医院等级保护建设介绍.ppt
《医院等级保护建设介绍.ppt》由会员分享,可在线阅读,更多相关《医院等级保护建设介绍.ppt(52页珍藏版)》请在三一办公上搜索。
1、医院信息系统等级保护建设,四川大学信息安全研究所周安民2014.11,医疗信息化建设阶段,医院管理信息化(HMIS)建设内容:部门级信息化管理、全院级信息化管理特征:数据共享和基于财务核算为中心临床管理信息化(HCIS)建设内容:电子病例、医生工作站、PACS、LIS、RIS等系统特征:实现数字医院,医疗和管理信息处理无纸化和无胶片化、医院间联网,电子病例网上传递 区域卫生医疗服务(HGIS)建设内容:区域一体化医院信息、人口健康档案、疫情上报与应急指挥、远程医疗等系统特征:社会医疗保健资源和服务整合,以自身业务为主,信息共享与交换,重点建设国家级、省级和地市级三级卫生信息平台加强信息化在公共
2、卫生、医疗服务、新农合、基本药物制度、综合管理五项业务中的深入应用建设电子健康档案和电子病例二个基础数据库建设一个医疗卫生信息专用网络基于健康档案,整合公共卫生、医疗平台等业务内容的区域卫生信息化平台。,“十二五”卫生信息化建设路线图(摘要),卫生信息化趋势,国家卫生署关于国民卫生服务信息战略项目目标:保证医疗专业人员,患者和护理人员“在正确的时间和地点,拥有正确的信息”,以提高患者的医疗和服务质量。,全球未来卫生信息化发展方向:通过卫生信息共享来提高医疗服务效率、质量、可及性,降低医疗成本、医疗风险其中国家级及地方级的区域卫生信息共享的核心内容是居民健康档案。,卫生行业信息安全等级保护工作的
3、指导意见,2011年11月,卫生部印发了卫生行业信息安全等级保护工作的指导意见通知,明确提出卫生行业信息安全等级保护工作的指导意见。以下重要卫生信息系统安全保护等级原则上不低于第三级:(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;(3)三级甲等医院的核心业务信息系统;(4)卫生部网站系统;(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。,信息安全等级保护法规政策体系,5,等级保护标准,6,技术要求,等
4、保实施,等保测评,管理要求,GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求,GB/T 22240-2008 信息安全技术 信息系统安全保护等级定级指南GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南,GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求,GB/T 28448-2012 信息系统安全等级保护测评要求 GB/T 28449-2012 信息系统安全等级保护测评过程指南,等级保护之五级划分,实施指南GB/T 25058-2010,等级保护实施过程,基本
5、原则,主要过程及其活动,角色、职责,基本流程,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,国家管理部门(4家),信息系统主管部门,信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构,信息安全产品供应商,8,等级保护定级指南GB/T 22240,9,定级方法,卫生行业信息安全等级保护工作的指导意见,2011年11月,卫生部印发了卫生行业信息安全等级保护工作的指导意见通知,明确提出卫生行业信息安全等级保护工作的指导意见。以下重要卫生信息系统安全保护等级原则上不低于第三级:(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统
6、、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;(3)三级甲等医院的核心业务信息系统;(4)卫生部网站系统;(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。,基本要求技术要求管理要求要求标注业务信息安全类要求(标记为S类)关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改系统服务保证类要求(标记为A类)关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用通用安全保护类要求(标记为G类)既关注保护业务信息的安全性,同时也关注
7、保护系统的连续可用性。,基本要求GB/T 22239,系统基本保护要求的组合,第一级 S1A1G1第二级 S1A2G2,S2A2G2,S2A1G2第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4,控制点,基本要求GB/T 22239,控制项,14,基本要求GB/T 22239,适宜的安全需求分析方法,?如何为信息系统确定既满足等级保护要求,又满足系统自身需求的安全需求分析方法。对一个正在运行的信息系统确定定级之后,运行使用单位最关心的是系统当前的保护状况是否满足等
8、级保护的基本安全要求。产生该问题的原因是:等级保护作为政策性要求在系统建设之初并没有作为安全需求加以考虑,因此系统的安全保障体系或安全保护措施只能满足本部门、本单位的安全需求。信息系统定级之后发现,对于业务重要性相同的不同行业或地区的信息系统,由于建设年代不同、所在地域差异、设计人员和实施人员的水平差距等都会造成其信息系统的保护水平参差不齐。,选择、调整基本安全要求,在根据定级指南除了可以确定信息系统的安全保护等级外,还同时确定了信息系统在业务信息安全和系统服务安全两个方面的安全保护等级 这两个等级反映了信息系统在数据安全保护和服务能力保护的需求方面可能是不均衡的。在政务系统中,单个数据信息(
9、例如文件)本身的安全性要求比较高,对于通过信息系统提供及时的数据服务的要求不高,对于生产控制系统和调度系统,其重要性不体现在每条控制指令数据上,而体现在整个控制系统或调度系统不能停止运行或不正常运行。,L(业务信息安全保护等级,系统服务安全保护等级)=Max(业务信息安全保护等级,系统服务安全保护等级),确定该信息系统的等级保护基本安全需求,在确定了系统的安全保护等级后,信息系统的运营使用单位人员可以参照以下步骤确定该信息系统的等级保护基本安全需求:第一步 根据其等级从基本要求中选择相应等级的基本安全要求。如,某一信息系统,根据定级指南确定系统等级为 3 级,首先从基本要求中选择三级的安全要求
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 医院 等级 保护 建设 介绍
链接地址:https://www.31ppt.com/p-5247041.html