導語：醫(yī)院信息安全等級保護的探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1醫(yī)院重要信息系統(tǒng)等級保護行業(yè)政策

1.1國家衛(wèi)生部文件

文件明確規(guī)定了信息安全等級保護工作的工作目標、工作原則、工作機制、工作任務、工作要求，工作任務中特別強調(diào)了“三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)”應進行定級備案。

1.2浙江省衛(wèi)生廳文件

為加強醫(yī)療衛(wèi)生行業(yè)信息安全管理，提高信息安全意識，以信息安全等級保護標準促進全行業(yè)的信息安全工作，提高全省衛(wèi)生系統(tǒng)信息安全保護與信息安全技術水平，強化信息安全的重要性。2011年6月7日，浙江省衛(wèi)生廳和浙江省公安廳聯(lián)合下發(fā)《關于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護工作的通知》（浙衛(wèi)發(fā)〔2011〕131號），并一同下發(fā)了《浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作實施方案》和《浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護定級工作指導意見》。為進一步指導我省衛(wèi)生行業(yè)單位開展信息安全等級保持工作，浙江省衛(wèi)生信息中心于2012年4月6日下發(fā)了《關于印發(fā)<浙江省衛(wèi)生行業(yè)信息安全等級保護工作指導意見細則>的函》。上述文件詳細規(guī)定了工作目標、工作流程和工作進度，并明確了醫(yī)療衛(wèi)生單位重要信息系統(tǒng)的劃分和定級，具有很強的指導性和操作性。

2醫(yī)院信息安全等級保護

依據(jù)上述行業(yè)文件要求，全省醫(yī)院重要信息系統(tǒng)信息安全等級保護工作由省衛(wèi)生廳和各級衛(wèi)生局、公安局分級負責，按照系統(tǒng)定級、系統(tǒng)備案、等級測評、安全整改[1]四個工作步驟實施。

2.1系統(tǒng)定級

2.1.1確定對象

我省醫(yī)院信息化發(fā)展較早，各類系統(tǒng)比較完善，但數(shù)量繁多。將出現(xiàn)多達幾十甚至上百個定級對象的狀況，這與要求重點保護、控制建設成本、優(yōu)化資源配置[2]的原則相違背，不利于醫(yī)院重要信息系統(tǒng)開展信息安全等級保護工作。依據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）》等標準，結合我省醫(yī)院信息化現(xiàn)狀及發(fā)展需要，經(jīng)衛(wèi)生信息化專家和信息安全專家多次論證，本著突出重點、按類歸并、相對獨立、節(jié)約費用的原則，從系統(tǒng)管理、業(yè)務使用者、系統(tǒng)服務對象和運行環(huán)境等多方面綜合考慮，把醫(yī)院信息系統(tǒng)劃分為以下幾類，如表1所示。

2.1.2等級評定

醫(yī)院重要信息系統(tǒng)的信息安全和系統(tǒng)服務應用被破壞時，產(chǎn)生的危害主要涉及公民的個人隱私、就醫(yī)權利及合法權益，對社會秩序和公共利益的損害屬于“損害”或“嚴重損害”程度。參考《信息安全等級保護管理辦法》及省衛(wèi)生信息中心指導意見細則要求[3]，即屬于“第二級”或“第三級”范疇。因此醫(yī)院信息系統(tǒng)對信息安全防護和服務能力保護的要求較高，結合業(yè)務服務及系統(tǒng)應用范疇，實行保護重點、以點帶面原則，參考定級如表2所示。

2.2系統(tǒng)定級備案

省衛(wèi)生廳及省級醫(yī)療衛(wèi)生單位信息系統(tǒng)、全省統(tǒng)一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運行的信息系統(tǒng)由省公安廳受理備案；各市衛(wèi)生局及其下屬單位、轄區(qū)內(nèi)醫(yī)院信息系統(tǒng)由屬地公安機關受理備案。各市衛(wèi)生局應將轄區(qū)內(nèi)醫(yī)療衛(wèi)生單位備案匯總情況和《信息系統(tǒng)安全等級保護備案表》等材料以電子文件形式向省衛(wèi)生廳報備。定級備案流程示意圖如圖1所示。

2.3等級保護測評

醫(yī)院重要信息系統(tǒng)完成定級備案后，應依據(jù)《浙江省信息安全等級保護工作協(xié)調(diào)小組關于公布信息安全等級報測評機構的通知》（浙等保〔2010〕9號）選擇浙江省信息安全等級保護工作協(xié)調(diào)小組辦公室推薦的等級測評機構，啟動等級測評工作，結合所屬等級要求對系統(tǒng)進行逐項測評。通過對醫(yī)院系統(tǒng)進行查驗、訪談、現(xiàn)場測試等方式收集相關信息，詳細了解信息安全保護現(xiàn)狀，分析所收集的資料和數(shù)據(jù)，查找發(fā)現(xiàn)醫(yī)院重要信息系統(tǒng)漏洞和安全隱患，針對測評報告結果進行分析反饋、溝通協(xié)商，明確等級保護整改工作目標、整改流程及注意事項，共同制定等級保護整改建議方案用于指導后續(xù)整改工作。對第二級以上的信息系統(tǒng)要定期開展等級測評。信息系統(tǒng)測評后，醫(yī)院應及時將測評機構出具的《信息系統(tǒng)等級測評報告》向所屬地公安機關報備。

