医疗机构信息系统安全等级保护基本要求.docx

医疗机构信息系统安全等级保护基本要求上海市卫生局信息中心上海市信息安全测评认证中心二八年十月目 录1前言72范围73一般模型73.1技术模型83.2管理模型93.3应用模型104定级指导155威胁分析156安全目标186.1技术目标186.2管理目标217安全要求（要素表）238安全基本要求288.1二级（一般）安全要求288.1.1技术要求288.1.1.1物理安全288.1.1.1.1物理位置的选择288.1.1.1.2物理访问控制288.1.1.1.3防盗窃和防破坏298.1.1.1.4防雷击298.1.1.1.5防火298.1.1.1.6防水和防潮298.1.1.1.7防静电308.1.1.1.8温湿度控制308.1.1.1.9电力供应308.1.1.1.10电磁防护308.1.1.2网络安全318.1.1.2.1结构安全318.1.1.2.2访问控制318.1.1.2.3边界完整性检查318.1.1.2.4网络设备防护318.1.1.2.5网络可用性328.1.1.3主机系统安全328.1.1.3.1身份鉴别328.1.1.3.2访问控制328.1.1.3.3安全审计338.1.1.3.4恶意代码防范338.1.1.3.5资源控制338.1.1.3.6主机可用性338.1.1.4应用安全338.1.1.4.1身份鉴别338.1.1.4.2访问控制348.1.1.4.3安全审计348.1.1.4.4通信完整性358.1.1.4.5通信保密性358.1.1.4.6软件容错358.1.1.4.7资源控制358.1.1.5数据安全358.1.1.5.1完整性358.1.1.5.2数据保密性358.1.1.5.3备份和恢复368.1.2管理要求368.1.2.1安全管理制度368.1.2.1.1管理制度368.1.2.1.2制定和发布368.1.2.1.3评审和修订378.1.2.2安全管理机构378.1.2.2.1岗位设置378.1.2.2.2人员配备378.1.2.2.3授权和审批378.1.2.2.4沟通和合作378.1.2.2.5审核和检查388.1.2.3人员安全管理388.1.2.3.1人员录用388.1.2.3.2人员离岗388.1.2.3.3人员考核388.1.2.3.4安全意识教育和培训388.1.2.3.5外部人员访问管理398.1.2.4系统建设管理398.1.2.4.1系统定级398.1.2.4.2安全方案设计398.1.2.4.3产品采购408.1.2.4.4自行软件开发408.1.2.4.5外包软件开发408.1.2.4.6工程实施408.1.2.4.7测试验收418.1.2.4.8系统交付418.1.2.4.9安全服务商选择418.1.2.5系统运维管理418.1.2.5.1环境管理418.1.2.5.2资产管理428.1.2.5.3介质管理428.1.2.5.4设备管理428.1.2.5.5监控管理438.1.2.5.6网络安全管理438.1.2.5.7系统安全管理438.1.2.5.8恶意代码防范管理448.1.2.5.9密码管理448.1.2.5.10变更管理448.1.2.5.11备份与恢复管理448.1.2.5.12安全事件处置458.1.2.5.13应急预案管理458.2二级（增强）安全要求468.2.1技术要求468.2.1.1物理安全468.2.1.1.1物理位置的选择468.2.1.1.2物理访问控制468.2.1.1.3防盗窃和防破坏468.2.1.1.4防雷击478.2.1.1.5防火478.2.1.1.6防水和防潮478.2.1.1.7防静电478.2.1.1.8温湿度控制478.2.1.1.9电力供应488.2.1.1.10电磁防护488.2.1.2网络安全488.2.1.2.1结构安全488.2.1.2.2访问控制498.2.1.2.3安全审计498.2.1.2.4边界完整性检查498.2.1.2.5入侵防范498.2.1.2.6网络设备防护498.2.1.2.7网络可用性508.2.1.3主机系统安全508.2.1.3.1身份鉴别508.2.1.3.2访问控制508.2.1.3.3安全审计518.2.1.3.4入侵防范518.2.1.3.5恶意代