后会造成大面积患者排队,极易引发群体事件。因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。

  信息系统定级原则:“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。定级工作流程:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。

备案工作包括:信息系统备案、受理、审核和备案信息管理。具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求开展。公安机关受理备案,按照《信息安全等级保护备案实施细则》要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。

1 2
赞(0)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 【HIT180等保专栏(五)】医疗卫生信息安全等级保护实施
分享到: 更多 (0)