开展我省医疗卫生行业等级保护工作的思考 蒋凡 中国科学技术大学 信息安全测评中心
主要内容 信息安全等级保护制度 医疗信息系统特点 医疗机构等保备案定级测评 总结
信息安全等级保护制度 1 信息安全等级保护制度的提出 2 信息安全等级保护现状 3 信息安全等级保护体系
信息安全等级保护制度的提出 1994年 国务院发布了《中华人民共和国计算机信息系统安全保护条例》(147号令)第9条明确规定“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。 1999年 9月13日,《计算机信息系统安全保护等级划分准则》(GB17859-1999)发布,是我国计算机信息系统安全保护等级工作的基础。
信息安全等级保护制度 1 信息安全等级保护制度的提出 2 信息安全等级保护现状 3 信息安全等级保护体系
信息安全等级保护制度的提出 2003年 《国家信息化领导小组关于加强信息安全保障工作的意见》(27号)明确指出“实行信息安全等级保护”。 2004年 公安部、保密局、密码管理局、国新办联合印发了《关于信息安全等级保护工作的实施意见》(66号文件),明确了等级保护的原则、内容、要求以及部门分工和实施计划。 2007年 公安部、保密局、密码管理局、国新办联合制定了《信息安全等级保护管理办法》,标志着我国等级保护制度的初步形成。
信息安全等级保护标准体系 标准体系 标准体系 标准体系 标准体系 GB/T 20269-2006 《信息安全技术信息系统管理要求》 《信息安全保护等级定级指南》 GB/T 20271-2006 《信息安全技术信息系统通用技术要求》 GB/T 22239-2008 《信息安全保护等级保护基本要求》 GB/T 20282-2006 《信息安全技术信息系统安全工程管理要求》
定级要素与安全保护等级的关系 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 社会秩序 国家安全 第一级 第二级 社会秩序 第三级 第四级 国家安全 第五级
定级流程 确定定级对象 确定业务信息安全受到破坏时所侵害的客体 确定系统服务安全受到破坏时所侵害的客体 综合评定对客体的侵害程度 业务信息安全等级 系统服务安全等级 定级对象的安全保护等级
信息安全等级保护制度 1 信息安全等级保护制度的提出 2 信息安全等级保护现状 3 信息安全等级保护体系
体系化管理方法-管理的体系化要素 包含人员分配、资金保证、物品配备等方面。 4 资源管理 5 持续改进等 2 PDCA模型 1 过程方法 3 管理职责 包含人员分配、资金保证、物品配备等方面。 不断对管理活动进行检查,发现问题及时采取改进措施,从而实现持续改进。 又称戴明环,是持续改进的优秀方法。 系统地识别和管理组织所应用的过程,特别是过程间的相互作用。 管理活动中,管理者应该具备的职责要求。
PDCA模型
体系化需求 构建等级保护的体系化实施模型 在原有等级保护工作的基础上,使过程方法和PDCA模型更加完善 和清晰化 补充其他体系化要素,形成完整的信息安全等级保护体系化实施方 法
体系化实施流程 1、实施指南建设思路 4、等级保护持续改进 3、等保自查与测评 2、等保二、三级系统建设
实施指南—基本实施过程 系统定级 安全规划设计 重大变更 安全实施 / 实现 局部调整 安全运行管理 系统终止
主要内容 信息安全等级保护制度 医疗信息系统特点 医疗机构等保备案定级测评 总结
医院的业务内网拓朴图
医疗信息系统特点 作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外 界的通讯保证畅通 。 医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等 综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证 系统的正常运作和稳定的效率。 医院的网络系统连接着Internet、医保网和高校等,访问人员比较复杂,所以如何保证 医院网络系统中的数据安全问题尤为重要。
