医院等级保护知识和方案.docx

《医院等级保护知识和方案.docx》由会员分享，可在线阅读，更多相关《医院等级保护知识和方案.docx（9页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、医院等级爱惜学问和方案医院等级爱惜学问和方案作者来源青莲网络阅读10/04/251：政策和学问信息平安等级爱惜管理方法43号文计算机信息系统平安爱惜条例147号文国家信息化领导小组关于加强信息处理平安保障工作的意见27号文关于信息平安等级爱惜工作的实施意见66号文2003年，中心办公厅, 国务院办公厅转发的国家信息化领导小组关于加强信息平安保障工作的意见(27号文)中，已将信息平安等级爱惜作为国家信息平安保障工作的重中之重，要求各级党委, 人民政府细致组织实行。意见中明确指出，信息化开展的不同阶段和不同的信息系统，有着不同的平安需求，必需从实际动身，综合平衡平安本钱和风险，优化信息平安资源的配

2、置，确保重点。之后，一系列的国家部委, 行业组织下发了关于信息系统等级爱惜方面的政策和标准。2004年，公安部, 国家保密局, 国家密码管理委员会办公室, 国务院信息化工作办公室联合下发了关于信息平安等级爱惜工作的实施意见(66号文)。2005年国信办下发了电子政务信息平安等级爱惜实施指南(25号文)。2005年底，公安部下发了关于开展信息系统平安等级爱惜根底调查工作的通知(公信安20051431号)，并从2006年1月由全国各级公安机关组织开展了全国范围内各行业, 企业信息系统的根底信息调研工作，并先后出台了信息系统平安爱惜等级定级指南(试用稿), 信息系统平安等级爱惜根本要求(试用稿),

3、信息系统平安等级爱惜测评准那么(送审稿), 信息系统平安等级爱惜实施指南(送审稿)等指导性文件。2：等保学问/业界动态深圳卫生部门及警方合作爱惜医院信息系统上海市已经全面启动数字化医院话平安(出现过的平安问题)信息平安及医院业务连续性平安问题关系到病人的利益，如何保障医院信息平安，确保业务连续性，是各大医院面临的共同挑战。现在，很多行业正在开展信息平安等级爱惜的评级和检查工作，医疗卫生行业也是如此。在技术日益深化到医院运营管理各方面的今日，信息化建立已经成为医院开展的重要内容，其中，信息平安问题也日益突出。如今，无论是医务工作者还是病患，每天都须要借助信息系统的帮助支持完成日常工作和就诊。在门

4、诊方面，挂号, 收费, 发药, 护士分诊, 大夫看病都是借助门诊信息系统；病房方面，每天大夫查房，开医嘱, 护士给患者发药等都借助住院信息系统；患者在医院做化验, 照片子等都要借助医院信息系统完成。医院信息系统已经成为医院不行缺少的工具。在这种状况下，医院信息系统一旦出现问题，整个医院将无法运行，所以说，医院信息系统的平安问题干脆关系到病人的利益，医院信息系统出现故障，将造成病人无法就诊, 无法刚好得到有效的治疗。确保医院业务连续性通常，医院信息系统的组成，包括网络, 效劳器, 存储设备, 操作系统, 数据库, 应用软件等。在这个系统中，只要有一个子系统或部件出现故障，都将造成整个系统瘫痪。同

5、时，医院的信息系统和其它行业相比，有其自身的特点所在。医院信息系统分类多。在医院内部，信息系统有医疗业务信息系统, 办公信息系统, 科研信息系统, 教学信息系统, 图书管理信息系统等。在上述信息系统中，对平安性要求最高的是医疗业务信息系统。它是干脆为病人效劳的，它的可用性干脆影响医院业务运行的连续性。业务连续性要求高。医疗机构的特点是24小时营业，其它行业一般都有停顿营业休息时间，而医院没有，医院一年365天每天24小时开门营业。这样对信息系统连续性要求特殊高，要求一年365天每天24小时信息系统保持正常运行状态。系统缺少维护时间。由于医院没有休息时间，信息系统就没有停机检修时间。其它行业为了

