【文章內(nèi)容簡介】 構(gòu)分析服務(wù) ................................................................................................................135 日志分析服務(wù) ........................................................................................................................142 應(yīng)急響應(yīng)服務(wù) ........................................................................................................................144 惡意代碼排查服務(wù) ..............................................................................................................149九. 管理體系建設(shè)方案 ...........................................................................................................................151 安全制度建設(shè) ...............................................................................................................................151 總體方針、策略 ....................................................................................................................152 制定和發(fā)布 ............................................................................................................................154 評審和修訂 ............................................................................................................................154 安全管理機(jī)構(gòu) ...............................................................................................................................155 崗位設(shè)置 ................................................................................................................................155 人員配備 ................................................................................................................................156 授權(quán)和審批 ............................................................................................................................156 溝通和合作 ............................................................................................................................156 審核和檢查 ............................................................................................................................157 人員安全管理 ...............................................................................................................................157 系統(tǒng)建設(shè)管理 ...............................................................................................................................158 系統(tǒng)運(yùn)維管理 ...............................................................................................................................158 環(huán)境管理 ................................................................................................................................158 資產(chǎn)管理 ................................................................................................................................158 介質(zhì)管理 ................................................................................................................................159 設(shè)備管理 ................................................................................................................................159 監(jiān)控管理和安全管理中心 ....................................................................................................160 網(wǎng)絡(luò)安全管理 ........................................................................................................................160 系統(tǒng)安全管理 ........................................................................................................................160 惡意代碼防范管理 ................................................................................................................161 密碼管理 ................................................................................................................................161 變更管理 ..............................................................................................................................161 備份與恢復(fù)管理 ..................................................................................................................161IV / 163 安全事件處置 ......................................................................................................................162 應(yīng)急預(yù)案管理 ......................................................................................................................1622 / 163一. 