《医疗卫生信息平台安全方案》是针对医疗领域信息化建设中的安全问题进行详细规划和设计的一份重要文档。该方案旨在确保医疗信息系统的安全稳定运行,防止各类安全风险对平台造成破坏,包括应用系统的破坏、信息网络的瘫痪、业务数据的丢失、终端病毒感染以及卫生信息的泄露。
首先,方案明确了安全等级需求,依据国家标准GB/T 22240-2008《信息系统安全等级保护定级指南》,将业务信息安全分为一级至五级,分别对应不同程度的损害。吉林省医药卫生信息化平台由于涉及到公民的健康信息和医疗机构的数据,因此业务信息安全保护等级界定为二级。而系统服务安全等级则考虑到了对社会秩序和公共利益的影响,被确定为三级,最终整体系统的安全保护等级被定为三级,需要具备抵御大规模、有组织的威胁源的能力,能在威胁发生后快速恢复大部分功能。
安全方案框架和风险管理部分,涵盖了策略、防护、检测和恢复四个环节,强调建立统一的安全策略,确保通信、边界和内部主要设备的安全。同时,针对系统风险进行了分析,列举了可能面临的自然灾难、设备故障、非法访问等威胁,并对这些威胁的严重性、漏洞存在情况及风险程度进行了评估。
在安全技术建设方案中,可能会涉及到以下几个方面:
1. **基础安全**:遵循GB 17859-1999和GB/T 25058-2010等标准,构建基础安全设施,包括物理安全、网络安全、主机安全和应用安全。
2. **访问控制**:设定严格的权限管理,确保只有授权人员能访问敏感信息,同时记录和审计所有访问行为。
3. **数据加密**:对存储和传输的敏感数据进行加密,防止数据在传输过程中被截取或在存储时被非法读取。
4. **安全监控与报警**:建立实时监控系统,对异常行为进行报警,及时发现并处理潜在风险。
5. **备份与恢复**:定期备份关键数据,确保在灾难发生时能够快速恢复业务。
6. **灾难恢复计划**:制定详尽的灾难恢复计划,应对如自然灾害、人为破坏等情况。
7. **安全培训**:对员工进行信息安全意识培训,提高他们的安全防护能力。
8. **安全管理体系**:依据GB/T 20269-2006和GB/T 20282-2006等标准,建立健全的安全管理体系,包括安全政策、流程、职责等。
总的来说,《医疗卫生信息平台安全方案》是一个综合性的安全保障措施,旨在通过技术手段和管理措施,全面保障医疗信息系统的安全,防止各类安全事件的发生,保障公民的健康信息安全和社会公共利益不受损害。