6、信息系统的升级改造，可以向社会发布公告，通知社会各界，在预定时间停顿营业，这对于医院来说，是无法想像的事情。由于缺少维护时间，造成信息系统很多时间是带故障运行，简洁造成信息系统出现灾难性故障。解除故障时间要求短。由于医院业务连续性要求高，在信息系统出现故障时必需在最短时间内解除故障，复原正常的医院业务活动。这样就使得解除故障时间越短越好。对于一些特大医院，由于门诊量特殊大，在解除故障时间方面要求特殊苛刻。医院独特的信息平安要求。医院在信息平安方面有其独到的要求。对于一般医院，业务信息在抗篡改和一样性保障方面，抗抵赖的电子责任方面要求不是很高。对于医院信息，主要保证患者信息的隐私性，保证信息的可

7、用性，而做到这些从技术角度和可操作性角度来看，难度相对不高。目前威逼医院信息平安的主要因素是信息系统的故障率, 不稳定性和不行用性。要保证信息系统的可用性，须要在网络, 效劳器, 存储设备, 数据库, 系统病毒防范等各方面从规划, 设计, 实施, 到日常维护等全过程进展限制，以保障医院业务的连续性。评估信息平安的要求针对以上状况，医院在保障信息平安, 确保业务连续性时，须要在信息系统上做如下几方面工作。正确相识医院信息平安。医院信息平安是一个系统，它不是一个独立的或孤立的，而是一个系统问题。对于系统问题，特殊要留意到各子系统之间的相互依靠性和相互影响对信息平安的威逼。不能把信息平安仅仅看成设置

8、口令，保证硬件无故障, 防范病毒等比拟单纯的孤立问题。正确评估医院信息平安。对于医院信息平安，应当依据医院业务的特点和规模确定信息平安的要求。对于有些特定的医院，由于医院的性质确定，它的信息平安要求要比别的医院高很多，对于这些医院，不但在抗篡改和一样性保障方面，抗抵赖的电子责任方面有要求，甚至在防止非法获得信息方面都有要求。而对于一般医院，信息平安的重要性更多的是表现在医院业务的持续性上。所以，在开场解决医院信息平安之前，首先要弄清楚本医院对信息平安的要求，然后才能够搞好信息平安。整体及微小环节并重。信息平安是一个系统问题，须要用系统工程方法解决。所以，保证信息平安要从信息系统的各个方面进展工

9、作，从信息系统规划开场，从信息系统根底平台开场，全方位, 全过程的保证信息平安。同时，具体的技术微小环节也不能忽视。日常工作中，信息技术的微小环节地方要特殊关注，千万不要忽视任何威逼信息平安的技术微小环节。3：等级爱惜方案国家信息化领导小组关于加强信息平安保障工作的意见(中办发200327号，以下简称27号文件)明确要求我国信息平安保障工作实行等级爱惜制度，提出抓紧建立信息平安等级爱惜制度，制定信息平安等级爱惜的管理方法和技术指南。2004年9月发布的关于信息平安等级爱惜工作的实施意见(公通字200466号，以下简称66号文件)进一步强调了开展信息平安等级爱惜工作的重要意义，规定了实施信息平安

10、等级爱惜制度的原那么, 内容, 职责分工, 根本要求和实施方案，部署了实施信息平安等级爱惜工作的操作方法。27号文件和66号文件不但为各行业开展信息平安等级爱惜工作指明白方向，同时也为各行业如何依据自身特点做好信息平安等级爱惜工作提出了更高的要求。医疗机构作为涉及国计民生的重要组成局部，其平安保障事关社会稳定，必需依据27号文件要求，全面实施信息平安等级爱惜。医疗机构信息系统的根本爱惜要求包括根本技术要求和根本管理要求。适用于指导医疗机构分等级的信息系统的平安建立, 正常维护, 监视管理，保证医疗构造信息系统的平安运作，保障国家的稳定。作为定级对象，信息系统平安等级爱惜管理方法中将信息系统划分

11、为五级，前3级分别为：第一级，信息系统受到破坏后，会对公民, 法人和其他组织的合法权益造成损害，但不损害国家平安, 社会秩序和共利益。第二级，信息系统受到破坏后，会对公民, 法人和其他组织的合法权益产生严峻损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严峻损害，或者对国家平安造成损害。从医疗机构信息系统遭到破坏后的影响程度来看，根本只损害到局部公民的就医权利，造成对社会秩序和公共利益的损害不至严峻程度，属于第二级范畴。不同等级系统所应对抗的威逼主要从威逼源(自然, 环境, 系统, 人为)动机(不行抗外力, 无意, 有意)范围(局

12、部, 全局)实力(工具, 技术, 资源等)四个要素来考虑。威逼源是指任何能够导致非预期的不利事务发生的因素，通常分为自然(如自然灾难)环境(如电力故障)系统(如系统故障)和人员(如心怀不满的员工)四类。动机及威逼源和目标有着密切的联系，不同的威逼源对应不同的目标有着不同的动机，通常可分为不行抗外力(如自然灾难)无意的(如员工的疏忽大意)和成心的(如情报机构的信息收集活动)。范围是指威逼潜在的危害范畴，分为局部和整体两种状况；如病毒威逼，有些计算机病毒的传染性较弱，危害范围是有限的；但是蠕虫类病毒那么相反，它们可以在网络中以惊人的速度快速扩散并导致整个网络瘫痪。实力主要是针对威逼源为人的状况，它

13、是衡量攻击成功可能性的主要因素。实力主要表达在威逼源占有的计算资源的多少, 工具的先进程度, 人力资源(包括阅历)等方面。通过对威逼主要因素的分析，我们组合以上因素得到第二级的威逼：1)危害范围为局部的环境或者设备故障；2)无意的员工失误；3)危害局部的较严峻的自然事务；4)具备中等实力, 有预设目标的威逼情景。医疗机构信息系统模型的构造是对信息系统进展威逼分析，从而确定平安保障目标的根底。对医疗机构信息系进展等级爱惜测评可以分别从技术, 管理和业务应用三个层面提出各自的参考模型，具体如下。技术模型, 管理模型和应用模型既是三个相对独立的体系，又是两两相互作用，存在密切关系的有机耦合体。技术模

14、型支持应用模型的实现，管理模型是技术模型正常工作的保障，应用模型又是技术模型和管理模型支持和管理的核心。参考国际标准化组织()制定的开放系统互联标准()标准和标准对信息系统技术组成的构造方法，结合医疗机构信息系统业务应用分类，给出医疗机构信息系统的技术模型，如下列图所示。医疗机构信息系统的技术参考模型描述主要从物理环境, 网络系统, 主机系统, 应用系统4个层面进展描述。a.物理环境包括机房, 场地, 布线, 设备, 存储媒体等内容。b.网络系统指医疗机构信息系统所基于的网络标准和网络构造；网络标准主要基于协议, 的网络标准，网络构造主要接受, 的构造。c.主机系统主机系统指效劳器操作系统平台

15、及公共应用平台。效劳器操作系统主要接受效劳器版的操作系统，通常有, 等类型；公共应用平台主要有数据库平台和, , 中间件等。数据库平台一般接受可供应多个事务共享数据的网络数据库系统，常用的数据系统2等，数据访问通常接受两层或三层中间件构造。d.应用系统医院信息系统目前主要可分为综合业务, 临床业务, 行政管理三种类型。参考国家标准 19716信息技术信息平安管理好用规那么和 17799 ： 管理模型的构造方式，结合医疗机构信息系统业务管理特点，将管理模型分为信息平安管理根底(管理机构, 管理制度, 人员平安)和信息平安管理生命周期管理方法(建立管理, 运维管理)，具体如下列图所示。a.管理制度

