【正文】 工作，是一體化的信息系統(tǒng)。電子病歷系統(tǒng)(Electronic Medical Record, EMR)以服務(wù)臨床業(yè)務(wù)工作開展為核心，為全院醫(yī)務(wù)人員、業(yè)務(wù)管理人員、院級(jí)領(lǐng)導(dǎo)提供流程化、信息化、自動(dòng)化、智能化的臨床業(yè)務(wù)綜合管理平臺(tái)。目前醫(yī)院所使用的電子病歷系統(tǒng)為2011年引進(jìn)的，XX公司開發(fā)的CS架構(gòu)的結(jié)構(gòu)化的電子病歷系統(tǒng)(TPEMR)。，采用集中式數(shù)據(jù)庫(kù)ORACLE 10G、分布式數(shù)據(jù)庫(kù)ACCESS和XML技術(shù)相結(jié)合，完成臨床數(shù)據(jù)的錄入、傳輸、交換、存儲(chǔ)和處理。目前電子病歷系統(tǒng)的組織實(shí)施、管理維護(hù)、安全防護(hù)均由計(jì)算機(jī)中心管理。3 安全需求分析 國(guó)家政策需求分析2007年公安部等四部委聯(lián)合出臺(tái)了《信息安全等級(jí)保護(hù)管理辦法》，該文件是在開展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作和信息安全等級(jí)保護(hù)試點(diǎn)工作基礎(chǔ)上，由四部委共同會(huì)簽印發(fā)的重要管理規(guī)范，主要內(nèi)容包括信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，信息系統(tǒng)定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)的實(shí)施與管理，信息安全產(chǎn)品和測(cè)評(píng)機(jī)構(gòu)選擇等，為開展信息安全等級(jí)保護(hù)工作提供了規(guī)范保障。2009年，在全國(guó)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作基礎(chǔ)上，公安部又印發(fā)了《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》，開始部署開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作。2009年下半年公安部組織各部委和各行業(yè)開展了信息安全等級(jí)保護(hù)安全建設(shè)整改工作的集中培訓(xùn)，明確了我國(guó)信息安全等級(jí)保護(hù)安全建設(shè)整改工作的工作目標(biāo)、工作對(duì)象、工作內(nèi)容和要求，并對(duì)具體的工作流程和工作方法提出了指導(dǎo)意見。要求各行業(yè)利用三年時(shí)間，通過(guò)組織開展信息安全等級(jí)保護(hù)安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)等三項(xiàng)重點(diǎn)工作，落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求。衛(wèi)生部于2011年11月分別發(fā)布《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》（衛(wèi)辦綜函〔2011〕1126號(hào)），衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知（衛(wèi)辦發(fā)〔2011〕85號(hào)）。要求醫(yī)療衛(wèi)生行業(yè)全面開展等級(jí)保護(hù)建設(shè)。 安全指標(biāo)與需求分析XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的安全建設(shè)核心需求即滿足等級(jí)保護(hù)的相關(guān)要求，因此將以滿足等級(jí)保護(hù)指標(biāo)為目標(biāo)。根據(jù)定級(jí)結(jié)果，整體按三級(jí)來(lái)管理和建設(shè)。那么，可以確定需要滿足的等級(jí)保護(hù)指標(biāo)如下：?jiǎn)挝患?jí)安全指標(biāo)（三級(jí)）安全管理機(jī)構(gòu)人員安全管理安全管理制度數(shù)據(jù)安全及備份恢復(fù)網(wǎng)絡(luò)安全物理安全系統(tǒng)運(yùn)維管理系統(tǒng)建設(shè)管理控制點(diǎn)數(shù)量控制點(diǎn)數(shù)量控制點(diǎn)數(shù)量控制點(diǎn)數(shù)量控制點(diǎn)數(shù)量控制點(diǎn)數(shù)量控制點(diǎn)數(shù)量控制點(diǎn)數(shù)量崗位設(shè)置4安全意識(shí)教育和培訓(xùn)4管理制度4備份和恢復(fù)4安全審計(jì)4電磁防護(hù)3安全事件處置6安全方案設(shè)計(jì)5溝通和合作5人員考核3評(píng)審和修訂2數(shù)據(jù)保密性2邊界完整性檢查2電力供應(yīng)4備份與恢復(fù)管理5安全服務(wù)商選擇3人員配備3人員離崗3制定和發(fā)布5數(shù)據(jù)完整性2惡意代碼防范2防盜竊和防破壞6變更管理4測(cè)試驗(yàn)收5審核和檢查4人員錄用4　　　　