【正文】 完成定級備案后，選擇縣公安局推薦的等級測評機構(gòu)，對已確定安全保護等級信息系統(tǒng)，按照國家信息安全等級保護工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等國家標(biāo)準(zhǔn)開展等級測評。2014年年末首先對HIS系統(tǒng)進行信息等級保護評測，2015年安排對電子病歷系統(tǒng)進行評測，2016年安排對PACS系統(tǒng)、LIS系統(tǒng)進行評測。六、實施原則信息系統(tǒng)安全等級保護實施過程中，遵循以下四條基本原則： 自主保護原則：信息系統(tǒng)運營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護等級，自行組織實施安全保護。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重損害，或者對國家安全造成損害。二、工作目標(biāo)信息系統(tǒng)運營使用單位在做好信息系統(tǒng)安全等級保護定級備案工作基礎(chǔ)上，按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范要求，開展信息安全等級保護安全建設(shè)整改工作。3在安裝系統(tǒng)補丁程序前應(yīng)經(jīng)過測試，并對重要文件進行備份。2應(yīng)指定部門負責(zé)系統(tǒng)交付工作應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容3選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)3應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書六、系統(tǒng)運維管理應(yīng)指定專人或部門對機房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進行定期維護，由何部門/何人負責(zé)。應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）應(yīng)對重要信息系統(tǒng)活動進行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。c)應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。 安全事件處置(G3)本項要求包括: a)應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件,但任何情況下用戶均不應(yīng)嘗試驗證弱點。 系統(tǒng)安全管理(G3)本項要求包括: ,為業(yè)內(nèi)人士提供最強大的交流共享平臺案經(jīng)過評審、審批后方可實施變更,并在實施后將變更情況向相關(guān)人員通告。 網(wǎng)絡(luò)安全管理(G3)本項要求包括: a)應(yīng)指定專人對網(wǎng)絡(luò)進行管理,負責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作。c)應(yīng)建立機房安全管理制度,對有關(guān)機房物理訪問,物品帶進、帶出機房和機房環(huán)境安全等方面的管理做出規(guī)定。b)應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評,發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進行安全改造,發(fā)現(xiàn)不符合相應(yīng)等級保護標(biāo)準(zhǔn)要求的及時整改。 外包軟件開發(fā)(G3)本項要求包括: a)應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量。 外部人員訪問管理(G3)本項要求包括: a)應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請, ,為業(yè)內(nèi)人士提供最強大的交流共享平臺b)應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求。c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。c)關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。 評審和修訂(G3)本項要求包括: a)信息安全領(lǐng)導(dǎo)小組應(yīng)負責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定。e)應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額。d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。 應(yīng)用安全 身份鑒別(S3)本項要求包括: a)應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標(biāo)識和鑒別。g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。b)審計記錄應(yīng)包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級。 防水和防潮(G3)本項要求包括: a)水管安裝,不得穿過機房屋頂和活動地板下。落實信息系統(tǒng)主管部門對運營使用單位的監(jiān)督指導(dǎo)責(zé)任，建立職能部門、主管部門對信息系統(tǒng)的定期監(jiān)督檢查機制。對安全措施不符合要求的，要指導(dǎo)其落實整改措施。信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門應(yīng)當(dāng)在系統(tǒng)投入運行后（新建系統(tǒng)）或確定等級后（已運營的系統(tǒng)）30日內(nèi)到公安機關(guān)辦理備案手續(xù)；鼓勵第一級和第五級的信息系統(tǒng)到公安機關(guān)辦理備案手續(xù)。第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第七章 附則第四十二條已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級；新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的，應(yīng)報經(jīng)國家密碼管理局審批，密碼的設(shè)計、實施、使用、運行維護和日常管理等，應(yīng)當(dāng)按照國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標(biāo)準(zhǔn)，其密碼的配備使用情況應(yīng)當(dāng)向國家密碼管理機構(gòu)備案。第三十二條涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)國家保密標(biāo)準(zhǔn)BMB202007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，加強涉密信息系統(tǒng)運行中的保密管理，定期進行風(fēng)險評估，消除泄密隱患和漏洞。涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，按照秘密、機密、絕密三級的不同要求，結(jié)合系統(tǒng)實際進行方案設(shè)計，實施分級保護，其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。