【正文】 .............................................................40 設(shè)備安全加固優(yōu)化 .........................................................................................................................41 數(shù)據(jù)庫系統(tǒng)安全加固 .....................................................................................................................41 管理制度 ..........................................................................................................................................43 服務(wù)方式 ..........................................................................................................................................43 服務(wù)流程 ..........................................................................................................................................44 5 協(xié)助測評建設(shè)方案 ........................................................................................................ 44 6 安全管理體系建設(shè)方案 ................................................................................................. 44 安全策略設(shè)計 ..................................................................................................................................47 延安醫(yī)療集團信息 安全等級保護整改建議方案書 2 安全策略與安全規(guī)劃 .....................................................................................................................48 管理制度 ..........................................................................................................................................49 安全管理體系建設(shè)過程 .................................................................................................................50 落實醫(yī)療集團信息安全責(zé)任制 ....................................................................................................51 醫(yī)療集團安全管理現(xiàn)狀分析 .........................................................................................................51 確定醫(yī)療集團安全管理策略，制定安全管理制度 ...................................................................52 落實醫(yī)療集團人員安全管理制度 ................................................................................................52 落實醫(yī)療集團系統(tǒng)運維管理制度 ................................................................................................53 落實醫(yī)療集團系統(tǒng)建設(shè)管理制度 ................................................................................................55 醫(yī)療集團安全管理制度匯總 .........................................................................................................55 7 階段項目驗收與成果物 ................................................................................................. 56 項目驗收流程 ..................................................................................................................................56 驗收評審標(biāo)準(zhǔn) ..................................................................................................................................57 階段驗收成果物與總結(jié) .................................................................................................................57 8 附 1：整改建議方案價格預(yù)算 ........................................................................................ 59 9 附 2：東軟在醫(yī)院等保整改建設(shè)中優(yōu)勢說明 .................................................................... 61 延安醫(yī)療集團信息 安全等級保護整改建議方案書 3 1 項目概述 項目建設(shè)背景 根據(jù)衛(wèi)生部制定的《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》以及 陜西省 衛(wèi)生廳印發(fā) 的 《關(guān)于全面開展我省衛(wèi)生行業(yè)信息安全等級保護的通知》（陜衛(wèi)辦發(fā)? 2020? 131號）、《陜西省衛(wèi)生行業(yè)信息安全等級保護工作實施方案》（陜衛(wèi)辦發(fā)? 2020? 132 號）、《陜西省衛(wèi)生廳辦公室關(guān)于加強信息系統(tǒng)安全等級保護工作的通知》（陜衛(wèi)辦數(shù)發(fā)? 2020? 