訪問(wèn)控制8防火3惡意代碼防范管理4產(chǎn)品采購(gòu)和使用4授權(quán)和審批4外部人員訪問(wèn)管理2　　　　結(jié)構(gòu)安全7防靜電2環(huán)境管理4等級(jí)測(cè)評(píng)4　　　　　　　　入侵防范2防雷擊3監(jiān)控和安全管理中心3工程實(shí)施3　　　　　　　　　　防水和防潮4介質(zhì)管理6外包軟件開發(fā)4　　　　　　　　　　溫濕度控制1密碼管理1系統(tǒng)備案3　　　　　　　　　　物理訪問(wèn)控制4設(shè)備管理5系統(tǒng)定級(jí)4　　　　　　　　　　物理位置的選擇2網(wǎng)絡(luò)安全管理8系統(tǒng)交付5　　　　　　　　　　　　系統(tǒng)安全管理7自行軟件開發(fā)(5)0　　　　　　　　　　　　應(yīng)急預(yù)案管理5　　　　　　　　　　　　　　資產(chǎn)管理4　　　20　16　11　8　25　32　62　40總計(jì)2144 信息安全體系框架設(shè)計(jì)XX醫(yī)院核心業(yè)務(wù)系統(tǒng)安全體系框架分為技術(shù)體系與管理管理體系兩部分。其中：l 技術(shù)體系參考《設(shè)計(jì)技術(shù)要求》，分為計(jì)算環(huán)境安全、邊界安全、通信網(wǎng)絡(luò)安全和安全管理中心四部分。同時(shí)滿足《基本要求》中物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等方面技術(shù)指標(biāo)。l 安全管理體系分為安全組織、安全策略、安全建設(shè)和安全運(yùn)維四部分。5 管理體系整改方案 安全制度制定解決方案安全制度是指導(dǎo)XX醫(yī)院核心業(yè)務(wù)系統(tǒng)維護(hù)管理工作的基本依據(jù)，安全管理和維護(hù)管理人員必須認(rèn)真制定的制度，并根據(jù)工作實(shí)際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實(shí)施細(xì)則，做好安全維護(hù)管理工作。安全制定的適用范圍是XX醫(yī)院核心業(yè)務(wù)系統(tǒng)擁有的、控制和管理的所有信息系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境，適用于屬于XX醫(yī)院核心業(yè)務(wù)系統(tǒng)范圍內(nèi)的所有部門。對(duì)人員的適用范圍包括所有與XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應(yīng)用XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的相關(guān)工作人員，全部XX醫(yī)院核心業(yè)務(wù)系統(tǒng)范圍內(nèi)容的維護(hù)人員，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問(wèn)，臨時(shí)工，商務(wù)伙伴和使用XX醫(yī)院核心業(yè)務(wù)系統(tǒng)的其他第三方。安全策略體系建立的價(jià)值在于：l 推進(jìn)信息安全管理體系的建立n 安全策略和制度體系的建設(shè)n 安全組織體系的建設(shè)n 安全運(yùn)作體系的建設(shè)l 規(guī)范信息安全規(guī)劃、采購(gòu)、建設(shè)、維護(hù)和管理工作，推進(jìn)信息安全的規(guī)范化和制度化建設(shè) 策略結(jié)構(gòu)描述信息安全策略為信息安全提供管理指導(dǎo)和支持。XX醫(yī)院核心業(yè)務(wù)系統(tǒng)應(yīng)該制定一套清晰的指導(dǎo)方針，并通過(guò)在組織內(nèi)對(duì)信息安全策略的發(fā)布和保持來(lái)證明對(duì)信息安全的支持與承諾。策略系列文檔結(jié)構(gòu)圖：216。 最高方針最高方針，綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。與其它部分的關(guān)系：所有其它部分都從最高方針引申出來(lái)，并遵照最高方針，不與之發(fā)生違背和抵觸。216。 組織機(jī)構(gòu)和人員職責(zé)安全管理組織機(jī)構(gòu)和人員的安全職責(zé)，包括的安全管理機(jī)構(gòu)組織形式和運(yùn)作方式，機(jī)構(gòu)和人員的一般責(zé)任和具體責(zé)任。