医院信息化系统等级保护设计方案
2013年4月
目 录
1 2 3 4 项目背景 ........................................................................................................ 3 方案设计原则 ................................................................................................ 3 安全等级划分 ................................................................................................ 3 技术方案设计 ................................................................................................ 4
4.1
总体设计 ............................................................................................................ 4
4.1.1 4.1.2 4.1.3
总体安全技术框架 ................................................................................................. 4 安全域划分 ............................................................................................................. 6 总体部署 ................................................................................................................. 7
4.2 详细设计 ............................................................................................................ 7
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5
物理安全设计 ......................................................................................................... 7 安全计算环境设计 ................................................................................................. 9 安全区域边界设计 ............................................................................................... 12 安全通信网络设计 ............................................................................................... 14 安全管理中心设计 ............................................................................................... 16
5 安全管理体系设计 ........................................................................................ 16
5.1
5.2 5.3 5.4 5.5 5.6
管理机构建设 ................................................................................................... 17 完善安全管理制度 ............................................................................................ 17 加强人才队伍建设 ............................................................................................ 18 遵循安全法规标准 ............................................................................................ 19 重视安全管理手段 ............................................................................................ 19 建立应急响应机制 ............................................................................................ 19
6 需要增加的设备............................................................................................ 21
1 项目背景
2 方案设计原则
根据国家信息安全保障政策法规和技术标准要求,同时参照相关行业规定,确定信息安全体系规划和设计时遵循以下原则:
3 安全等级划分
信息化系统包括应用服务系统等。信息包括公文信息、通讯录、文件、日程安排、执法数据等,这些信息由于涉及到医疗机构敏感信息,对数据的完整性和机密性要求具有较高需求,一旦遭到破坏或窃取,就会给用户查询提供错误数据或泄漏敏感信息,影响社会秩序和公共利益。
1. 业务系统安全受到破坏时所侵害的客体
信息化系统系统一旦遭到破坏或被窃取,所侵害的客体是公民、法人和其它组织的合法权益以及社会秩序、公共利益。
2. 对客体的侵害程度
业务系统安全受到破坏时对社会秩序、公共利益的侵害程度表现为严重损害,具体表现为业务系统受到破坏或窃取后,会影响医疗机构行使社会管理和公共服务的职能,并对医疗机构形象造成社会不良影响,并对公民、法人和其他组织的合法权益造成损失。
3. 业务系统安全等级
根据上述分析结果,结合等级保护定级指南,××系统安全等级为: 业务信息安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 对相应客体的侵害程度 特别严重损害 第二级 第四级 第五级