医院信息安全等级保护的探讨

1医院重要信息系统等级保护行业政策

1.1国家卫生部文件

文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作机制、工作任务、工作要求，工作任务中特别强调了“三级甲等医院的核心业务信息系统”应进行定级备案。

1.2浙江省卫生厅文件

为加强医疗卫生行业信息安全管理，提高信息安全意识，以信息安全等级保护标准促进全行业的信息安全工作，提高全省卫生系统信息安全保护与信息安全技术水平，强化信息安全的重要性。2011年6月7日，浙江省卫生厅和浙江省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》（浙卫发〔2011〕131号），并一同下发了《浙江省医疗卫生行业信息安全等级保护工作实施方案》和《浙江省卫生行业信息系统安全等级保护定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工作，浙江省卫生信息中心于2012年4月6日下发了《关于印发的函》。上述文件详细规定了工作目标、工作流程和工作进度，并明确了医疗卫生单位重要信息系统的划分和定级，具有很强的指导性和操作性。

2医院信息安全等级保护

依据上述行业文件要求，全省医院重要信息系统信息安全等级保护工作由省卫生厅和各级卫生局、公安局分级负责，按照系统定级、系统备案、等级测评、安全整改[1]四个工作步骤实施。

2.1系统定级

2.1.1确定对象

我省医院信息化发展较早，各类系统比较完善，但数量繁多。将出现多达几十甚至上百个定级对象的状况，这与要求重点保护、控制建设成本、优化资源配置[2]的原则相违背，不利于医院重要信息系统开展信息安全等级保护工作。依据《计算机信息系统安全保护等级划分准则（gb17859-1999）》等标准，结合我省医院信息化现状及发展需要，经卫生信息化专家和信息安全专家多次论证，本着突出重点、按类归并、相对独立、节约费用的原则，从系统管理、业务使用者、系统服务对象和运行环境等多方面综合考虑，把医院信息系统划分为以下几类，如表1所示。

2.1.2等级评定

医院重要信息系统的信息安全和系统服务应用被破坏时，产生的危害主要涉及公民的个人隐私、就医权利及合法权益，对社会秩序和公共利益的损害属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信息中心指导意见细则要求[3]，即属于“第二级”或“第三级”范畴。因此医院信息系统对信息安全防护和服务能力保护的要求较高，结合业务服务及系统应用范畴，实行保护重点、以点带面原则，参考定级如表2所示。

2.2系统定级备案