目 錄
1 前言 7
2 范圍 7
3 一般模型 7
3.1 技術模型 8
3.2 管理模型 9
3.3 應用模型 10
4 定級指導 15
5 威脅分析 15
6 安全目標 18
6.1 技術目標 18
6.2 管理目標 21
7 安全要求(要素表) 23
8 安全基本要求 28
8.1 二級(一般)安全要求 28
8.1.1 技術要求 28
8.1.1.1 物理安全 28
8.1.1.1.1 物理位置的選擇 28
8.1.1.1.2 物理訪問控制 28
8.1.1.1.3 防盜竊和防破壞 29
8.1.1.1.4 防雷擊 29
8.1.1.1.5 防火 29
8.1.1.1.6 防水和防潮 29
8.1.1.1.7 防靜電 30
8.1.1.1.8 溫濕度控制 30
8.1.1.1.9 電力供應 30
8.1.1.1.10 電磁防護 30
8.1.1.2 網絡安全 31
8.1.1.2.1 結構安全 31
8.1.1.2.2 訪問控制 31
8.1.1.2.3 邊界完整性檢查 31
8.1.1.2.4 網絡設備防護 31
8.1.1.2.5 網絡可用性 32
8.1.1.3 主機系統安全 32
8.1.1.3.1 身份鑒別 32
8.1.1.3.2 訪問控制 32
8.1.1.3.3 安全審計 33
8.1.1.3.4 惡意代碼防范 33
8.1.1.3.5 資源控制 33
8.1.1.3.6 主機可用性 33
8.1.1.4 應用安全 33
8.1.1.4.1 身份鑒別 33
8.1.1.4.2 訪問控制 34
8.1.1.4.3 安全審計 34
8.1.1.4.4 通信完整性 35
8.1.1.4.5 通信保密性 35
8.1.1.4.6 軟件容錯 35
8.1.1.4.7 資源控制 35
8.1.1.5 數據安全 35
8.1.1.5.1 完整性 35
8.1.1.5.2 數據保密性 35
8.1.1.5.3 備份和恢復 36
8.1.2 管理要求 36
8.1.2.1 安全管理制度 36
8.1.2.1.1 管理制度 36
8.1.2.1.2 制定和發布 36
8.1.2.1.3 評審和修訂 37
8.1.2.2 安全管理機構 37
8.1.2.2.1 崗位設置 37
8.1.2.2.2 人員配備 37
8.1.2.2.3 授權和審批 37
8.1.2.2.4 溝通和合作 37
8.1.2.2.5 審核和檢查 38
8.1.2.3 人員安全管理 38
8.1.2.3.1 人員錄用 38
8.1.2.3.2 人員離崗 38
8.1.2.3.3 人員考核 38
8.1.2.3.4 安全意識教育和培訓 38
8.1.2.3.5 外部人員訪問管理 39
8.1.2.4 系統建設管理 39
8.1.2.4.1 系統定級 39
8.1.2.4.2 安全方案設計 39
8.1.2.4.3 產品采購 40
8.1.2.4.4 自行軟件開發 40
8.1.2.4.5 外包軟件開發 40
8.1.2.4.6 工程實施 40
8.1.2.4.7 測試驗收 41
8.1.2.4.8 系統交付 41
8.1.2.4.9 安全服務商選擇 41
8.1.2.5 系統運維管理 41
8.1.2.5.1 環境管理 41
8.1.2.5.2 資產管理 42
8.1.2.5.3 介質管理 42
8.1.2.5.4 設備管理 42
8.1.2.5.5 監控管理 43
8.1.2.5.6 網絡安全管理 43
8.1.2.5.7 系統安全管理 43
8.1.2.5.8 惡意代碼防范管理 44
8.1.2.5.9 密碼管理 44
8.1.2.5.10 變更管理 44
8.1.2.5.11 備份與恢復管理 44
8.1.2.5.12 安全事件處置 45
8.1.2.5.13 應急預案管理 45
8.2 二級(增強)安全要求 46
8.2.1 技術要求 46
8.2.1.1 物理安全 46
8.2.1.1.1 物理位置的選擇 46
8.2.1.1.2 物理訪問控制 46
8.2.1.1.3 防盜竊和防破壞 46
8.2.1.1.4 防雷擊 47
8.2.1.1.5 防火 47
8.2.1.1.6 防水和防潮 47
8.2.1.1.7 防靜電 47
8.2.1.1.8 溫濕度控制 47
8.2.1.1.9 電力供應 48
8.2.1.1.10 電磁防護 48
8.2.1.2 網絡安全 48
8.2.1.2.1 結構安全 48
8.2.1.2.2 訪問控制 49
8.2.1.2.3 安全審計 49
8.2.1.2.4 邊界完整性檢查 49
8.2.1.2.5 入侵防范 49
8.2.1.2.6 網絡設備防護 49
8.2.1.2.7 網絡可用性 50
8.2.1.3 主機系統安全 50
8.2.1.3.1 身份鑒別 50
8.2.1.3.2 訪問控制 50
