浅谈三甲医院信息安全等级保护工作

1、建设背景

随着医院信息化建设的不断的发展，医院各项工作的开展都不同程度的采用了网络信息系统，信息系统在三甲医院中的角色也越来越重要，现代医院的发展建设已经和信息化建设结合为一体；当医院信息系统安全受到攻击或破坏从而导致医院不能正常开展各项医疗工作时，就很容易引发社会性的群体事故，如泄露患者个人隐私信息（重大疾病）、挂号系统中断引发患者情绪不满在医院闹事，因此如何保证医院信息系统安全也成为医院信息化建设需重视的问题。

为了进一步做好医院信息安全保护工作，卫生部针对我国现阶段各医疗行业的现状，下发了《卫生行业信息安全等级保护工作的指导意见》的通知{2011}85号，在该通知中明确了信息安全等级保护与医疗行业信息安全保护的联系，根据该文件的指导精神，三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和保护。

2、建设过程

医院信息安全等级保护工作建设主要分为以下几个过程：

2.1医院信息系统定级评审

根据信息安全等级保护的相关规定，当信息系统遭到攻击或破坏时引发的后果可分为对国家安全、社会秩序及公共利益、公民及个人的合法利益的受损害程序来进行等级划分。对比此规定，按照卫生行业信息安全等级保护工作的相关要求，三甲医院应按照信息安全等级保护三级标准来对医院核心业务进行定级，并组织各方相关信息安全专家完成医院信息系统的定级工作。

2.2医院信息系统备案

在对医院信息系统进行定级评审后，医院需将《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》及相关文档上交给当地卫生主管部门，有卫生部门报市级以上公安机关进行备案登记，等拿到备案回单后完成信息系统的定级工作。

2.3医院信息系统等级保护测评

在完成信息系统定级及备案工作后，需选择当地公安部门授权的具有信息安全等级保护测评资质的专业测评机构对医院信息系统进行整体测评。其测评目的在于对医院信息系统的安全防护能力做出客观评价，通过对物理安全、网络安全、应用安全、数据安全、主机安全、安全管理几个方面的安全检查，以国家信息安全等级保护基本要求作为安全基线，进行客观的符合性判定，进一步衡量当前系统的安全防护能力，以及系统所面临的威胁和风险所在。为安全整改和将来的安全建设提供有力依据。

2.3.1测评指标与方法

医院核心业务系统属于等级保护三级系统，安全测评指标应包括《信息系统安全等级保护基本要求》7.1节“技术要求”中的三级通用指标类（g3），三级业务信息安全性指标类（s3）和三级业务服务保证类（a3）。

测评现场工作将采用访谈、检查和测试等三类方法。访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动以获取证据的一种方法。检查是测评人员通过对测评对象进行观察、查验、分析等活动以获取证据的一种方法。测试是指测评人员对测评对象按照预定的方法/工具使其产生特定的响应等活动，然后通过查看、分析响应输出结果来获取证据的一种方法。