码防范518.2.1.3.6资源控制518.2.1.3.7主机可用性518.2.1.4应用安全528.2.1.4.1身份鉴别528.2.1.4.2访问控制528.2.1.4.3安全审计538.2.1.4.4剩余信息保护538.2.1.4.5通信完整性538.2.1.4.6通信保密性538.2.1.4.7软件容错538.2.1.4.8资源控制548.2.1.5数据安全548.2.1.5.1完整性548.2.1.5.2数据保密性548.2.1.5.3备份和恢复548.2.2管理要求558.2.2.1安全管理制度558.2.2.1.1管理制度558.2.2.1.2制定和发布558.2.2.1.3评审和修订558.2.2.2安全管理机构568.2.2.2.1岗位设置568.2.2.2.2人员配备568.2.2.2.3授权和审批568.2.2.2.4沟通和合作568.2.2.2.5审核和检查568.2.2.3人员安全管理578.2.2.3.1人员录用578.2.2.3.2人员离岗578.2.2.3.3人员考核578.2.2.3.4安全意识教育和培训578.2.2.3.5外部人员访问管理588.2.2.4系统建设管理588.2.2.4.1系统定级588.2.2.4.2安全方案设计588.2.2.4.3产品采购598.2.2.4.4自行软件开发598.2.2.4.5外包软件开发598.2.2.4.6工程实施598.2.2.4.7测试验收598.2.2.4.8系统交付608.2.2.4.9安全服务商选择608.2.2.5系统运维管理608.2.2.5.1环境管理608.2.2.5.2资产管理608.2.2.5.3介质管理618.2.2.5.4设备管理618.2.2.5.5监控管理618.2.2.5.6网络安全管理628.2.2.5.7系统安全管理628.2.2.5.8恶意代码防范管理638.2.2.5.9密码管理638.2.2.5.10变更管理638.2.2.5.11备份与恢复管理638.2.2.5.12安全事件处置648.2.2.5.13应急预案管理64附录A基本要求的选择和使用651、判断医疗机构的信息系统是否具备定级的基本条件652、根据医疗机构的分级选择不同级别的基本要求663、部分区县中心（含）以上医疗机构可对二级（增强）要求进行选择使用66附录B基本要求的应用注释67B1. 物理环境的应用注释67B2.网络隔离的应用注释67B3. 版本变更的应用注释69B4. 数据加密的应用说明69B5. 其他691 前言国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年9月发布的关于信息安全等级保护工作的实施意见（公通字200466号，以下简称“66号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。医疗机构作为涉及国计民生的重要组成部分，其安全保障事关社会稳定，必须按照27号文件要求，全面实施信息安全等级保护。因此，组织编制医疗机构信息系统安全等级保护基本要求，提出针对医疗机构信息安全等级保护工作的基本思路和具体要求，指导上海市医疗机构的信息安全保障工作。2 范围本标准规定了医疗机构信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导本市医疗机构分等级的信息系统的安全建设和监督管理。3 一般模型医疗机构信息系统（以下简称HIS系统）模型的构造是对HIS系统进行威胁分析，从而确定安全保障目标的基础。HIS系统基本要求将分别从技术、管理和业务应用三个层面提出各自的参考模型，具体如下。技术模型、管理模型和应用模型既是三个相对独立的体系，又是两两相互作用，存在密切关系的有机耦合体。技术模型支持应用模型的实现，管理模型是技术模型正常工作的保障，应用模型又是技术模型和管理模型支持和管理的核心。3.1 技术模型参考国际标准化组织（ISO）制定的开放系统互联标准（OSI）标准和TCP/IP标准对信息系统技术组成的构造方法，结合HIS系统业务应用分类，给出HIS系统的技术模型，如下图所示。HIS系统的技术参考模型描述主要从物理环境、网络系统、主机系统、应用系统4个层面进行描述。a.物理环境包括机房、场地、布线、设备、存储媒体等内容。