概述 項(xiàng)目背景隨著醫(yī)院信息化建設(shè)的逐步深入，網(wǎng)上業(yè)務(wù)由單一到多元化，各類應(yīng)用系統(tǒng)數(shù)十個，信息系統(tǒng)承受的壓力日益增長，醫(yī)院信息系統(tǒng)已經(jīng)成為醫(yī)院正常運(yùn)行不可或缺的支撐環(huán)境和工作平臺，因此按照信息系統(tǒng)等級保護(hù)的基本要求，通過建立合理可靠的技術(shù)平臺，細(xì)致的日常管理與及時的故障處理應(yīng)急預(yù)案，將信息系統(tǒng)等級保護(hù)措施落實(shí)到實(shí)處，確保信息系統(tǒng)不間斷運(yùn)行，只有在技術(shù)和管理互相提供支撐的前提下才能確保系統(tǒng)的穩(wěn)定運(yùn)行。從醫(yī)院角度依據(jù)信息安全等級保護(hù)的要求，通過對醫(yī)院核心信息系統(tǒng)的建設(shè)。充分發(fā)揮網(wǎng)絡(luò)在醫(yī)院信息系統(tǒng)中的應(yīng)用。從技術(shù)安全闡述如何建立合理技術(shù)平臺，加強(qiáng)安全防護(hù)對策。強(qiáng)調(diào)了保障網(wǎng)絡(luò)和信息系統(tǒng)安全，讓安全穩(wěn)定的網(wǎng)絡(luò)支撐醫(yī)院走上可持續(xù)發(fā)展之路。核心業(yè)務(wù)是醫(yī)院信息化建設(shè)的基礎(chǔ)，是醫(yī)院信息系統(tǒng)運(yùn)行的平臺，對醫(yī)院運(yùn)行效率和管理水平都有重要作用，因此創(chuàng)造良好信息系統(tǒng)安全運(yùn)營環(huán)境是醫(yī)院信息安全的最終目。醫(yī)療信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護(hù)工作，對于促進(jìn)衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護(hù)公共利益、社會秩序和國家安全具有重要意義。為貫徹落實(shí)國家信息安全等級保護(hù)制度，規(guī)范和指導(dǎo)全國衛(wèi)生行業(yè)醫(yī)療機(jī)構(gòu)信息安全等級保護(hù)工作，衛(wèi)生部辦公廳印發(fā)了關(guān)于三級甲等醫(yī)院信息安全等級保護(hù)建設(shè)的相關(guān)通知，具體如：衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》的通知衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知建設(shè)和整改要求：，應(yīng)當(dāng)按照國家信息安全等級保護(hù)工作規(guī)范和《醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級保護(hù)基本要求》、《醫(yī)療機(jī)構(gòu)重要信息系統(tǒng)等級保護(hù)三級測評技術(shù)要求項(xiàng)》等國家標(biāo)準(zhǔn)，開展安全保護(hù)現(xiàn)狀分析，查找安全隱患及與國家信息安全等級保護(hù)標(biāo)準(zhǔn)之間的差距，確定安全需求。3 / 163，按照《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》、《醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級保護(hù)基本要求》、《醫(yī)療機(jī)構(gòu)重要信息系統(tǒng)等級保護(hù)三級測評技術(shù)要求項(xiàng)》等國家標(biāo)準(zhǔn)，制訂信息系統(tǒng)安全等級保護(hù)建設(shè)整改方案。三級衛(wèi)生信息系統(tǒng)安全建設(shè)整改方案應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家委員會論證，完善安全保護(hù)設(shè)施，建立安全管理制度，落實(shí)安全管理措施，形成信息安全技術(shù)防護(hù)體系和信息安全管理體系，有效保障醫(yī)院信息系統(tǒng)安全。 建設(shè)目標(biāo)依據(jù)國家相關(guān)政策要求，依據(jù)***醫(yī)院信息系統(tǒng)的實(shí)際需要，基于現(xiàn)代信息系統(tǒng)安全保障理論，采用現(xiàn)代信息安全保護(hù)技術(shù)，按照一定規(guī)則和體系化的信息安全防護(hù)策略進(jìn)行的整體設(shè)計(jì)。建設(shè)目標(biāo)覆蓋以下內(nèi)容? 完善基礎(chǔ)安全防護(hù)整體架構(gòu)，開展并完成信息系統(tǒng)等保工作，使之基本達(dá)到（符合）行業(yè)等級保護(hù)基本要求。? 加強(qiáng)信息安全管理工作，制訂科學(xué)合理的信息安全工作方針、政策，進(jìn)一步完善信息安全管理制度體系，實(shí)現(xiàn)管理制度的標(biāo)準(zhǔn)化、規(guī)范化和流程化。? 建立科學(xué)、完備的信息安全運(yùn)維管理體系，實(shí)現(xiàn)信息安全事件的全程全周期管理，切實(shí)保障信息系統(tǒng)安全、穩(wěn)定運(yùn)行。 建設(shè)內(nèi)容依據(jù)國家相關(guān)政策要求，對***醫(yī)院的信息系統(tǒng)進(jìn)行安全建設(shè)，覆蓋信息安全的管理體系、技術(shù)體系和運(yùn)維體系三個方面，建設(shè)內(nèi)容覆蓋以下各個層面? 物理層面? 網(wǎng)絡(luò)層面? 主機(jī)層面? 應(yīng)用層面? 數(shù)據(jù)層面? 管理層面4 / 163 建設(shè)必要性通過近幾年的信息化建設(shè)，***醫(yī)院已建成基本穩(wěn)定的信息系統(tǒng)軟、硬件平臺，在信息安全方面也進(jìn)行了基礎(chǔ)性的部分建設(shè)，使系統(tǒng)有了一定的防護(hù)能力。但由于病毒攻擊、惡意攻擊泛濫，應(yīng)用軟件漏洞層出不窮，***醫(yī)院的信息安全方面仍面臨較大的挑戰(zhàn)。另一方面，***醫(yī)院安全措施比較薄弱，安全防護(hù)意識有待加強(qiáng)，安全制度還有待完善。隨著信息技術(shù)的飛速發(fā)展，如今基于信息系統(tǒng)安全防護(hù)已不能僅停留在普通網(wǎng)絡(luò)安全設(shè)備的層面上，需要部署完善的、基于保護(hù)操作系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)和應(yīng)用的安全防護(hù)體系。從等級保護(hù)安全要求來看，安全建設(shè)的必要性主要體現(xiàn)在兩個方面：? 安全管理現(xiàn)狀與等級保護(hù)要求的差距***醫(yī)院自身信息系統(tǒng)建設(shè)及運(yùn)維基礎(chǔ)上，建立了一套滿足并能夠促進(jìn)網(wǎng)絡(luò)運(yùn)維的安全管理體系，但同等級保護(hù)的安全管理要求相比較，現(xiàn)有