8.2.1.3.3 安全審計 51
8.2.1.3.4 入侵防范 51
8.2.1.3.5 惡意代碼防范 51
8.2.1.3.6 資源控制 51
8.2.1.3.7 主機可用性 51
8.2.1.4 應用安全 52
8.2.1.4.1 身份鑒別 52
8.2.1.4.2 訪問控制 52
8.2.1.4.3 安全審計 53
8.2.1.4.4 剩余信息保護 53
8.2.1.4.5 通信完整性 53
8.2.1.4.6 通信保密性 53
8.2.1.4.7 軟件容錯 53
8.2.1.4.8 資源控制 54
8.2.1.5 數據安全 54
8.2.1.5.1 完整性 54
8.2.1.5.2 數據保密性 54
8.2.1.5.3 備份和恢復 54
8.2.2 管理要求 55
8.2.2.1 安全管理制度 55
8.2.2.1.1 管理制度 55
8.2.2.1.2 制定和發布 55
8.2.2.1.3 評審和修訂 55
8.2.2.2 安全管理機構 56
8.2.2.2.1 崗位設置 56
8.2.2.2.2 人員配備 56
8.2.2.2.3 授權和審批 56
8.2.2.2.4 溝通和合作 56
8.2.2.2.5 審核和檢查 56
8.2.2.3 人員安全管理 57
8.2.2.3.1 人員錄用 57
8.2.2.3.2 人員離崗 57
8.2.2.3.3 人員考核 57
8.2.2.3.4 安全意識教育和培訓 57
8.2.2.3.5 外部人員訪問管理 58
8.2.2.4 系統建設管理 58
8.2.2.4.1 系統定級 58
8.2.2.4.2 安全方案設計 58
8.2.2.4.3 產品采購 59
8.2.2.4.4 自行軟件開發 59
8.2.2.4.5 外包軟件開發 59
8.2.2.4.6 工程實施 59
8.2.2.4.7 測試驗收 59
8.2.2.4.8 系統交付 60
8.2.2.4.9 安全服務商選擇 60
8.2.2.5 系統運維管理 60
8.2.2.5.1 環境管理 60
8.2.2.5.2 資產管理 60
8.2.2.5.3 介質管理 61
8.2.2.5.4 設備管理 61
8.2.2.5.5 監控管理 61
8.2.2.5.6 網絡安全管理 62
8.2.2.5.7 系統安全管理 62
8.2.2.5.8 惡意代碼防范管理 63
8.2.2.5.9 密碼管理 63
8.2.2.5.10 變更管理 63
8.2.2.5.11 備份與恢復管理 63
8.2.2.5.12 安全事件處置 64
8.2.2.5.13 應急預案管理 64
附錄A基本要求的選擇和使用 65
1、判斷醫療機構的信息系統是否具備定級的基本條件 65
2、根據醫療機構的分級選擇不同級別的基本要求 66
3、部分區縣中心(含)以上醫療機構可對二級(增強)要求進行選擇使用 66
附錄B基本要求的應用注釋 67
B1. 物理環境的應用注釋 67
B2.網絡隔離的應用注釋 67
B3. 版本變更的應用注釋 69
B4. 數據加密的應用說明 69
B5. 其他 69
1 前言
《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號,以下簡稱“27號文件”)明確要求我國信息安全保障工作實行等級保護制度,提出“抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。2004年9月發布的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號,以下簡稱“66號文件”)進一步強調了開展信息安全等級保護工作的重要意義,規定了實施信息安全等級保護制度的原則、內容、職責分工、基本要求和實施計劃,部署了實施信息安全等級保護工作的操作辦法。
27號文件和66號文件不但為各行業開展信息安全等級保護工作指明了方向,同時也為各行業如何根據自身特點做好信息安全等級保護工作提出了更高的要求。醫療機構作為涉及國計民生的重要組成部分,其安全保障事關社會穩定,必須按照27號文件要求,全面實施信息安全等級保護。因此,組織編制《醫療機構信息系統安全等級保護基本要求》,提出針對醫療機構信息安全等級保護工作的基本思路和具體要求,指導上海市醫療機構的信息安全保障工作。
2 范圍
本標準規定了醫療機構信息系統的基本保護要求,包括基本技術要求和基本管理要求,適用于指導本市醫療機構分等級的信息系統的安全建設和監督管理。
3 一般模型
醫療機構信息系統(以下簡稱HIS系統)模型的構造是對HIS系統進行威脅分析,從而確定安全保障目標的基礎。《HIS系統基本要求》將分別從技術、管理和業務應用三個層面提出各自的參考模型,具體如下。
技術模型、管理模型和應用模型既是三個相對獨立的體
掃碼立享400積分
|
|
資源大小:392.88 KB 