b.网络系统指HIS系统所基于的网络标准和网络结构；网络标准主要基于TCP/IP协议、IPX/SPX的网络标准，网络结构主要采用LAN、WAN的结构。c.主机系统主机系统指服务器操作系统平台及公共应用平台。服务器操作系统主要采用服务器版的操作系统，通常有Windows、Unix 等类型；公共应用平台主要有数据库平台和WEB、Mail、中间件等。数据库平台一般采用可提供多个事务共享数据的网络数据库系统，常用的数据系统 SQLSERVER, ORACLE, DB2, SYBASE 等，数据访问通常采用两层或三层中间件结构。d.应用系统医院信息系统目前主要可分为综合业务、临床业务、行政管理三种类型。3.2 管理模型参考国家标准GB/T 19716信息技术 信息安全管理实用规则和ISO/IEC 17799Information technology：Code of practice for Information Security Management管理模型的构造方式，结合HIS系统业务管理特点，将管理模型分为信息安全管理基础（管理机构、管理制度、人员安全）和信息安全管理生命周期管理方法（建设管理、运维管理），具体如下图所示。a.管理制度主要包括管理制度、制定和发布、评审和修订3个控制点。b.管理机构主要包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查5个控制点。c.人员安全主要包括人员录用、人员离岗、人员考核、安全意识教育培训、外部人员访问管理等5个控制点。d.建设管理主要包括系统定级、方案设计、产品采购、自行开发、外包开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务11个控制点。e.运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理、安全中心、网络安全管理、恶意代码防范管理、密码管理、变更管理、备份恢复管理、安全事件管理、应急预案管理等13个控制点。3.3 应用模型根据国家卫生部发布的医院信息系统基本功能规范和市卫生局发布的上海市医院信息系统功能规范有关要求，结合上海市医疗机构应用业务系统建设实际，按如下框架构建应用模型：基础建设业务应用决策支持基础网络建设系统操作平台政务外网接入网站建设安全解决方案系统管理规范靶子外部接口临床业务部分综合业务部分行政管理部分综合查询与决策分析知识库管理及辅助诊疗管理 HMIS临床 CIS其中综合业务部分分为：综合业务部分门急诊挂号分系统门急诊划价收费分系统住院病人入出转管理分系统住院收费分系统物资管理分系统设备管理分系统其它分系统临床业务部分分为：临床业务部分门诊医生工作站分系统住院医生工作站分系统护士工作站分系统临床检验分系统医学影像分系统输血管理分系统手术、麻醉管理系统药品管理分系统其它分系统行政管理部分分为：行政管理部分财务管理分系统人事管理分系统科研管理分系统教育管理分系统OA分系统其它分系统综合查询与决策分析部分分为：综合查询与决策分析部分院长综合查询与分析分系统经济核算管理分系统医疗统计分系统病人咨询服务分系统其它分系统知识库管理及辅助诊疗部分分为：知识库管理及辅助诊疗部分合理用药咨询及审核分系统病案管理分系统循证临床路径指引分系统临床辅助诊疗分系统数字医学图书馆分系统其它分系统另外，外部接口部分包括：社区卫生服务接口公共卫生信息交换接口远程医疗咨询系统接口外部接口部分计分析部分医疗保险接口其它接口电子病历共享交换接口（以上粗体标注的为卫生部医院信息系统基本功能规范明确的子系统）相应的数据类型大体可分为四类：1. 患者基本信息：患者姓名、住址、联系方式等。2. 诊疗相关的信息：包括电子病历、医嘱、检验结果等。这类数据不仅要保证完整性，还要防篡改，修改后必须留有痕迹，而且还应做到隐私性保护。3. 经济相关的费用信息：包括药品材料管理、检验价目等，要求受限访问，设限修改。4. 管理相关的业务信息：包括人事数据、资产管理等。4 定级指导作为定级对象，信息系统安全等级保护管理办法中将信息系统划分为五级，前3级分别为：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。