卫生部、中央编办、国家发展改革委、财政部和人力资源社会保障部制定的《关于公立医院改革试点的指导意见》,在加强公立医院管理一款中强调:“ 卫生部、中央编办、国家发展改革委、财政部和人力资源社会保障部制定的《关于公立医院改革试点的指导意见》,在加强公立医院管理一款中强调:“......,充分利用现有资源逐步建立医院之间、上级医院和基层医疗卫生服务机构之间、医院和公共卫生机构、医保经办机构之间的互联互通机制,构建便捷、高效的医院信息平台。”
医疗信息系统特点 国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医院信息系统构筑至少应达到二级或以上防护要求。
36% 医疗系统应重点关注的安全问题 23% 物理环境保护 信息安全管理 行为事件追溯 隐私保护与责任认定 业务连续保障 19% 7% 15% 7% 物理环境保护
医疗卫生等级保护实施流程规划 第一步:“评估定级,定义安全需求”。 通过风险评估、系统定级、等级评估等服务组件识别系统的安全风险,确定 系统的安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。 第二步:“体系建设,定义安全需求”。 通过体系设计制定等级方案,进行安全策略体系、安全组织体系、安全技术 体系和安全运维体系建设,满足评估定级阶段形成的安全需求,实现按需防御。 第三步:“安全运维,确保持续安全”。 通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件,从 事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续 性按需防御的安全需求。
医疗卫生等级保护实施流程规划 1 2 体系建设,定义安全需求 3 评估定级,定义安全需求 安全运维,确保持续安全
系统划分及定级建议 原则上,卫生行业信息安全保护等级不超三级,以下重要信息系统保护等级不低 于第三级: (1)跨市全省联网运行的信息系统; (2)省、市卫生信息平台,新农合、血液管理、社区妇幼管理、卫生监督、药 品招标采购等省级应用系统和数据中心。 (3)三级医院的核心业务信息系统; (4)其他经过信息安全技术专家委员会评定为三级的系统。
卫生行业信息系统分类建议 公共卫生管理单位 序号 信息系统类别 说明 1 2 3 4 医 院 网站 面向内部管理的信息系统 如:内部电子政务信息系统等 3 面向公众服务的信息系统 如:居民健康档案、卫生监督等核心业务系统 4 基础支撑系统 如:机房、网络等 医 院 如:协同办公、医院资源管理等 如:门诊系统、住院系统、以电子病历为核心的诊疗系统、LIS、RIS、PACS等 如:医院平台、机房、基础网络等
卫生行业信息系统定级建议 公共卫生管理单位 序号 1 2 3 4 医 院 信息系统类别 建议定级 省级单位 市级单位 县级单位 网站 二级 一级 2 面向内部管理的信息系统 3 面向公众服务的信息系统 三级 4 基础支撑系统 医 院 三级医院 二级医院
定级建议 系统类别 系统名称 范围 建议等级 公共卫生信息系统 卫生监督管理系统 全市 三级 血液信息管理系统 精神卫生管理信息系统 医疗机构信息系统 HIS系统(门急诊,电子病历) 本单位 二级 LIS系统 PACS系统 医院网站 一级 OA系统
备案方法 信息系统安全保护等级为第二级(含)以上的,由信息系统运营使用单位,在系统投入运 行后(新建系统)或确定等级后(已运行的系统)30日内,填写《信息系统安全等级保护定级 报告》和《信息系统安全等级保护备案表》办理备案手续。已完成定级备案单位要参照本实施 指南动态调整安全等级,未完成定级备案单位要抓紧到属地公安部门备案。 省直医疗卫生单位信息系统和全省统一联网或跨市联网运行的信息系统,经省卫生厅审 核后,统一报省公安厅备案;各市卫生局及下属单位、辖区内医疗卫生单位报属地市级公安机 关备案。 各市卫生局应将辖区内信息系统备案情况于每年末汇总后向卫生厅报备。
