醫院信息安全等級保護的探討

導語：醫院信息安全等級保護的探討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1醫院重要信息系統等級保護行業政策

1.1國家衛生部文件

文件明確規定了信息安全等級保護工作的工作目標、工作原則、工作機制、工作任務、工作要求，工作任務中特別強調了“三級甲等醫院的核心業務信息系統”應進行定級備案。

1.2浙江省衛生廳文件

為加強醫療衛生行業信息安全管理，提高信息安全意識，以信息安全等級保護標準促進全行業的信息安全工作，提高全省衛生系統信息安全保護與信息安全技術水平，強化信息安全的重要性。2011年6月7日，浙江省衛生廳和浙江省公安廳聯合下發《關于做好全省醫療衛生行業重要信息系統信息安全等級保護工作的通知》（浙衛發〔2011〕131號），并一同下發了《浙江省醫療衛生行業信息安全等級保護工作實施方案》和《浙江省衛生行業信息系統安全等級保護定級工作指導意見》。為進一步指導我省衛生行業單位開展信息安全等級保持工作，浙江省衛生信息中心于2012年4月6日下發了《關于印發<浙江省衛生行業信息安全等級保護工作指導意見細則>的函》。上述文件詳細規定了工作目標、工作流程和工作進度，并明確了醫療衛生單位重要信息系統的劃分和定級，具有很強的指導性和操作性。

2醫院信息安全等級保護

依據上述行業文件要求，全省醫院重要信息系統信息安全等級保護工作由省衛生廳和各級衛生局、公安局分級負責，按照系統定級、系統備案、等級測評、安全整改[1]四個工作步驟實施。

2.1系統定級

2.1.1確定對象

我省醫院信息化發展較早，各類系統比較完善，但數量繁多。將出現多達幾十甚至上百個定級對象的狀況，這與要求重點保護、控制建設成本、優化資源配置[2]的原則相違背，不利于醫院重要信息系統開展信息安全等級保護工作。依據《計算機信息系統安全保護等級劃分準則（GB17859-1999）》等標準，結合我省醫院信息化現狀及發展需要，經衛生信息化專家和信息安全專家多次論證，本著突出重點、按類歸并、相對獨立、節約費用的原則，從系統管理、業務使用者、系統服務對象和運行環境等多方面綜合考慮，把醫院信息系統劃分為以下幾類，如表1所示。

2.1.2等級評定

醫院重要信息系統的信息安全和系統服務應用被破壞時，產生的危害主要涉及公民的個人隱私、就醫權利及合法權益，對社會秩序和公共利益的損害屬于“損害”或“嚴重損害”程度。參考《信息安全等級保護管理辦法》及省衛生信息中心指導意見細則要求[3]，即屬于“第二級”或“第三級”范疇。因此醫院信息系統對信息安全防護和服務能力保護的要求較高，結合業務服務及系統應用范疇，實行保護重點、以點帶面原則，參考定級如表2所示。

2.2系統定級備案

省衛生廳及省級醫療衛生單位信息系統、全省統一聯網或跨市聯網運行的信息系統由省公安廳受理備案；各市衛生局及其下屬單位、轄區內醫院信息系統由屬地公安機關受理備案。各市衛生局應將轄區內醫療衛生單位備案匯總情況和《信息系統安全等級保護備案表》等材料以電子文件形式向省衛生廳報備。定級備案流程示意圖如圖1所示。

2.3等級保護測評

醫院重要信息系統完成定級備案后，應依據《浙江省信息安全等級保護工作協調小組關于公布信息安全等級報測評機構的通知》（浙等保〔2010〕9號）選擇浙江省信息安全等級保護工作協調小組辦公室推薦的等級測評機構，啟動等級測評工作，結合所屬等級要求對系統進行逐項測評。通過對醫院系統進行查驗、訪談、現場測試等方式收集相關信息，詳細了解信息安全保護現狀，分析所收集的資料和數據，查找發現醫院重要信息系統漏洞和安全隱患，針對測評報告結果進行分析反饋、溝通協商，明確等級保護整改工作目標、整改流程及注意事項，共同制定等級保護整改建議方案用于指導后續整改工作。對第二級以上的信息系統要定期開展等級測評。信息系統測評后，醫院應及時將測評機構出具的《信息系統等級測評報告》向所屬地公安機關報備。