从本市医疗机构信息系统遭到破坏后的影响程度来看，基本只损害到本市部分公民的就医权利，造成对社会秩序和公共利益的损害不至“严重程度”，属于“第二级”范畴，且HIS系统对信息安全防护和服务能力保护的要求均较高，因此基本定位在LSA(2，2，2)。但从医疗机构服务受众的多少（门诊量），HIS系统应用依赖的大小（全信息化、部分信息化、单机版）的不同，建议将第二级细分为：二级（一般）和二级（增强），具体如下：区县中心以下医疗信息系统定为：二级（一般）区县中心（含）以上医疗信息系统定为：二级（增强）5 威胁分析不同等级系统所应对抗的威胁主要从威胁源（自然、环境、系统、人为）动机（不可抗外力、无意、有意）范围（局部、全局）能力（工具、技术、资源等）四个要素来考虑。威胁源是指任何能够导致非预期的不利事件发生的因素，通常分为自然（如自然灾害）环境（如电力故障）IT系统（如系统故障）和人员（如心怀不满的员工）四类。动机与威胁源和目标有着密切的联系，不同的威胁源对应不同的目标有着不同的动机，通常可分为不可抗外力（如自然灾害）无意的（如员工的疏忽大意）和故意的（如情报机构的信息收集活动）。范围是指威胁潜在的危害范畴，分为局部和整体两种情况；如病毒威胁，有些计算机病毒的传染性较弱，危害范围是有限的；但是蠕虫类病毒则相反，它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。能力主要是针对威胁源为人的情况，它是衡量攻击成功可能性的主要因素。能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源（包括经验）等方面。通过对威胁主要因素的分析，我们组合以上因素得到第二级的威胁：1）危害范围为局部的环境或者设备故障；2）无意的员工失误；3）危害局部的较严重的自然事件；4）具备中等能力、有预设目标的威胁情景。在分析一般二级系统面临威胁的基础上，结合本市医疗机构信息系统行业应用的特点，给出HIS系统具体威胁分析的描述如下：标号威胁描述备注T2-1.雷击、地震和台风等自然灾难T2-2.水患和火灾等灾害T2-3.高温、低温、多雨等原因导致温度、湿度异常T2-4.电压波动T2-5.供电系统故障T2-6.静电和外界电磁干扰T2-7.通信线路因线缆老化等原因导致损坏或传输质量下降T2-8.存储综合业务、临床业务等重要业务信息的介质老化或质量问题等导致不可用行业特点T2-9.网络设备、系统设备及其他设备使用时间过长或质量问题等导致硬件故障T2-10.系统软件、应用软件运行故障T2-11.系统软件、应用软件过度使用内存、CPU等系统资源T2-12.应用软件、系统软件缺陷导致数据丢失或系统运行中断T2-13.设施、通信线路、设备或存储介质因使用、维护或保养不当等原因导致故障T2-14.授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用T2-15.授权用户对系统错误配置或更改T2-16.攻击者利用非法手段进入机房内部盗窃、破坏等T2-17.攻击者非法物理访问系统设备、网络设备或存储介质等T2-18.攻击者采用在通信线缆上搭接或切断等导致线路不可用T2-19.攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具，恶意地消耗网络、操作系统和应用系统资源，导致拒绝服务T2-20.攻击者利用网络协议、操作系统、应用系统漏洞，越权访问文件、数据或其他资源T2-21.攻击者利用通过恶意代码或木马程序，对网络、操作系统或应用系统进行攻击T2-22.攻击者利用网络结构设计缺陷旁路安全策略，未授权访问网络T2-23.攻击者利用非法手段获得授权用户的鉴别信息或密码介质，访问网络、系统T2-24.攻击者利用伪造客户端进入综合业务、临床业务等系统，进行非法访问行业特点T2-25.攻击者截获、读取、破解介质的信息或剩余信息，进行电子病历、药剂药品用量等敏感信息的窃取行业特点T2-26.攻击者截获、读取、破解通信线路中的信息T2-27.由于网络设备、主机系统和应用软件的故障或双机热备失效，造成综合业务、临床业务等业务应用的中断行业特点T2-28.PACS中dicom数据在传输和存储过程中被错误修改或丢失行业特点T2-29.