医院信息化安全等保解决方案
发布日期:2014-03-10 浏览次数:408
一、行业背景与需求
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅
于 2011 年 12 月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85 号)(以
下简称《指导意见》)。为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信
息安全等级保护工作的通知》(卫办综函〔2011〕1126 号)(以下简称《通知》),对卫生行业各单位
提出如下要求:
■2012 年 5 月 30 日前完成本单位信息系统的定级备案工作;
■ 根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订
安全建设整改方案;
■2015 年 12 月 30 日前完成信息安全等级保护建设整改工作,并通过等级测评。
《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息
安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议三级甲等医院的核心业务信
息系统安全保护等级原则上不低于三级。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等
相关规定,并结合本区域现状提出本区域内三甲医院定级要求,大部分省(市)定级要求如下:
二、迪普解决之道
为帮助三甲医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安
全、应用安全、数据安全与备份恢复四个层面为三甲医院提供融合化的等级保护解决方案。
■ 整体思路
医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。内网主要承载着 HIS、LIS、PACS
等医院三级信息系统,外网主要承载医院 OA、网站、mail 等二级信息系统。《基本要求》中规定不同安
全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的
不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、
主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统,分别
从网络安全、主机安全、应用安全、数据安全四个层面进行设计。
资源评论