2.4等級保護規劃建設整改

根據《信息系統安全等級保護實施指南》及省實施方案，結合醫院信息系統的安全需求分析，判斷安全保護現狀，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規劃[4]等，用以指導信息系統安全建設工程實施。引進第三方安全技術服務商，協助完成系統安全規劃、建設及整改工作。建設，整改實施過程中按照詳細設計方案，設置安全產品采購、安全控制開發與集成、機構和人員配置、安全管理制度建設、人員安全技能培訓等環節[5]，將規劃設計階段的安全方針和策略，切實落實到醫院系統的信息安全規劃、建設、評估、運行和維護等各個環節。其核心是根據系統的實際信息安全需求、業務特點及應用重點，并結合醫院自身信息安全建設的實際需求，建設一套全面保護、重點突出、持續運行的安全保障體系，確保醫院系統的信息安全。等級保護工程及管理體系建設整改流程如圖2所示。

3醫院重要信息系統安全等級保護成效

各級醫院按照國家有關信息安全等級保護政策、標準，結合衛生行業政策和要求，全面落實信息系統信息安全等級保護工作，保障信息系統安全可靠運行，提高安全管理運維水平。

3.1明確系統安全保護目標

通過推行各級醫院信息安全等級保護工作，梳理衛生信息系統資產、網絡邊界、網絡安全設備部署及運行狀況。根據系統風險評估、危害的覆蓋范圍及影響性判定安全等級，從而根據標準全面、系統、深入地掌握系統潛在的風險隱患，安全漏洞。明確需要重點保護的應用系統及信息資產，提出行之有效的保護措施，有針對性地提高保護等級，實現重點目標重點保護。

3.2建立安全管理保障體系

安全管理保障體系是開展信息安全工作的保障，指導落實各項安全指標要求。信息安全等級保護基本要求中明確要求加強主管及安全責任部門領導，配備信息安全專員督導安全檢查、維護、培訓工作。建立健全信息安全管理保障制度體系，包括機房安全管理制度、人員安全管理制度、運維安全管理規范。建立行之有效的安全應急響應預案及常規化的信息安全培訓及預防演練，形成長期的安全風險管控機制。

3.3加強安全意識和管理能力

通過落實等級保護制度的各項要求，認識安全意識在信息安全工作中的重要性和必要性，調動安全保護的自覺主動性，加大安全保護的資金投入力度，優化安全管理資源及策略，主動提升安全保護能力。同時重視常規化的信息安全管理教育和培訓，強化安全管理員和責任人的安全意識，提高風險分析和安全性評估等能力，信息系統安全整體管理水平將得到提高。

3.4強化安全保護技術實施

醫院開展信息安全等級保護工作可加深分級、分域的縱深防御理念，進一步結合終端安全、身份認證、網絡安全、容災技術，建立統一的安全監控平臺和安全運行中心。根據測評報告及建設整改建議，增強對應用系統的授權訪問，終端計算機的安全控制，網絡流量的異常監控，業務與數據安全保障，惡意軟件和攻擊行為的防御、發現及阻擊等功能，深層次提高抵御外部和內部信息安全威脅的能力。

3.5優化第三方技術服務

與安全技術服務機構建立長期穩定的合作關系，引進并優化第三方技術資源，搭建安全保護技術的學習橋梁與交流平臺。在安全技術與管理方面加固信息安全防護措施，完善信息安全管理制度，同時通過安全技術管理培訓強化醫院工作人員信息安全保護意識，提高信息安全隊伍的技術與管理水平，共同為醫院系統信息化建設的快速發展保駕護航。總之，醫院開展信息安全等級保護工作將有效提高醫院信息化建設的整體水平，有利于醫院信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調；有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務；有利于優化信息安全資源的配置，重點保障基礎信息網絡、個人隱私、醫療資源和社會公共衛生等方面的重要信息系統的安全[6]。

4結束語

醫院系統信息安全是衛生信息化的重要組成部分，也是決定衛生信息化未來發展的關鍵因子。開展和完善醫院重要信息系統信息安全等級保護工作，從安全意識、安全制度、安全技術及安全管理等多方位措施加強防護，排查安全漏洞及潛在隱患，對于保障醫院重要信息系統正常運行，促進衛生信息化健康發展，深化醫藥衛生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。

本文作者:辛均益陳啟岳王宏宇工作單位:浙江省衛生信息中心