2.4等級保護規(guī)劃建設整改

根據(jù)《信息系統(tǒng)安全等級保護實施指南》及省實施方案，結合醫(yī)院信息系統(tǒng)的安全需求分析，判斷安全保護現(xiàn)狀，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規(guī)劃[4]等，用以指導信息系統(tǒng)安全建設工程實施。引進第三方安全技術服務商，協(xié)助完成系統(tǒng)安全規(guī)劃、建設及整改工作。建設，整改實施過程中按照詳細設計方案，設置安全產(chǎn)品采購、安全控制開發(fā)與集成、機構和人員配置、安全管理制度建設、人員安全技能培訓等環(huán)節(jié)[5]，將規(guī)劃設計階段的安全方針和策略，切實落實到醫(yī)院系統(tǒng)的信息安全規(guī)劃、建設、評估、運行和維護等各個環(huán)節(jié)。其核心是根據(jù)系統(tǒng)的實際信息安全需求、業(yè)務特點及應用重點，并結合醫(yī)院自身信息安全建設的實際需求，建設一套全面保護、重點突出、持續(xù)運行的安全保障體系，確保醫(yī)院系統(tǒng)的信息安全。等級保護工程及管理體系建設整改流程如圖2所示。

3醫(yī)院重要信息系統(tǒng)安全等級保護成效

各級醫(yī)院按照國家有關信息安全等級保護政策、標準，結合衛(wèi)生行業(yè)政策和要求，全面落實信息系統(tǒng)信息安全等級保護工作，保障信息系統(tǒng)安全可靠運行，提高安全管理運維水平。

3.1明確系統(tǒng)安全保護目標

通過推行各級醫(yī)院信息安全等級保護工作，梳理衛(wèi)生信息系統(tǒng)資產(chǎn)、網(wǎng)絡邊界、網(wǎng)絡安全設備部署及運行狀況。根據(jù)系統(tǒng)風險評估、危害的覆蓋范圍及影響性判定安全等級，從而根據(jù)標準全面、系統(tǒng)、深入地掌握系統(tǒng)潛在的風險隱患，安全漏洞。明確需要重點保護的應用系統(tǒng)及信息資產(chǎn)，提出行之有效的保護措施，有針對性地提高保護等級，實現(xiàn)重點目標重點保護。

3.2建立安全管理保障體系

安全管理保障體系是開展信息安全工作的保障，指導落實各項安全指標要求。信息安全等級保護基本要求中明確要求加強主管及安全責任部門領導，配備信息安全專員督導安全檢查、維護、培訓工作。建立健全信息安全管理保障制度體系，包括機房安全管理制度、人員安全管理制度、運維安全管理規(guī)范。建立行之有效的安全應急響應預案及常規(guī)化的信息安全培訓及預防演練，形成長期的安全風險管控機制。

3.3加強安全意識和管理能力

通過落實等級保護制度的各項要求，認識安全意識在信息安全工作中的重要性和必要性，調(diào)動安全保護的自覺主動性，加大安全保護的資金投入力度，優(yōu)化安全管理資源及策略，主動提升安全保護能力。同時重視常規(guī)化的信息安全管理教育和培訓，強化安全管理員和責任人的安全意識，提高風險分析和安全性評估等能力，信息系統(tǒng)安全整體管理水平將得到提高。

3.4強化安全保護技術實施

醫(yī)院開展信息安全等級保護工作可加深分級、分域的縱深防御理念，進一步結合終端安全、身份認證、網(wǎng)絡安全、容災技術，建立統(tǒng)一的安全監(jiān)控平臺和安全運行中心。根據(jù)測評報告及建設整改建議，增強對應用系統(tǒng)的授權訪問，終端計算機的安全控制，網(wǎng)絡流量的異常監(jiān)控，業(yè)務與數(shù)據(jù)安全保障，惡意軟件和攻擊行為的防御、發(fā)現(xiàn)及阻擊等功能，深層次提高抵御外部和內(nèi)部信息安全威脅的能力。

3.5優(yōu)化第三方技術服務

與安全技術服務機構建立長期穩(wěn)定的合作關系，引進并優(yōu)化第三方技術資源，搭建安全保護技術的學習橋梁與交流平臺。在安全技術與管理方面加固信息安全防護措施，完善信息安全管理制度，同時通過安全技術管理培訓強化醫(yī)院工作人員信息安全保護意識，提高信息安全隊伍的技術與管理水平，共同為醫(yī)院系統(tǒng)信息化建設的快速發(fā)展保駕護航。總之，醫(yī)院開展信息安全等級保護工作將有效提高醫(yī)院信息化建設的整體水平，有利于醫(yī)院信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務；有利于優(yōu)化信息安全資源的配置，重點保障基礎信息網(wǎng)絡、個人隱私、醫(yī)療資源和社會公共衛(wèi)生等方面的重要信息系統(tǒng)的安全[6]。

4結束語

醫(yī)院系統(tǒng)信息安全是衛(wèi)生信息化的重要組成部分，也是決定衛(wèi)生信息化未來發(fā)展的關鍵因子。開展和完善醫(yī)院重要信息系統(tǒng)信息安全等級保護工作，從安全意識、安全制度、安全技術及安全管理等多方位措施加強防護，排查安全漏洞及潛在隱患，對于保障醫(yī)院重要信息系統(tǒng)正常運行，促進衛(wèi)生信息化健康發(fā)展，深化醫(yī)藥衛(wèi)生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。

本文作者:辛均益陳啟岳王宏宇工作單位:浙江省衛(wèi)生信息中心