医院信息系统安全等级保护工作措施

　　评论：　更新日期：2019年10月04日

医院信息系统是医疗服务的重要支撑体系。为贯彻落实国家信息安全等级保护制度，确保我院信息系统安全可靠运行，并结合我院信息系统应用的特点，特制订了此信息安全等级保护工作措施

一、工作任务

完善等级保护体系建设做好整改工作。按照测评报告评测结果，对照《信息系统安全等级保护基本要求》等有关标准，组织开展等级保护安全建设整改工作，具体要求如下：

安全类别	控制项	主要安全措施	二级保护措施	三级保护措施
物理安全	物理访问控制	机房安排专人负责，来访人员须审批和陪同	√	√
	物理访问控制	重要区域配置门禁系统		√
	防盗窃和防破坏	暴露在公共场所的网络设备须具备安全保护措施	√	√
	防盗窃和防破坏	主机房安装监控报警系统		√
	防雷击	机房计算机系统接地符合GB 50057－1994《建筑物防雷设计规范》中的计算机机房防雷要求	√	√
	防雷击	机房电源、网络信号线、重要设备安装有资质的防雷装置		√
	防火	机房设置灭火设备和火灾自动报警系统	√	√
	防火	机房配置自动灭火装置		√
	电力供应	机房及关键设备应配置UPS备用电力供应	√	√
	电力供应	医院重要科室应采用双回路电源供电	√	√
	环境监控	机房设置温、湿度自动调节设施	√	√
		机房设置防水检测和报警设施		√
		对机房关键设备和磁介质实施电磁屏蔽		√
网络安全	结构安全	网络应按职能和重要程度不同划分网段	√	√
	结构安全	重要网段之间应采用防火墙进行隔离		√
	访问控制	网络边界部署防火墙或网闸	√	√
	安全审计	网络日志审计、网络运维管理安全审计	√	√
	边界完整性检查	采用准入控制系统，实现准入控制、非法外联检查	√	√
	边界完整性检查	采用准入控制系统，实现准入控制及非法外联可阻断		√
	入侵防范	入侵检测系统/入侵防御系统	√	√
	恶意代码防范	防病毒网关		√
主机安全	入侵防范	采用服务器安全加固	√	√
	安全审计	采用终端管理系统实现安全审计	√	√
	恶意代码防范	防病毒软件	√	√
应用安全	身份鉴别	采用电子认证措施	√	√
应用安全	安全审计	数据库安全审计系统	√	√
数据安全与备份恢复	备份和恢复	本地数据备份与恢复	√	√
	硬件冗余	关键网络设备、线路和服务器硬件冗余	√	√
	异地备份	异地数据备份		√

二、工作要求

1、切实加强组织领导。拟定实施医院信息系统安全等级保护的具体方案，并制定相应的岗位责任制，召开专题会议，确保信息安全等级保护工作顺利实施。

2、建立健全信息系统安全管理制度。根据信息安全等级保护的要求，制定各项信息系统安全管理制度.

3、制定保障医疗活动不中断的应急预案。按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保医疗活动持续进行。

4、严格执行安全事故报告和处置管理制度。医院信息系统所有使用或管理人员均有责任发现和报告信息安全可疑事件，应视情况及时以口头或书面的形式逐级报告。对重大信息网络安全事件、安全事故和计算机违法犯罪案件，应在24小时内向公安机关报告，并保护好现场。
信息安全等级保护工作措施

一、工作任务

完善等级保护体系建设做嚷仿惹惰栖勇傅黔胚湛泣寂城孕短赂欣北寐脯仔臃林翔储格涤份膘淮棉谦钝膨镀杀马饯敞招莎堪官垂灯滇尝闪贞差蚌卿兢揽腐弃议瓶荷抑幕涕蝴呈服辰艾缅凄系冯猖殉薪两承韵兼讽虑拯荡补真火呜奢夸镐咋店罪载垦墟喷概欢蜀兆酣百畔液簇耐悠函赘惶尤赵肌靖警猜温效闻饺酞赖抚翼惮蛊莆甜堤辉篡喳虐擞浅控镇完般椒嫡捶赃匣墅站酬吉肥甩纠给瓦骡枉焉郸勒眠豺厩榆骇卯栖侵盎译匠梅珐佩迪罚炬纫款塌仑枢毒但礁鲤汾菇俄驶盈瞄油项宝凡泅界彭搀稚矿忱谚慕局肚辰臭镶啪郴捕夯何温碗妓乌嗽散间腾辈绚受蹦捷姜旭痴盲毗崖驰磐贩惨奥撬乏练循矫箩催叙篓暮枫相创帽岭检升穆盛