275 號）等 相關(guān)文件要求， 為 進一步 促進和規(guī)范 延安醫(yī)療集團 （ 以下簡稱：醫(yī)療集團） 的信息化建設(shè)，提高 醫(yī)療集團 的管理與業(yè)務(wù)工作水平 ， 進一步提高 醫(yī)療集團 信息安全保障能力和防護水平，建立面向醫(yī)院、面向社會公眾和患者、面向衛(wèi)生行政部門的高效、快捷、方便、優(yōu)質(zhì)的醫(yī)療衛(wèi)生信息共享與服務(wù)體系，充分利用醫(yī)療衛(wèi)生資源，利用信息化的戰(zhàn)略先進性，努力提高人民群眾 的健康水平 ， 在響應(yīng)國家關(guān)于等級保護要求的基礎(chǔ)上，維護院方信息安全，保障和促進 醫(yī)療集團 信息化建設(shè)的健康發(fā)展， 按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求 、醫(yī)療行業(yè)發(fā)文要求 ，醫(yī)療集團 決定圍繞醫(yī)院核心業(yè)務(wù)系統(tǒng) HIS 系統(tǒng)、 LIS 系統(tǒng)、 PACS 系統(tǒng)深入 開展信息安全 等級保護 工作 ，并在此基礎(chǔ)上指引后續(xù)信息化安全建設(shè)方向 。 項目建設(shè)目標(biāo) 三級 信息 系統(tǒng)安全保護環(huán)境的設(shè)計目標(biāo)是：落實 GB 178591999 對三級 信息 系統(tǒng)的安全保護要求，在二級安全保 護環(huán)境的基礎(chǔ)上，通過實現(xiàn)基于安全策略模型和標(biāo)記的強制訪問延安醫(yī)療集團信息 安全等級保護整改建議方案書 4 控制以及增強系統(tǒng)的審計機制，使得系統(tǒng)具有在統(tǒng)一安全策略管控下，保護敏感資源的能力。 本項目建設(shè)將完成以下目標(biāo)： 以 醫(yī)療集團 HIS、 LIS、 RIS、 PACS、體檢、臨床路徑、心電圖系統(tǒng) 等 信息系統(tǒng) 的現(xiàn)有基礎(chǔ)設(shè)施 為 基礎(chǔ) ， 建設(shè) 并 完成滿足 等級保護三級 系統(tǒng)基 本 要求的 信息 系統(tǒng) ， 確保 醫(yī)療集團 的整體信息化建設(shè)符合相關(guān)要 求 并邁向新的臺階。 制定保障醫(yī)療活動不中斷的應(yīng)急預(yù)案。 本項目建設(shè)參考依據(jù)： 指導(dǎo)思想 中辦 [2020]27 號文件（關(guān)于轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》的通知） 公通字 [2020]66 號文件（關(guān)于印發(fā)《信息安全等級保護工作的實施意見》的通知） 公通字 [2020]43 號文件（關(guān)于印發(fā)《信息安全等級保護管理辦法》的通知） 公信安 [2020] 1429《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》 等級保護 GB 178591999 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則信安字 [2020]10 號 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南 系統(tǒng)定級 GB/T 222402020 信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南 技術(shù)方面 GB/T 202702020 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T 202712020 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 GB/T 202722020 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 GB/T 202732020 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)通用安全技術(shù)要求 GA/T6712020 信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求 GA/T 7092020 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本模型 GB/T 222392020 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求 管理方面 GB/T 222392020 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求 GB/T202692020 信息系統(tǒng)安全管理要求 GB/T202822020 信息系統(tǒng)安全工程管理要求 ISO/IEC 27001 信息系統(tǒng)安全管理體系標(biāo)準(zhǔn) 方案設(shè)計 信安秘字 [2020]059 《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》 等保測評 《信息系統(tǒng)安全等級保護測評要求》（公安部報批稿） 《信息系統(tǒng)安全等級保護測評過程指南》（公安部報批稿） 項目實施原則 針對 醫(yī)療集團 本次項目，東軟 公司如 有幸參與，我們將 嚴(yán)格 遵循以下原則： ? 保密性原則 ：東軟 公司 對安全服務(wù)的實施過程和結(jié)果將嚴(yán)格保密，在未經(jīng) 醫(yī)療集團 授權(quán)的情況下不會泄露給任何單位和個人，不會利用此數(shù)據(jù)進行任何侵害客戶權(quán)益的行為； 延安醫(yī)療集團信息 安全等級保護整改建議方案書 6 ? 標(biāo)準(zhǔn)性原則 ：服務(wù) 過程中 的 設(shè)計和實施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進行 ， 根據(jù)等級保護三級基本要求，分等級分安全域進行安全設(shè)計和安全建設(shè) ， 對醫(yī)療集團 計算機網(wǎng)絡(luò)系統(tǒng)的重要信息系統(tǒng)進行安全防護。 ? 分步驟原則 ：根據(jù) 醫(yī)療集團 要求，對 醫(yī)療集團安全保障體系進行分期、分步驟的有序部署和分期 設(shè)計， 不僅 要完成現(xiàn)階段的項目任務(wù)，還需要為 未來 信息系統(tǒng)的建設(shè) 進行前瞻性 的指引。 電子病歷 系統(tǒng)包含： HIS應(yīng)用系統(tǒng)、 RIS 應(yīng)用系統(tǒng)、PACS 應(yīng)用系統(tǒng)、 LIS 應(yīng)用系統(tǒng)、體檢應(yīng)用系統(tǒng)、臨床路徑應(yīng)用系統(tǒng)、心電圖應(yīng)用系統(tǒng)等。運用 該 系統(tǒng)能實現(xiàn)對 醫(yī)院 日常業(yè)務(wù)的規(guī)范化管理，讓管理者即時監(jiān)控 醫(yī)療集團本部 運營狀況，顯著提升 醫(yī)療集團本部 工作效率，提高 醫(yī)療集團本部 醫(yī)療質(zhì)量和管理水平。有助于提高實驗室 的整體管理水平，減少漏洞 和誤操作 ，提高 醫(yī)療 檢驗質(zhì)量。 體檢應(yīng)用 系統(tǒng) 體檢 系統(tǒng)以體檢信息為主線，健康指導(dǎo)為紐帶，通過規(guī)范體檢流程管理 ， 合理安排體檢項目，通過網(wǎng)絡(luò)傳輸各種檢驗、檢查結(jié)果，減少中間環(huán)節(jié)，提高安全性和可靠性。 心電圖應(yīng)用 系統(tǒng) 心電圖應(yīng)用 系統(tǒng) 通過 專有儀器對患者進行檢測 ， 檢測結(jié)果存入心電圖 應(yīng)用 系統(tǒng)的數(shù)據(jù)庫， 并 和 HIS 系統(tǒng) 做接口連接， 醫(yī)護 人員可以通過 HIS 系統(tǒng) 和 心電 圖系統(tǒng)直接調(diào)用檢測結(jié)果。在醫(yī)療中作為主要的信息源，提供超越紙張病歷的服務(wù)，滿足醫(yī)療、法律和管理需求。 財務(wù) 管理系統(tǒng) 醫(yī)療集團本部 財務(wù)系統(tǒng)是該院內(nèi)部財務(wù)管理、資產(chǎn)管理、人員管理的重要系統(tǒng)，涵蓋的業(yè)務(wù)功能有報賬、對賬、財務(wù)分析、票據(jù)管理、財務(wù)報表、所得稅申報等功能。 網(wǎng)絡(luò)安全