信息安全等级保护是我国信息安全保障的基本制度、基本方法、基本策略。目前,医院信息系统已经成为支撑现代化医院运营的重要手段,医疗活动对信息系统的依赖程度越来越高。信息系统出现故障会直接影响医院业务的正常开展,导致医院业务停滞。本文通过对三甲医院信息安全等级保护的实施及应用过程进行分析,进一步提高全院信息化程度,提高医院信息系统业务安全和信息安全 ,对其他医院信息安全等级保护的实施也具有一定的借鉴意义。

一、信息安全等级保护发展

1、政策法规方面

最早的法律法规提出是1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),随后,2003年中办、国办《关于加强信息安全保障工作的意见》(中办发[2003]27号)把信息安全作为一项国家制度提出。2004年四部委《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)确定了等级保护的内容、职责分工以及工作要求。《信息安全等级保护管理办法》(公通字[2007]43号文件)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文件)和《电子政务信息安全等级保护实施指南》(国信办[2004]25号)形成了等级保护工作的具体方法,具体过程。

2、技术标准方面

(1)1999年发布《计算机信息系统安全保护等级划分准则》GB 17859成为信息系统安全的第一个技术标准,参照TCSEC,主要针对操作系统。

(2)2002年发布GA/T387-391提出网络、操作系统、管理方面的等技术要求,提出安全控制,初步具备分层面的思想。

(3)2006年公安行标升级为国标GB/T20271-20273,并补充了相关产品标准。将信息安全等级保护内容进一步深化,但要求还是过高、过于超前。

(4)2007年国标报批稿:定级指南、基本要求、实施指南、测评要求。形成等级保护基线要求,满足当前等级保护工作需要。

二、三甲医院信息安全等级保护的要求

1、三级综合医院评审标准实施细则(2012版)中第六章6-5-6条提出:实施国家信息安全等级保护制度,实行信息系统操作权限分级管理,保障网络信息安全,保护患者隐私;推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。其中:6-5-6-1的条:加强信息系统的安全保障和患者隐私保护。A档次的要求:信息系统安全保护等级不低于第二级。

2、信息系统安全保护等级写入三级综合医院评审标准实施细则,作为评审三甲医院的重要的一条评分点,体现了卫生行业对开展等级保护工作的重视。同事也对医院自身的评审提出了要求。

三、三甲医院信息系统安全等级保护的实施

根据《信息安全等级保护管理办法》的要求,建议医院从信息系统定级、备案、等级测评、安全整改/建设、接受监督检查五个方面实施信息系统安全等级保护。

1、信息系统定级

定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。定级要素与信息系统安全保护等级的关系如表1所示。1

确定信息系统安全保护等级的一般流程如下:①确定作为定级对象的信息系统;②确定业务信息安全受到破坏时所侵害的客体;根据不同的受侵害客体,从多个方面综合评定业务信息安全被破换对客体的侵害程度;③确定业务信息安全保护等级;④确定系统服务安全受到破换时所侵害的客体,根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;⑤确定系统服务安全保护等级;将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

2、信息系统定级备案

第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。定级工作的结果是以备案完成标志。医院可进行自行评定分析与信息系统安全保护等级要求的差距,并采取相应的措施。

3 、等级测评

等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,根据《信息安全等级保护测评要求》等标准,从安全技术与安全管理两大项10个方面,对信息系统安全等级保护状况进行全面测试与综合评估的活动。等级测评的实施过程如图1所示。

24、安全整改建设

医院信息系统要根据《信息安全等级保护安全建设整改工作指南》进行信息系统的安全整改和建设。医坚持管理和技术并重的原则,要依据《信息系统安全等级保护基本要求》,落实信息安全责任制,建立并落实各类安全管理制度,开展系统建设管理、人员安全管理和系统运维管理等工作,落实物理、网络、主机、应用和数据安全等安全保护技术措施。建立医院信息系统综合防护体系,提高医院信息系统整体安全保护能力。

5、接受监督检查

一方面,三甲医院自身要定期按照信息系统安全等级保护的要求进行自查;另一方面,三甲医院信息系统安全等级保护要接受公安机关的监督管理。

四 、结语

通过对信息安全等级保护制度的阐述及分析,初步探讨了医院信息系统中信息安全等级保护的实施策略。通过对医院信息系统进行安全等级划分,并按照安全等级保护的要求进行规划、建设、运维、管理和监督,可以有效增强医院信息系统的整体安全性。开展安全等级保护建设对医院信息系统具有重要意义。同时跟进医院信息安全技术手段的研究和创新,制定并严格遵守安全策略,通过技术防治结合管理防范,建立有效、健全的安全防御体系,最终达到保护医院信息安全的目的。

来源:中国数字医学

作者:邹陆曦,胡广绿、孙玲

筑医台编辑出品