第四章 涉密信息系統(tǒng)的分級保護管理第二十四條涉密信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護的基本要求，按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，結(jié)合系統(tǒng)實際情況進行保護。公安機關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項進行檢查：（一）系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準(zhǔn)確；（二）運營、使用單位安全管理制度、措施的落實情況；（三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；（四）系統(tǒng)安全等級測評是否符合要求；（五）信息安全產(chǎn)品使用是否符合要求；（六）對信息系統(tǒng)開展等級測評的技術(shù)測評報告；（七）信息安全產(chǎn)品使用的變更情況；（八）信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報告；（九）信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。第十四條信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三章等級保護的實施與管理 第九條信息系統(tǒng)運營、用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護實施指南》 具體實施等級保護工作。第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。第三條公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。2 制定目的 規(guī)范信息安全等級保護管理。第四條信息系統(tǒng)主管部門應(yīng)當(dāng)依照本辦法及相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第十一條信息系統(tǒng)的安全保護等級確定后，運營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。第十五條已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護等級確定后30 日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。第二十一條第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民 共和國境內(nèi)具有獨立的法人資格；（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；（六）對已列入信息安全產(chǎn)品認證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。保密工作部門和機構(gòu)應(yīng)當(dāng)監(jiān)督指導(dǎo)涉密信息系統(tǒng)建設(shè)使用單位準(zhǔn)確、合理地進行系統(tǒng)定級。第三十條涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時，應(yīng)當(dāng)提交以下材料：（一）系統(tǒng)設(shè)計、實施方案及審查論證意見；（二）系統(tǒng)承建單位資質(zhì)證明材料；（三）系統(tǒng)建設(shè)和工程監(jiān)理情況報告；（四）系統(tǒng)安全保密檢測評估報告；（五）系統(tǒng)安全保密組織機構(gòu)和管理制度情況；（六）其他有關(guān)材料。信息系統(tǒng)運營、使用單位采用密碼進行等級保護的，應(yīng)當(dāng)遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標(biāo)準(zhǔn)。第六章 法律責(zé)任 第四十條第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定，有下列行為之一的，由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責(zé)分工責(zé)令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責(zé)的主管人員和其他直接責(zé)任人員予以處理，并及時反饋處理結(jié)果：（一）未按本辦法規(guī)定備案、審批的；（二）未按本辦法規(guī)定落實安全管理制度、措施的；（三）未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的；（四）未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的；（五）接到整改通知后，拒不整改的；（六）未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的；（七）未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的；（八）違反保密管理規(guī)定的；（九）違反密碼管理規(guī)定的；（十）違反本辦法其他規(guī)定的。重要信息系統(tǒng)運營使用單位成立信息安全等級保護工作組，負責(zé)組織本單位的信息系統(tǒng)安全等級保護工作。第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。（六）加強安全監(jiān)督檢查。組織開展繼續(xù)教育工作，加強對安全專業(yè)技術(shù)人員的培訓(xùn)，提高信息系統(tǒng)運營使用單位和主管部門以及安全專用產(chǎn)品研發(fā)機構(gòu)、安全服務(wù)機構(gòu)安全專業(yè)技術(shù)人員的技術(shù)和法律知識水平。 防火(G3)本項要求包括: a)機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng),能夠自動檢測火情、自動報警,并自動滅火。b)機房應(yīng)采用防靜電地板。g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶。b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度要求并定期更換。d)應(yīng)嚴(yán)格限制默認帳戶的訪問權(quán)限,重命名系統(tǒng)默認帳戶,修改這些帳戶的默認口令。c)應(yīng)對重要服務(wù)器進行監(jiān)視,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。 訪問控制(S3)本項要求包括: a)應(yīng)提供訪問控制功能,依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問。b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制。 數(shù)據(jù)保密性(S3)本項要求包括: ,為業(yè)內(nèi)人士提供最強大的交流共享平臺c)應(yīng)組織相關(guān)人員對制定的安全管理制度進行論證和審定。d)應(yīng)制定文件明確安全管理機構(gòu)各個部門和崗位的職責(zé)、分工和技能要求。d)應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。b)應(yīng)對安全責(zé)任和懲戒措施進行書面規(guī)定并告知相關(guān)人員,對違反違背安全策略和規(guī)定的人員進行懲戒。c)應(yīng)制定代碼編寫安全規(guī)范,要求開