作為機(jī)構(gòu)和員工具體工作時(shí)的具體職責(zé)依照，此部分必須具有可操作性，而且必須得到有效推行和實(shí)施的。與其它部分的關(guān)系：從最高方針中延伸出來(lái)，其具體執(zhí)行和實(shí)施由管理規(guī)定、技術(shù)標(biāo)準(zhǔn)規(guī)范、操作流程和用戶手冊(cè)來(lái)落實(shí)。216。 技術(shù)標(biāo)準(zhǔn)和規(guī)范技術(shù)標(biāo)準(zhǔn)和規(guī)范，包括各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序的應(yīng)遵守的安全配置和管理的技術(shù)標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用程序的安裝、配置、采購(gòu)、項(xiàng)目評(píng)審、日常安全管理和維護(hù)時(shí)必須遵照的標(biāo)準(zhǔn)，不允許發(fā)生違背和沖突。與其它部分的關(guān)系：向上遵照最高方針，向下延伸到安全操作流程，作為安全操作流程的依據(jù)。216。 管理制度和規(guī)定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法，是必須具有可操作性，而且必須得到有效推行和實(shí)施的。此部分文檔較多。與其它部分的關(guān)系：向上遵照最高方針。向下延伸到用戶簽署的文檔和協(xié)議。用戶協(xié)議必須遵照管理規(guī)定和管理辦法，不與之發(fā)生違背。216。 安全操作流程操作流程，詳細(xì)規(guī)定主要業(yè)務(wù)應(yīng)用和事件處理的流程和步驟，和相關(guān)注意事項(xiàng)。作為具體工作時(shí)的具體依照，此部分必須具有可操作性，而且必須得到有效推行和實(shí)施的。與其它部分的關(guān)系：向上遵照技術(shù)標(biāo)準(zhǔn)和規(guī)范、最高方針。216。 用戶協(xié)議用戶簽署的文檔和協(xié)議。包括安全管理人員、網(wǎng)絡(luò)和系統(tǒng)管理員的安全責(zé)任書、保密協(xié)議、安全使用承諾等等。作為員工或用戶對(duì)日常工作中的遵守安全規(guī)定的承諾，也作為安全違背時(shí)處罰的依據(jù)。與其它部分的關(guān)系：向上遵照管理制定和規(guī)定、最高方針。216。 需要制定的策略文檔本項(xiàng)目中需要制定的策略文檔至少覆蓋以下方面：n 安全方針n 安全組織n 資產(chǎn)分類及控制n 人員安全n 物理和環(huán)境安全n 通信和運(yùn)作管理n 系統(tǒng)訪問(wèn)控制n 系統(tǒng)開發(fā)與維護(hù)n 安全事件處理n 業(yè)務(wù)連續(xù)性規(guī)劃n 符合性 安全制度制定安全制度的首要問(wèn)題是需要對(duì)安全制度的制定，對(duì)于XX醫(yī)院核心業(yè)務(wù)系統(tǒng)公司在安全制度的制定的過(guò)程中，考慮如下內(nèi)容：216。 界定安全策略制度的制定權(quán)限l 公司網(wǎng)絡(luò)與信息安全管理小組負(fù)責(zé)制定公司層的安全策略，主要包括：公司信息安全體系、公司安全策略框架、公司信息安全方針、公司信息安全體系等級(jí)化標(biāo)準(zhǔn)、公司全局性安全技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范、公司全局性安全管理制度和規(guī)定、公司安全組織機(jī)構(gòu)和人員職責(zé)、公司層全局性用戶協(xié)議。l 各部門信息安全組織遵照公司下發(fā)的安全策略，結(jié)合本部門系統(tǒng)實(shí)際情況，制定和細(xì)化成適用于本部門的具體管理辦法、實(shí)施細(xì)則和操作規(guī)程等，不得與公司的規(guī)章制度相抵觸，并須報(bào)公司信息安全管理部門備案。216。 安全策略的制定要求l 公司安全策略中不得出現(xiàn)公司的涉密信息。l 對(duì)公司安全策略進(jìn)行匯編時(shí)，須保留各安全策略的版本控制信息和密級(jí)標(biāo)識(shí)。 滿足指標(biāo)解決方案名稱控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動(dòng)作安全制度制定解決方案安全管理制度管理制度a應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；制定安全方針安全制度開發(fā)安全制度制定解決方案安全管理制度管理制度b應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度；建立各類安全管理制度安全制度開發(fā)安全制度制定解決方案安全管理制度管理制度c應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；建立各類操作規(guī)程安全制度開發(fā)安全制度制定解決方案安全管理制度管理制度d應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。