笔趣阁

手机浏览器扫描二维码访问

第三节 信息安全等级保护基本要求（第1页）

““互联网+”医疗健康的应用与发展研究（..）”！

第三节

信息安全等级保护基本要求

卫生和计划生育部门尚未出台针对数字医院安全的相关行业标准，现行卫生政策的提出也以等级保护要求为建设要求，因此当前公立医院的数字化安全保障体系应以等级保护相关技术标准为依据开展建设、运维和管理。信息系统三级等级保护基本要求可分为技术安全和管理安全两部分。

一、技术安全

根据信息系统安全的整体结构来看，信息系统安全包括五个层面：物理、网络、主机系统、应用系统和数据对系统进行保护。因此，技术类安全保障也相应地分为五个层面上的安全要求。

1．物理安全

物理安全主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证。

其具体内容包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护十个方面。

2．网络安全

网络安全为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务。

其具体内容包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护七个方面。

3．主机安全

主机安全是在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行。

其具体内容包括：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制七个方面。

4．应用安全

应用安全是在物理、网络、系统等层面安全的支持下，实现用户安全需求所确定的安全目标。

其具体内容包括：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制九个方面。

5．数据安全及备份恢复

数据安全是指全面关注信息系统中存储、传输、处理等过程的数据的安全性。

其具体内容包括：数据完整性、数据保密性、备份与恢复三个方面。

二、管理安全

信息系统的生命周期主要分为五个阶段：初始阶段、采购开发阶段、实施阶段、运行维护阶段和废弃阶段。管理类安全要求正是针对这五个阶段中的不同安全活动提出的，分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。

1．安全管理制度

具体包括：管理制度、制定与发布、评审与修订三个方面。

2．安全管理机构

具体包括：岗位设置、人员配备、授权与审批、沟通与合作、审核与检查五个方面。

3．人员安全管理

具体包括：人员录用、人员离岗、人员考核、安全意识教育与培训、外部人员访问管理五个方面。

4．系统建设管理

具体包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择十一个方面。

5．系统运维管理

具体包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理十三个方面。