【文章內(nèi)容簡介】 構(gòu)分析服務 ................................................................................................................135 日志分析服務 ........................................................................................................................142 應急響應服務 ........................................................................................................................144 惡意代碼排查服務 ..............................................................................................................149九. 管理體系建設方案 ...........................................................................................................................151 安全制度建設 ...............................................................................................................................151 總體方針、策略 ....................................................................................................................152 制定和發(fā)布 ............................................................................................................................154 評審和修訂 ............................................................................................................................154 安全管理機構(gòu) ...............................................................................................................................155 崗位設置 ................................................................................................................................155 人員配備 ................................................................................................................................156 授權(quán)和審批 ............................................................................................................................156 溝通和合作 ............................................................................................................................156 審核和檢查 ............................................................................................................................157 人員安全管理 ...............................................................................................................................157 系統(tǒng)建設管理 ...............................................................................................................................158 系統(tǒng)運維管理 ...............................................................................................................................158 環(huán)境管理 ................................................................................................................................158 資產(chǎn)管理 ................................................................................................................................158 介質(zhì)管理 ................................................................................................................................159 設備管理 ................................................................................................................................159 監(jiān)控管理和安全管理中心 ....................................................................................................160 網(wǎng)絡安全管理 ........................................................................................................................160 系統(tǒng)安全管理 ........................................................................................................................160 惡意代碼防范管理 ................................................................................................................161 密碼管理 ................................................................................................................................161 變更管理 ..............................................................................................................................161 備份與恢復管理 ..................................................................................................................161IV / 163 安全事件處置 ......................................................................................................................162 應急預案管理 ......................................................................................................................1622 / 163一. 概述 項目背景隨著醫(yī)院信息化建設的逐步深入，網(wǎng)上業(yè)務由單一到多元化，各類應用系統(tǒng)數(shù)十個，信息系統(tǒng)承受的壓力日益增長，醫(yī)院信息系統(tǒng)已經(jīng)成為醫(yī)院正常運行不可或缺的支撐環(huán)境和工作平臺，因此按照信息系統(tǒng)等級保護的基本要求，通過建立合理可靠的技術(shù)平臺，細致的日常管理與及時的故障處理應急預案，將信息系統(tǒng)等級保護措施落實到實處，確保信息系統(tǒng)不間斷運行，只有在技術(shù)和管理互相提供支撐的前提下才能確保系統(tǒng)的穩(wěn)定運行。從醫(yī)院角度依據(jù)信息安全等級保護的要求，通過對醫(yī)院核心信息系統(tǒng)的建設。充分發(fā)揮網(wǎng)絡在醫(yī)院信息系統(tǒng)中的應用。從技術(shù)安全闡述如何建立合理技術(shù)平臺，加強安全防護對策。強調(diào)了保障網(wǎng)絡和信息系統(tǒng)安全，讓安全穩(wěn)定的網(wǎng)絡支撐醫(yī)院走上可持續(xù)發(fā)展之路。核心業(yè)務是醫(yī)院信息化建設的基礎(chǔ)，是醫(yī)院信息系統(tǒng)運行的平臺，對醫(yī)院運行效率和管理水平都有重要作用，因此創(chuàng)造良好信息系統(tǒng)安全運營環(huán)境是醫(yī)院信息安全的最終目。醫(yī)療信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作，對于促進衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國衛(wèi)生行業(yè)醫(yī)療機構(gòu)信息安全等級保護工作，衛(wèi)生部辦公廳印發(fā)了關(guān)于三級甲等醫(yī)院信息安全等級保護建設的相關(guān)通知，具體如：衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知建設和整改要求：，應當按照國家信息安全等級保護工作規(guī)范和《醫(yī)療機構(gòu)信息系統(tǒng)安全等級保護基本要求》、《醫(yī)療機構(gòu)重要信息系統(tǒng)等級保護三級測評技術(shù)要求項》等國家標準，開展安全保護現(xiàn)狀分析，查找安全隱患及與國家信息安全等級保護標準之間的差距，確定安全需求。3 / 163，按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《醫(yī)療機構(gòu)信息系統(tǒng)安全等級保護基本要求》、《醫(yī)療機構(gòu)重要信息系統(tǒng)等級保護三級測評技術(shù)要求項》等國家標準，制訂信息系統(tǒng)安全等級保護建設整改方案。三級衛(wèi)生信息系統(tǒng)安全建設整改方案應當經(jīng)信息安全技術(shù)專家委員會論證，完善安全保護設施，建立安全管理制度，落實安全管理措施，形成信息安全技術(shù)防護體系和信息安全管理體系，有效保障醫(yī)院信息系統(tǒng)安全。 建設目標依據(jù)國家相關(guān)政策要求，依據(jù)***醫(yī)院信息系統(tǒng)的實際需要，基于現(xiàn)代信息系統(tǒng)安全保障理論，采用現(xiàn)代信息安全保護技術(shù)，按照一定規(guī)則和體系化的信息安全防護策略進行的整體設計。建設目標覆蓋以下內(nèi)容? 完善基礎(chǔ)安全防護整體架構(gòu)，開展并完成信息系統(tǒng)等保工作，使之基本達到（符合）行業(yè)等級保護基本要求。? 加強信息安全管理工作，制訂科學合理的信息安全工作方針、政策，進一步完善信息安全管理制度體系，實現(xiàn)管理制度的標準化、規(guī)范化和流程化。? 建立科學、完備的信息安全運維管理體系，實現(xiàn)信息安全事件的全程全周期管理，切實保障信息系統(tǒng)安全、穩(wěn)定運行。 建設內(nèi)容依據(jù)國家相關(guān)政策要求，對***醫(yī)院的信息系統(tǒng)進行安全建設，覆蓋信息安全的管理體系、技術(shù)體系和運維體系三個方面，建設內(nèi)容覆蓋以下各個層面? 物理層面? 網(wǎng)絡層面? 主機層面? 應用層面? 數(shù)據(jù)層面? 管理層面4 / 163 建設必要性通過近幾年的信息化建設，***醫(yī)院已建成基本穩(wěn)定的信息系統(tǒng)軟、硬件平臺，在信息安全方面也進行了基礎(chǔ)性的部分建設，使系統(tǒng)有了一定的防護能力。但由于病毒攻擊、惡意攻擊泛濫，應用軟件漏洞層出不窮，***醫(yī)院的信息安全方面仍面臨較大的挑戰(zhàn)。另一方面，***醫(yī)院安全措施比較薄弱，安全防護意識有待加強，安全制度還有待完善。隨著信息技術(shù)的飛速發(fā)展，如今基于信息系統(tǒng)安全防護已不能僅停留在普通網(wǎng)絡安全設備的層面上，需要部署完善的、基于保護操作系統(tǒng)、數(shù)據(jù)、網(wǎng)絡和應用的安全防護體系。從等級保護安全要求來看，安全建設的必要性主要體現(xiàn)在兩個方面：? 安全管理現(xiàn)狀與等級保護要求的差距***醫(yī)院自身信息系統(tǒng)建設及運維基礎(chǔ)上，建立了一套滿足并能夠促進網(wǎng)絡運維的安全管理體系，但同等級保護的安全管理要求相比較，現(xiàn)有