攻击者利用通用安全协议/算法/软件等缺陷，获取信息、解密密钥或破坏通信完整性T2-30.攻击者在软硬件分发环节（生产、运输等）中恶意更改软硬件T2-31.攻击者和内部人员否认自己的操作行为T2-32.攻击者和内部人员利用网络扩散病毒T2-33.内部人员下载、拷贝软件或文件，打开可疑邮件时引入病毒T2-34.内部人员未授权接入外部网络（如Internet）T2-35.内部人员利用技术或管理漏洞，未授权修改综合业务、临床业务系统数据或修改系统程序行业特点T2-36.内部人员未授权访问电子病历、药材用量等敏感信息，将信息带出或通过网络传出，导致信息泄露行业特点6 安全目标信息系统的安全保护能力包括对抗能力和恢复能力。不同级别的信息系统应具备相应等级的安全保护能力，即应该具备不同的对抗能力和恢复能力。将“能力”分级，是基于系统的保护对象不同，其重要程度也不相同，重要程度决定了系统所具有的能力也就有所不同。一般来说，信息系统越重要，应具有的保护能力就越高。因为系统越重要，其所伴随的遭到破坏的可能性越大，遭到破坏后的后果越严重，因此需要提高相应的安全保护能力。HIS系统（二级）的安全保护能力主要体现为：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能（例如：15分钟内故障无法排除应启动应急预案，及时恢复对外服务，如门急诊挂号收费服务）。6.1 技术目标标号二级（一般）二级（增强）O2-1.应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力应具有抵抗较强强度地震、台风等自然灾难造成破坏的能力O2-2.应具有防止雷击事件导致重要设备被破坏的能力应具有防止雷击事件导致大面积设备被破坏的能力O2-3.应具有防水和防潮的能力除二级（一般）要求外，还应具有对水患检测和报警的能力O2-4.应具有灭火的能力应具有专用自动灭火的能力O2-5.应具有检测火灾和报警的能力除二级（一般）要求外，还应具有防止火灾蔓延的能力O2-6.应具有温湿度自动检测和控制的能力同二级（一般）要求O2-7.应具有防止电压波动的能力同二级（一般）要求O2-8.应具有对抗短时间断电的能力应具有对抗较长时间断电的能力O2-9.应具有防止静电导致重要设备被破坏的能力应具有防止静电导致大面积设备被破坏的能力O2-10.具有基本的抗电磁干扰能力除二级（一般）要求外，还应具有对重要设备和介质进行电磁屏蔽的能力O2-11.无应具有防止强电磁场、强震动源和强噪声源等污染影响系统正常运行的能力O2-12.无应具有监测通信线路传输状况的能力O2-13.无应具有及时恢复正常通信的能力O2-14.应具有对传输和存储数据进行完整性检测的能力除二级（一般）要求外，还应实现纠错能力O2-15.应具有对硬件故障产品进行替换的能力同二级（一般）要求O2-16.应具有系统软件、应用软件容错的能力同二级（一般）要求O2-17.应具有软件故障分析的能力除二级（一般）要求外，还应具有软件状态监测和报警的能力O2-18.无应具有合理使用和控制系统资源的能力O2-19.应具有记录用户操作行为的能力除二级（一般）要求外，还应具有分析记录结果的能力O2-20.应具有对用户的误操作行为进行检测和报警的能力除二级（一般）要求外，还应具有恢复能力O2-21.应具有控制机房进出的能力应具有严格控制机房进出的能力O2-22.应具有防止设备、介质等丢失的能力同二级（一般）要求O2-23.应具有控制机房内人员活动的能力应具有严格控制机房内人员活动的能力O2-24.无应具有实时监控机房内部活动的能力O2-25.无应具有对物理入侵事件进行报警的能力O2-26.应具有控制接触重要设备、介质的能力同二级（一般）要求O2-27.无应具有对传输和存储中的信息进行保密性保护的能力O2-28.应具有对通信线路进行物理保护的能力除二级（一般）要求外，还应具有使重要通信线路及时恢复的能力O2-29.无应具有合理分配、控制网络、操作系统和应用系统资源的能力O2-30.无应具有能够检测、分析、响应对网络和重要主机的各种攻击的能力O2-31.应具有发现所有已知漏洞并及时修补的能力同二级（一般）要求O2-32.应具有对网络、系统和应用的访问进行控制的能力应具有对网络、系统和应用的访问进行严格控制的能力O2-33.