醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)的安全需求是全方位的、整體的,需要從技術(shù)、管理、服務(wù)等方面進(jìn)行全面的安全設(shè)計(jì)和建設(shè),有效提高信息系統(tǒng)的防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)能力,以抵御不斷出現(xiàn)的安全威脅與風(fēng)險(xiǎn),保證系統(tǒng)長(zhǎng)期穩(wěn)定可靠的運(yùn)行。
依據(jù)國(guó)家相關(guān)政策及衛(wèi)生健康行業(yè)信息安全要求,根據(jù)XX市中心醫(yī)院信息安全的實(shí)際需要,全面完善醫(yī)院信息安全防護(hù)體系,落實(shí) “分區(qū)分域、等級(jí)防護(hù)、多層防御”的安全防護(hù)策略,確保信息安全建設(shè)工作在本醫(yī)院的順利實(shí)施,提高整體信息安全防護(hù)水平,開(kāi)展等級(jí)保護(hù)建設(shè)工作。具體目標(biāo)如下:
(1)開(kāi)展并完成信息系統(tǒng)等級(jí)保護(hù)工作,使之達(dá)到(符合)衛(wèi)生健康行業(yè)等級(jí)保護(hù)基本要求。
(2)建立針對(duì)核心區(qū)域的、重點(diǎn)防護(hù)區(qū)域的、特殊區(qū)域的安全防護(hù)及其它重要區(qū)域的區(qū)域性安全防護(hù)策略和防護(hù)手段, 完善基礎(chǔ)安全防護(hù)整體架構(gòu)。
(3)加強(qiáng)信息安全管理工作,制訂科學(xué)合理的信息安全工作方針、政策,進(jìn)一步完善信息安全管理制度體系,實(shí)現(xiàn)管理制度的標(biāo)準(zhǔn)化、規(guī)范化和流程化。
(4)建立科學(xué)、完備的信息安全運(yùn)維管理體系,實(shí)現(xiàn)信息安全事件的全程全周期管理,切實(shí)保障信息系統(tǒng)安全、穩(wěn)定運(yùn)行。
(5)通過(guò)安全服務(wù),全面梳理網(wǎng)絡(luò)資產(chǎn)信息、安全風(fēng)險(xiǎn)評(píng)估,提供安全加固、應(yīng)急響應(yīng)、安全保障和安全培訓(xùn)服務(wù),全面保障醫(yī)院信息安全。
網(wǎng)絡(luò)的安全保障體系將在統(tǒng)一的安全策略指導(dǎo)下,充分利用和依托已有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,通過(guò)建設(shè)網(wǎng)絡(luò)安全技術(shù)體系、安全管理體系、安全服務(wù)體系,形成集防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)于一體的安全保障體系,從而實(shí)現(xiàn)物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全管理,構(gòu)建可信、可控、可管的安全體系。
通過(guò)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)中技術(shù)內(nèi)容的分析,結(jié)合醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)應(yīng)用及實(shí)際網(wǎng)絡(luò)情況,對(duì)防護(hù)對(duì)象的安全防護(hù)主要從安全計(jì)算環(huán)境要求:用戶身份鑒別(準(zhǔn)入)、自主訪問(wèn)控制、標(biāo)記和強(qiáng)制訪問(wèn)控制、系統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、客體安全重用、程序可信執(zhí)行保護(hù);安全區(qū)域邊界方面:區(qū)域邊界訪問(wèn)控制、區(qū)域邊界包過(guò)濾、區(qū)域邊界安全審計(jì)、區(qū)域邊界完整性保護(hù);安全通信網(wǎng)絡(luò)要求:通信網(wǎng)絡(luò)安全審計(jì)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、通信網(wǎng)絡(luò)可信接入;安全管理中心要求:系統(tǒng)管理、安全管理、審計(jì)管理等方面進(jìn)行加強(qiáng),通過(guò)成熟的安全技術(shù)和可落地的安全管理措施構(gòu)建單位可信、可控、可管的網(wǎng)絡(luò)安全防御體系。
整體安全建設(shè)拓?fù)鋱D如下所示:
