规划与整改
在安全规划阶段,目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。对于已运营(运行)的信息系统,在进行需求分析时首先应当分析判断信息系统的安全保护现状与等级保护要求之间的差距。
医疗卫生行业信息系统由于承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,如社区居民健康档案即更关注有可能导致信息泄密、非法篡改等安全问题;有的更关注业务的连续性,如医院门急诊系统即更关注保证系统连续正常的运行,避免对系统未授权的修改、破坏而导致系统不可用引起业务中断。 不同安全保护等级的信息系统,其对业务信息的安全性要求和系统服务的连续性要求是有差异的。
对于确定了安全保护等级的信息系统,选择和使用基本安全要求时,可以按照以下过程进行:
1) 明确信息系统应该具有的安全保护能力,根据信息系统的安全保护等级选择基本安全要求,包括技术要求和管理要求。
2) 根据信息系统的定级结果对基本安全要求进行调整。
3) 针对不同行业或不同系统的特点,分析可能在某些方面的特殊安全保护能力要求,选择较高级别的基本安全要求或补充基本安全要求。
总之,保证不同安全保护等级的信息系统具有相应级别的安全保护能力,满足相应级别的基本安全要求,是信息系统等级保护的核心。选用《信息安全技术 信息系统安全等级保护基本要求》中提供的基本安全要求是保证信息系统具备一定安全保护能力的一种途径和出发点,在此出发点的基础上,可以参考等级保护的其它相关标准和安全方面的其它相关标准,调整和补充基本安全要求,从而实现信息系统在满足等级保护基本要求基础上,又具有医疗卫生行业特点的保护。
整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。对于已经建好的信息系统,为了达到信息安全等保三级的要求,需要根据等保三级的标准对技术体系和管理体系两大方面进行整改。
技术管理体系与安全管理体系的整改方案设计及实施在《医疗卫生行业信息安全等级保护实施指南》(第二版)第四章内容有详细叙述,欢迎订购全书阅读。
安全检查与持续改进
按照国家主管部门要求,等级测评机构测评前,各医疗卫生机构可自行先进行等级自查,并完善整改措施,等级测评机构的测评流程如图所示:
在安全检查阶段发现的任何问题,都应查找不符合的原因,针对该原因,采取纠正措施,制定解决方案加以实施,以确保不符合的事项不会再次发生。
信息安全等级保护工作是一项长期的工作,不能一蹴而就,外部环境和内部系统会不断地发生变化,今年的等级保护测评通过,不代表明年测评就符合要求,所以一定注重持续改进。
【内容预告】:【HIT180等保专栏(六)】让信息泄露不再成为医疗数据安全之痛
如果您对医疗行业的安全等保有自己的见解,欢迎给我们投稿,E-mail:public@hit180.com
HIT专家网系列丛书的第一部著作、由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)已于2014年9月正式出版,同时HIT专家网推出【HIT180等保专栏】,摘编书中精彩内容以及业界投稿内容与读者分享,欢迎大家订阅!
版次:2014年9月第1版
印次:2014年9月第1次印刷
开本:889mm * 1194mm
印张:21
原价:48.00元 现在网上微店直接下单即可享受大幅折扣优惠。
咨询热线:010-82373062
评论前必须登录!
注册