应具有对数据、文件或其他资源的访问进行控制的能力应具有对数据、文件或其他资源的访问进行严格控制的能力O2-34.应具有对资源访问的行为进行记录的能力除二级（一般）要求外，还应具有分析响应能力O2-35.应具有对恶意代码的检测、阻止和清除能力同二级（一般）要求O2-36.应具有防止恶意代码等在网络中扩散的能力同二级（一般）要求O2-37.应具有对恶意代码库和搜索引擎及时更新的能力同二级（一般）要求O2-38.应具有保证鉴别数据传输和存储保密性的能力同二级（一般）要求O2-39.应具有对用户进行唯一标识的能力同二级（一般）要求O2-40.应具有对用户产生复杂鉴别信息并进行鉴别的能力除二级（一般）要求外，还应具有对同一个用户产生多重鉴别信息并进行多重鉴别的能力O2-41.无应具有检测非法接入设备的能力O2-42.应具有对存储介质中的残余信息进行删除的能力同二级（一般）要求O2-43.无应具有对传输和存储中的信息进行保密性保护的能力O2-44.无应具有防止加密数据被破解的能力O2-45.无应具有路由选择和控制的能力O2-46.无应具有信息源发的鉴别能力O2-47.无应具有通信数据完整性检测和纠错能力O2-48.无应具有对关键区域进行电磁屏蔽的能力O2-49.应具有非活动状态一段时间后自动切断连接的能力同二级（一般）要求O2-50.无应具有基于密码技术的抗抵赖能力O2-51.应具有防止未授权下载、拷贝软件或者文件的能力同二级（一般）要求O2-52.应具有网络边界完整性检测能力除二级（一般）要求外，还应具有切断非法连接的能力O2-53.应具有重要数据和程序进行完整性检测和纠错能力同二级（一般）要求O2-54.无应具有对敏感信息的流向进行控制的能力O2-55.应具有重要数据恢复的能力应具有及时恢复重要数据的能力O2-56.应具有保证重要业务系统恢复运行的能力应具有保证重要业务系统及时恢复运行的能力6.2 管理目标标号二级（一般）二级（增强）O2-57.应确保建立了安全职能部门，配备了安全管理人员，支持信息安全管理工作同二级（一般）要求O2-58.应确保配备了足够数量的管理人员，对系统进行运行维护同二级（一般）要求O2-59.应确保对主要的管理活动进行了制度化管理同二级（一般）要求O2-60.应确保建立并不断完善、健全安全管理制度同二级（一般）要求O2-61.应确保能协调信息安全工作在各功能部门的实施同二级（一般）要求O2-62.应确保能控制信息安全相关事件的授权与审批同二级（一般）要求O2-63.应确保建立恰当可靠的联络渠道，以便安全事件发生时能得到支持同二级（一般）要求O2-64.应确保对人员的行为进行控制同二级（一般）要求O2-65.应确保对人员的管理活动进行了指导同二级（一般）要求O2-66.应确保安全策略的正确性和安全措施的合理性同二级（一般）要求O2-67.应确保对信息系统进行合理定级除二级（一般）要求外，还应进行备案管理O2-68.应确保安全产品的可信度和产品质量同二级（一般）要求O2-69.应确保自行开发过程和工程实施过程中的安全同二级（一般）要求O2-70.应确保能顺利地接管和维护信息系统同二级（一般）要求O2-71.应确保安全工程的实施质量和安全功能的准确实现同二级（一般）要求O2-72.应确保机房具有良好的运行环境同二级（一般）要求O2-73.应确保对信息资产进行标识管理同二级（一般）要求O2-74.应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制同二级（一般）要求O2-75.应确保各种网络设备、服务器正确使用和维护同二级（一般）要求O2-76.应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理同二级（一般）要求O2-77.应确保用户具有鉴别信息使用的安全意识同二级（一般）要求O2-78.应确保定期地对通信线路进行检查和维护同二级（一般）要求O2-79.应确保硬件设备、存储介质存放环境安全，并对其的使用进行控制和保护同二级（一般）要求O2-80.应确保对支撑设施、硬件设备、存储介质进行日常维护和管理同二级（一般）要求O2-81.应确保系统中使用的硬件、软件产品的质量同二级（一般）要求O2-82.