医院信息系统安全等级保护测评备案实施

根据国家信息安全等级保护制度，医院实施了安全等级保护，阐述了医院信息系统等级保护实施过程。提出要有持续改进的理念，不断加强安全措施确保医院信息系统安全运行，保障数据安全有效。

【关键词】信息安全等级保护 测评实施

1 引言

医院信息化建设快速发展，信息系统应用深入到各个环节，信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全，规范信息安全等级保护，完善信息保护机制，提高信息系统的防护能力和应急水平，有效遏制重大网络与信息安全事件的发生，创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》，卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。

2 确定测评对象与等级

我院是一所二级甲等综合医院，日门诊人次1000人左右，住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合，信息双向交流。按照《信息系统安全等级保护定级指南》定级原理，确定医院信息业务系统的安全保护等级为第2级，其中业务信息安全保护等级为2级，系统服务安全保护等级为2级。

2.1 招标比选测评公司

医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司，简单介绍医院信息化情况，其中有3家公司到现场进行调查，掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。

2.2 测评实施

2.2.1 准备阶段

医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》，确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研，提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。

2.2.2 测评主要内容

主要针对医院信息系统技术安全和安全管理两方面实施测评，其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5；安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

2.2.3 测评方式与测评范围

测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈，了解医院业务运作以及网络运行状况；查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务，以及安全管理类测评任务；查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等；测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试，检查系统的安全有效性。

整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。

医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵，终端使用了趋势网络版本防病毒产品，抵御恶意代码。开启系统审计日志，制定和实施有效安全管理制度，加强安全管理，降低系统安全风险。网络进行了有效的区域划分，区域之间通过访问控制列表实现安全控制，与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。

2.2.5 差距分析与测评整改

通过测评，测评公司写出测评报告，提出整改建议。按照《信息系统安全等级保护基本要求》要求6，测评公司人员根据医院当前安全管理需要和管理特点，针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理，从人员、制度、运作、规范等角度，进行全面的建设7，提供技术建设措施，落实等级保护制度的各项要求，就各类人员进行安全培训，提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。

2.2.6 编制报告，成功备案

测评公司编制报告，上报市公安局备案成功，获得二级信息系统备案证书。二级信息系统，每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高，安全保护能力增强，有效保障信息化健康发展。

3 结语

网络安全问题是一个集技术、管理和法规于一体的长期系统工程，始终有其动态性，医院需要不断进行完善，加强管理，持续增加安全设备以保障医院数据安全有效，保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点，分期分批循序建设，保证医院各系统长期稳定安全运行，以适应医院不断扩展的业务应用和管理需求8。

参考文献

[1]卫办发.〔2011〕85号，卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知，2011.

[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志，2005.

[3]王建英，陈文霞，胡雯，张鹏.医院信息安全分析及措施[J].中国病案，2013.

[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息，2013.

[5]韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学，2006.

作者单位

成都市新都区第二人民医院 四川省成都市 610501