- 2015-08-27 11:23
- 作者:佚名
- 来源:中国数字医疗网
2015年8月24日由中国数字医疗网主办的“乐享互联 医路同行”2015医院信息化沙龙全国巡展活动首站在春城昆明成功举行。本次会议邀请来自云南省各地州市各大医院信息化专家就“新技术与新业态信息化建设发展”为主题进行讨论与演讲。来自云南省第一人民医院信息中心谢颖夫主任发表“信息系统安全与等级保护测评工作”主题演讲,以下内容根据会议速记进行整理总结。
等级保护背景及发展过程
会上,谢主任对于等级保护的背景主要介绍了两条,第一是《中国人民共和国计算机信息系统安全保护条例》(国务院令147号)第九条。第二条是“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”这是医院信息化中等级保护建设的根据。而信息安全等级保护工作是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与,设计技术与管理两个领域的复杂系统工程。
云南省第一人民医院信息中心谢颖夫主任发表主题演讲
在2003年27号文件曾发过《国家信息化领导小组关于加强信息安全保障工作的意见》,它是信息安全体系中较重要的一个条例。而随着国家对安全信息的重视程度的加深,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理核技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系”。落实到医疗机构来说,就是需要一个等级评测。谢主任表示,这个等级总共分五级,我们多半的医院落在了二级或三级上面。到目前为止,公安部牵头会同有关部门制定、梳理和完善了信息安全等级保护配套技术标准共60多个,有效地支持了信息安全等级保护的系统定级、安全建设、等级测评等主要工作,后续的信息安全等级保护相关标准还在不断制定过程中。
而这其中信息安全等保工作的发展也需要“加快完善法律法规和标准体系。法律规范和技术标准是推广和实施信息安全等级保护工作的法律依据和技术保障。”和“加快信息安全等级保护管理与技术标准的制定和完善,其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的,应当进行调整。”
【相关背景】“66号文”对职责分工和工作的要求
信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级;
信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工;
信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估;
国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信息和信息系统的安全等级保护状况进行监督检查。
为什么要进行等保测评
谢主任介绍了等级测评的原因,主要是为了衡量你所到达的指标,上文提到我们有定级备案,就是要请第三方进行评测,我们需要一个监理公司,对我们的全流程进行监控,测评机构最终得出一个测评结果。其目的是发现我们的亮点,更重要的是发现我们的不足。随后,谢主任指出了等级测评的四大作用。第一,可以确定信息系统的安全状况,尤其是与相应等级基本要求的差距,提出安全整改需求;第二,等级测评报告是监管机构指定的备案材料,也是监督检查的依据;第三,等级测评的现场活动可以与行业要求的第三方测评、风险评估等相结合;第四,等级测评是国家发改委等一些单位项目验收的必要步骤。
而等保测评的重要意义在于两大板块。谢主任表示,板块之一是安全直接产生效益,其包含:符合国家法律和政策政策要求,避免法律风险;掌握信息系统安全现状;降低内部重要信息系统的安全风险;提高组织管理层和技术人员的信息安全风险意识;全面提高信息安全保障水平。板块之二是安全推动效益,其包含:提高服务质量、增强客户满意度;明确今后信息技术安全工作的方向;为行业信息技术安全工作做出了有益的探索。
云南省第一人民医院等保工作内容
谢主任在会上还简单介绍了一下云南省第一人民医院等保工作的开展和进程。首先,选择评估重点系统(HIS、电子病历)作为三级等级保护的对象,其他系统作为二级系统。
其次,开展基础建设工作。包含:1、医院安排专项资金实施等级保护工作;2、前期完成邮件安全网关、入侵检测、防火墙、安全审计等防护设备配置;3、等级保护备案工作已接受公安系统检测,目前进行整改等待评审;4、终端安装了网络版杀毒软件和终端安全保护系统;5、对系统进行集成测试、系统压力测试、设备断电测试等;6、建立了安全管理制度;7、用户登录权限管理制度;移动设备使用安全制度;8、与测评机构合作通实施测评;9、应急响应预案;10、自查情况,整改情况。
其次,安装卡巴斯基防病毒软件网络版,实现医院信息系统的整体病毒防查杀。安装联软的桌面安全与准入控制系统,实现医院信息系统的网络、系统环境的集中统一管理。
最后,将后续每年的年检工作交由测评机构代审。