医疗卫生等级保护实施流程规划 1 2 体系建设,定义安全需求 3 评估定级,定义安全需求 安全运维,确保持续安全
P阶段-安全规划阶段 等级保护制度基本要求项目统计 基本要求 二级 三级 技术要求 物理 19 32 网络 18 33 主机 应用 31 数据 4 8 管理要求 安全管理制度 7 11 安全管理机构 9 20 人员安全管理 16 系统建设管理 28 45 系统运维管理 41 62 合计 175 490
D阶段-实施运行阶段-现状
D阶段-实施运行阶段-安全保障体系方案
在医疗机构信息系统中除了具有HIS系统、LIS系统、PACS系统等二级系统 外,还有医院网站、OA系统的一级系统,那么在不同等级互联时,我们可 采用的策略有: 策略一:将所有系统放在一个安全域中,按照最高级别(三级和二级共存的情 况,按照高级别的三级防护)进行防护;这样做的好处是所有系统都满足各 自系统的防护需求; 策略二:将所有三级系统放在一个安全域中,利用访问控制手段与其他系统 进行隔离,并按照三级要求进行防护;将所有二级和一级系统分别放在一 个安全域中,利用访问控制手段与其他系统进行隔离,并按照要求进行防 护。 两种策略各有优劣,根据医疗机构信息系统建设发展的具体情况进行选择。
C阶段-安全检查 接受来自公安机关的检查,三级系统每年至少检查一次。 检 查 等级测评 检 查 等级测评 选择认证的等级保护测评机构,三级系统每年至少测评一次。 自 查 三级系统至少每年自查一次。信息系统安全状况、安全保护制度及措施的落实情况。
A阶段-处置改进阶段 1.查找差距 2.制定方案 3.落实整改 4.测评验收 根据信息系统安全保护现状分析结果,按照《信息系统安全等级保护基本要求》、《信息系统等级保护安全设计技术要求》等国家标准,制定信息安全等级保护建设整改方案。第三级(含)以上的安全建设整改方案须经省信息安全等级保护专家技术委员会论证。 2.制定方案 开展安全保护现状分析,查找安全隐患及与国家信息安全等级保护标准之间的差距,确定安全需求。 3.落实整改 各单位应按照安全建设整改方案,完善安全保护措施,配备符合标准规范的安全产品,建立安全管理制度,落实安全管理措施,形成信息安全技术防护体系和安全管理体系,有效保障信息安全。 4.测评验收 系统建设完成后,从省公安厅选择认定的测评机构目录中选择等级测评机构,对第二级(含)以上的信息系统定期开展等级测评。
医疗卫生等级保护实施流程规划 1 2 体系建设,定义安全需求 3 评估定级,定义安全需求 安全运维,确保持续安全
安全运维,确保持续安全 主要内容包括:检查扫描、安全加固、日志分析、补丁管理、安全监控和应急响应。 具有条件的单位可以采用自行运维的形式,如在运维阶段面临技术水平、人员规模、运维经验的限制,可以采用安全运维服务外包的形式。 如果安全管理有漏洞,其他安全措施投入再大也无济于事,因此,应加强信息安全从业人员队伍建设,明确医疗机构信息安全岗、人员,对其进行有针对性的培训。
主要内容 信息安全等级保护制度 医疗信息系统特点 医疗机构等保备案定级测评 总结
总结 一、安全方案:设计合规性、适用性并重的安全方案。 二、安全实施:采用标准、成熟、先进的等级保护实施方法开展安全 实施。 三、风险评估与测评:引入风险评估方法,保障集成实施过程中风险 可识别可控制。测评确保合规。 四、安全政策:基于等级保护和业务风险设计安全策略。 五、安全制度:设计可有效执行的安全管理制度。 六、安全培训:通过层次化、体系化的培训,保障系统可持续运维。 七、应急响应:通过高效、专业的应急响应服务,保障系统安全运营 。
愿景
! 谢谢 蒋凡 fjiang@ustc.edu.cn 0551-63600476 13805517065