編制制度體系說(shuō)明文檔安全制度開發(fā) 安全制度管理解決方案安全制度制定后，對(duì)安全制度的管理工作十分重要，在對(duì)安全制度管理過(guò)程中，需要注意如下內(nèi)容： 安全制度發(fā)布l 安全策略須以正式文件的形式發(fā)布施行。 l 公司層安全策略由公司網(wǎng)絡(luò)與信息安全工作組制訂，公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組審批、發(fā)布。l 部門層安全策略由各生產(chǎn)中心安全管理組織制訂，公司網(wǎng)絡(luò)與信息安全工作組審批、發(fā)布，同時(shí)要留存公司信息安全管理部門備案。l 系統(tǒng)層安全策略由各系統(tǒng)管理員制訂、本中心安全管理員協(xié)助，本部門安全管理組織審批、發(fā)布，同時(shí)要留存公司信息安全管理部門備案。l 安全策略發(fā)布后，如有必要，安全策略制定部門應(yīng)召集相關(guān)人員學(xué)習(xí)安全策略，詳細(xì)講解規(guī)章制度的內(nèi)容并解答疑問(wèn)。l 安全策略修訂后需要以正式文件的形式重新發(fā)布施行，修訂后的策略也需相應(yīng)層次的管理部門審批。l 簽署發(fā)布的規(guī)章制度必須標(biāo)明該規(guī)章制度的施行日期。 安全制度修改與廢止l 須定期對(duì)安全策略進(jìn)行評(píng)審，對(duì)其中不適用的或欠缺的條款，及時(shí)進(jìn)行修改和補(bǔ)充。對(duì)已不適用的信息安全制度或規(guī)定應(yīng)及時(shí)廢止。l 當(dāng)現(xiàn)行安全策略有下列情形之一時(shí)，須及時(shí)修改：(一) 當(dāng)發(fā)生重大安全事件，暴露出安全策略存在漏洞和缺陷時(shí)；(二) 組織機(jī)構(gòu)或生產(chǎn)系統(tǒng)進(jìn)行重大調(diào)整和變更后；(三) 同一個(gè)事項(xiàng)在兩個(gè)規(guī)章制度中規(guī)定不一致；(四) 與上級(jí)部門的安全策略相抵觸；其它需要修改安全策略的情形。 l 當(dāng)現(xiàn)行安全策略有下列情形之一時(shí)，必須及時(shí)予以廢止：(一) 因有關(guān)信息安全制度或規(guī)定廢止，使該信息安全制度或規(guī)定失去依據(jù)，或與公司現(xiàn)行上層策略相抵觸；(二) 因已規(guī)定的事項(xiàng)已經(jīng)執(zhí)行完畢，沒(méi)有存在必要；(三) 已被新的規(guī)章制度所替代。l 公司層安全策略的修改與廢止須經(jīng)公司信息安全領(lǐng)導(dǎo)組織審批確認(rèn)，公司信息安全管理部門備案。l 部門層安全策略的修改與廢止須經(jīng)各部門信息安全維護(hù)組織及公司信息安全管理部門審批確認(rèn)。同時(shí)公司信息安全管理部門備案。 安全制度監(jiān)督和檢查l 安全策略發(fā)布實(shí)施后，各部門應(yīng)就安全策略制度或規(guī)定的貫徹執(zhí)行，執(zhí)行中存在的問(wèn)題以及對(duì)規(guī)章制度修改或廢止的意見建議等情況進(jìn)行檢查、監(jiān)督，并將意見和建議及時(shí)反饋給制度的制定部門。l 為保障各項(xiàng)信息安全管理制度的貫徹落實(shí)，公司信息安全管理部門必須定期檢查安全策略的落實(shí)情況，信息安全管理制度的落實(shí)情況檢查是信息安全檢查工作的重要內(nèi)容。l 信息安全檢查工作結(jié)束后，在起草檢查報(bào)告時(shí)，必須通報(bào)安全策略的落實(shí)情況，對(duì)執(zhí)行不力的行為必須提出整改意見，限期糾改，并繼續(xù)追蹤其落實(shí)情況。l 安全策略的貫徹落實(shí)情況，必須作為重要的考核項(xiàng)目，納入部門的綜合考評(píng)體系。為安全策略落實(shí)做出顯著成績(jī)的部門或個(gè)人，應(yīng)給予表彰和獎(jiǎng)勵(lì)；對(duì)違反規(guī)章制度造成嚴(yán)重后果的部門或個(gè)人，應(yīng)追究當(dāng)事人、相關(guān)單位及主管領(lǐng)導(dǎo)的責(zé)任。具體參照公司考核制度辦理。 安全制度管理流程216。 制度管理流程信息表下表給出了制度管理流程表，供本次項(xiàng)目參考：流程名稱策略管理流程流程編碼OPT6流程負(fù)責(zé)人公司信息安全辦公室流程起點(diǎn)： 制定安全策略流程目的：規(guī)范公司以及各部門信息安全策略的制定、發(fā)布、修改、