医院信息化安全等保解决方案(二级).pdf

医院信息化安全等保解决方案(二级)--第1页

医院信息化安全等保解决方案(二级)

医院信息化安全等保解决方案

一、行业背景与需求

为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行

业信息安全等级保护工作，卫生部办公厅于2011年12月下发卫生部

《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85

号）（以下简称《指导意见》）。为贯彻《指导意见》，办公厅同时下发

《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通

知》（卫办综函〔2011〕1126号）（以下简称《通知》），对卫生行业

各单位提出如下要求：

■2012年5月30日前完成本单位信息系统的定级备案工作；

■根据信息系统定级备案情况开展等级测评工作，查找安全差距和

风险隐患，并结合自身安全需求，制订安全建设整改方案；

■2015年12月30日前完成信息安全等级保护建设整改工作，并

通过等级测评。

《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》

（以下简称《定级指南》）、《信息安全技术信息系统安全等级保护基

本要求》（以下简称《基本要求》），建议县区级医院的核心业务信息

系统安全保护等级原则上不低于二级。各省卫生厅根据《指导意见》、

《定级指南》、《基本要求》等相关规定，并结合本区域现状提出本区

域内县区级医院定级要求，大部分省（市）定级要求如下：

序号信息系统可能侵害的客体定级建

1/10第1页

医院信息化安全等保解决方案(二级)--第1页

医院信息化安全等保解决方案(二级)--第2页

医院信息化安全等保解决方案(二级)

议

1HIS、LIS、PACS、门诊公民、法人与其他组织二级

系统等合法权益

2OA、网站、邮寄等公民、法人与其他组织二级

合法权益

二、迪普解决之道为帮助县区医院落实国家信息安全等级保护制度与

卫生部信息安全等级保护工作要求，迪普科技从主机安全、应用安全、

数据安全与备份恢复四个层面为县区医院提供全方位的等级保护解

决方案。

■整体思路县级医院网络一般分为两张物理网络：内网（业务网）

和外网（办公网）。内网主要承载着HIS、LIS、PACS等医院信息系统，

外网主要承载医院OA、网站、mail等信息系统。《基本要求》中规定

不同安全保护等级的信息系统应该具备相应的基本安全保护能力，应

满足相应的基本安全要求，根据实现方式的不同，基本安全要求分为

基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、

网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医

院内外两张物理网络及其承载的信息系统，分别从网络安全、主机安

2/10第2页

医院信息化安全等保解决方案(二级)--第2页

医院信息化安全等保解决方案(二级)--第3页

医院信息化安全等保解决方案(二级)

全、应用安全、数据安全四个层面进行设计