【HIT180等保专栏(二)】医疗卫生行业信息安全等级保护制度解读
等级保护制度的提出
2004 年9 月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合出台了《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66 号)。《意见》明确了等级保护原则、内容、要求,等级保护工作的部门分工和实施计划,标志着信息安全等级保护在我国开始实施。
2007年6 月,公安部等四部门联合正式出台《信息安全等级保护管理办法》(公通字〔2007〕43号,明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
2010年4月,公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔2010〕303号),要求2010年底前完成等级测评体系建设工作,2011年底前完成三级以上信息系统的等级测评工作,2012年底前完成三级以上信息系统的建设整改工作。
2011年,原卫生部发布了《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126 号文)和《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85 号),同时要求在定级、整改、测评过程中贯彻执行国家相关标准。
等级保护工作现状
目前等级保护工作发展状况主要集中在以下几个方面:
1、信息系统定级工作
根据原卫生部于2011年11月发布的《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)要求,各省级卫生计生行政部门确定信息安全等级保护工作联络员,建立健全信息安全技术专家委员会,于2011年12月30日前完成本地区已定级备案的卫生信息系统情况报送。要求于2012年5月30日前各级各类医疗卫生机构完成本单位信息系统的定级备案工作。
国家相关标准:
GB 17859-1999《计算机信息系统安全等级保护划分准则》
GB/T 22240-2008《信息系统安全保护等级定级指南》
2、系统建设整改工作
2009年,在全国信息系统安全等级保护定级工作基础上,公安部又印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》,开始部署开展信息系统等级保护安全建设整改工作。
原卫生部要求医疗卫生行业全面开展等级保护建设,其中明确要求“要根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案。要于2015年12月30日前完成信息安全等级保护建设整改工作。
国家相关标准:
GB/T 22239-2008《信息系统安全等级保护基本要求》
GB/T 25058-2010《信息系统安全等级保护实施指南》
GB/T 25070-2010《信息系统等级保护安全设计技术要求》
3、信息系统测评工作
《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85号)提到:系统建设整改工作完成后,应当按照《信息安全等级保护管理办法》要求,从全国信息安全等级保护测评机构推荐目录中选择等级测评机构,对第三级以上(含第三级)卫生信息系统进行等级测评。测评合格后,应当将测评报告报属地公安机关及卫生计生行政部门备案。应当每年对第三级以上(含第三级)卫生信息系统进行等级测评。
2011年10月,卫生部卫生监督中心顺利通过信息安全等级保护第三级测评,成为全国卫生领域第一家通过第三级测评的卫生机构,2012年11月,北京阜外心血管病医院顺利通过信息安全等级保护第三级测评,成为全国卫生领域第一家通过第三级测评的医院。
国家相关标准:
GB/T 28448-2012《信息系统安全等级保护测评要求》
GB/T 28449-2012《信息系统安全等级保护测评过程指南》
信息系统安全等级保护体系
信息系统安全等级保护体系主要由四大类组成:
(1)信息安全等级保护的法律、法规和政策依据
信息系统安全等级保护政策、法律、法规依据是信息系统安全等级保护的基本依据和出发点。
(2)信息系统安全等级保护标准体系
信息系统安全等级保护标准是信息安全等级保护在信息系统安全技术和安全管理方面的规范化表示,是从技术和管理方面,以标准的形式,对信息安全等级保护的法律、法规、政策的规定进行的规范化描述。
为保障信息安全等级保护制度有效实施,经公安部会同有关部门组织专家制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》等几十个国家和部颁标准、技术指导文件,初步形成了信息安全等级保护标准体系,基本能够满足国家信息安全等级保护制度全面实施的需求。多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系。
信息安全等级保护标准体系
(3)信息系统安全等级保护管理体系
信息系统安全等级保护管理体系是对实现信息系统安全等级保护所采用的安全管理措施的描述。本标准从信息系统安全等级保护安全系统工程管理、安全系统运行控制和管理、安全系统监督检查和管理等方面,对相关问题进行了描述。
GB/T 22239—2008《信息系统安全等级保护基本要求》对每一级别分别阐述了技术要求和管理要求,技术要求包括物理安全、网络安全、主机安全、应用安全和数据安全等五个层面的内容,管理要求包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施增。
信息系统安全等级保护基本要求
(4)信息系统安全等级保护技术体系
信息系统安全等级保护技术体系是对实现信息系统安全等级保护所采用的安全技术的描述。本标准体系从信息系统安全的基本属性、信息系统安全的组成与相互关系、信息系统安全的五个等级、信息系统安全等级保护的基本框架、信息系统安全等级保护基本技术、信息系统安全等级保护支撑平台技术、等级化安全信息系统的构建技术等方面对相关的技术问题进行了描述。
寥寥数语,难以表达全书中精华,更多精彩内容请参考《医疗卫生行业信息安全等级保护实施指南》,期待您的支持,欢迎订购!
书号:ISBN 978-7-5545-1352-1
版次:2014年9月第1版
印次:2014年9月第1次印刷
开本:889mm * 1194mm
印张:21
定价:48.00元
订购热线:010-82373062
联系人:杨媛媛
【好消息】 HIT专家网微信服务号每周五推出【一周精华】栏目,欢迎大家搜索“chinaHIT”或者扫一扫下面的二维码加关注!
最新鲜的医疗信息化资讯,不一样的专家视角,尽在HIT专家网!
点击