应确保各类人员具有与其岗位相适应的技术能力同二级（一般）要求O2-83.应确保对各类人员进行相关的技术培训同二级（一般）要求O2-84.应确保提供的足够的使用手册、维护指南等资料同二级（一般）要求O2-85.应确保内部人员具有安全方面的常识和意识同二级（一般）要求O2-86.应确保具有设计合理、安全网络结构的能力同二级（一般）要求O2-87.无应确保对软硬件的分发过程进行控制O2-88.无应确保软硬件中没有后门程序O2-89.应确保密码算法和密钥的使用符合国家有关法律、法规的规定同二级（一般）要求O2-90.应确保任何变更控制和设备重用要申报和审批，并对其实行制度化的管理同二级（一般）要求O2-91.应确保在事件发生后能采取积极、有效的应急策略和措施同二级（一般）要求O2-92.应确保信息安全事件实行分等级响应、处置 同二级（一般）要求7 安全要求（要素表）HIS基本要求的安全要求在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和项。其中，类表示HIS基本要求在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类，一共分为10大类。控制点表示每个大类下的关键控制点，如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项，如“机房出入应安排专人负责，控制、鉴别和记录进入的人员。”具体框架结构如图所示：HIS安全要求物理安全网络安全主机安全应用安全数据安全及备份恢复技术要求管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理根据信息系统安全的整体结构来看，信息系统安全可从五个层面：物理、网络、主机系统、应用系统和数据对系统进行保护，因此，技术类安全要求也相应的分为五个层面上的安全要求：物理层面安全要求：主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证；网络层面安全要求：为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务；主机层面安全要求：在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行；应用层面安全要求：在物理、网络、系统等层面安全的支持下，实现用户安全需求所确定的安全目标；数据及备份恢复层面安全要求：全面关注信息系统中存储、传输、处理等过程的数据的安全性。信息系统的生命周期主要分为五个阶段：初始阶段、采购/开发阶段、实施阶段、运行维护阶段和废弃阶段。管理类安全要求正是针对这五个阶段中的不同安全活动提出的，分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。一、技术类安全要求（1）物理安全序号安全要求二级（一般）二级（增强）对象对象程度（*）1物理位置的选择主机房主机房2物理访问控制主机房主机房、信息管理部门办公室、弱电间*3防盗窃和防破坏主机房主机房、信息管理部门办公室、弱电间*4防雷击主机房主机房、楼层弱电间5防火主机房主机房*6防水和防潮主机房主机房、楼层弱电间*7防静电主机房主机房8温湿度控制主机房主机房9电力供应主机房、挂号收费终端主机房、楼层弱电间、挂号收费终端*10电磁防护不适用不适用医院选址时已考虑（2）网络安全序号安全要求二级（一般）二级（增强）对象对象程度（*）1结构安全内网网络全网络，重点要求内外网隔离2访问控制内网网络全网络*3安全审计核心网络设备核心网络设备*4边界完整性检查内网网络内网网络、内网与外网接口*5入侵防范不适用内网网络以及与外网网络接口6网络设备防护核心网络设备核心网络设备、楼层接入网络设备*7网络可用性冷备双机热备（重要服务器）（3）主机安全序号安全要求二级（一般）二级（增强）对象对象程度（*）1身份鉴别所有服务器、各类工作站所有服务器、各类工作站*2访问控制所有服务器、各类工作站所有服务器、各类工作站*3安全审计所有服务器所有服务器、各类工作站*4入侵防范不适用所有服务器5恶意代码防范所有服务器、各类工作站所有服务器、各类工作站6资源控