16、主要包括管理制度, 制定和发布, 评审和修订3个限制点。b.管理机构主要包括岗位设置, 人员配备, 授权和审批, 沟通和合作以及审核和检查5个限制点。c.人员平安主要包括人员录用, 人员离岗, 人员考核, 平安意识教化培训, 外部人员访问管理等5个限制点。d.建立管理主要包括系统定级, 方案设计, 产品选购, 自行开发, 外包开发, 工程实施, 测试验收, 系统交付, 系统备案, 等级测评和平安效劳11个限制点。e.运维管理主要包括环境管理, 资产管理, 介质管理, 设备管理, 监控管理, 平安中心, 网络平安管理, 恶意代码防范管理, 密码管理, 变更管理, 备份复原管理, 平安事务管理,

17、应急预案管理等13个限制点。依据国家卫生部发布的医院信息系统根本功能标准有关要求，结合医疗机构应用业务系统建立实际，按如下框架构建应用模型：相应的数据类型大体可分为四类：1.患者根本信息：患者姓名, 住址, 联系方式等。2.诊疗相关的信息：包括电子病历, 医嘱, 检验结果等。这类数据不仅要保证完整性，还要防篡改，修改后必需留有痕迹，而且还应做到隐私性爱惜。3.经济相关的费用信息：包括药品材料管理, 检验价目等，要求受限访问，设限修改。4.管理相关的业务信息：包括人事数据, 资产管理等。医疗信息系统根本要求的平安要求在整体框架构造上以三种分类为支撑点，自上而下分别为：类, 限制点和项。其中，类表

18、示医疗信息系统根本要求在整体上大的分类，其中技术局部分为：物理平安, 网络平安, 主机平安, 应用平安和数据平安及备份复原等5大类，管理局部分为：平安管理制度, 平安管理机构, 人员平安管理, 系统建立管理和系统运维管理等5大类，一共分为10大类。限制点表示每个大类下的关键限制点，如物理平安大类中的物理访问限制作为一个限制点。而项那么是限制点下的具体要求项，如机房出入应支配专人负责，限制, 鉴别和记录进入的人员。具体框架构造如下图：依据信息系统平安的整体构造来看，信息系统平安可从五个层面：物理, 网络, 主机系统, 应用系统和数据对系统进展爱惜，因此，技术类平安要求也相应的分为五个层面上的平安

19、要求：物理层面平安要求：主要是从外界环境, 根底设施, 运行硬件, 介质等方面为信息系统的平安运行供应根本的后台支持和保证；网络层面平安要求：为信息系统能够在平安的网络环境中运行供应支持，确保网络系统平安运行，供应有效的网络效劳；主机层面平安要求：在物理, 网络层面平安的状况下，供应平安的操作系统和平安的数据库管理系统，以实现操作系统和数据库管理系统的平安运行；应用层面平安要求：在物理, 网络, 系统等层面平安的支持下，实现用户平安需求所确定的平安目标；数据及备份复原层面平安要求：全面关注信息系统中存储, 传输, 处理等过程的数据的平安性。信息系统的生命周期主要分为五个阶段：初始阶段, 选购/

20、开发阶段, 实施阶段, 运行维护阶段和废弃阶段。管理类平安要求正是针对这五个阶段中的不同平安活动提出的，分为：平安管理制度, 平安管理机构, 人员平安管理, 系统建立管理和系统运维管理五个方面。平安管理制度要求：主要是从管理制度, 制度的制定和发布, 评审和修订等方面为信息系统的平安运行供应根本的制度支持和保证；平安管理机构要求：为信息系统的管理机构审查，确保人员管理的平安运作，供应合理有效的岗位设置状况；人员平安管理要求：在制度和机构层面平安的状况下，供应人员平安管理的相关实施方式，如人员录用，人员离岗，人员考核等，保证人员配备的合理；系统建立管理要求：在制度, 岗位, 人员等层面平安的支持下，实现系统建立管理的相关步骤，确保在新建系统或系统改扩建时需依据系统建立管理要求建立实施；系统运维管理要求：关注信息系统中存储, 传输, 处理等过程的数据的平安性，维护环境，资产等的平安。记录冲动时刻，赢取超级大奖！点击链接，和我一起参加2021：我的世界杯日志活动！特殊声明：1：资料来源于互联网，版权归属原作者2：资料内容属于网络意见，及本账号立场无关3：如有侵权，请告知，立刻删除。